Linux Talk

quader schrieb:Dafür müsstest du aber streng gesehen, die programmiersprache des jeweiligen !opensource! Programmes können und dir die sources durcharbeiten und oder, die prozesse und resourcen streng im auge halten.

Wen Linux, dann Arch

Nix gegen Arch, aber mit den unsignierten Paketen und den AUR-Repositorys zählt es vom Sicherheitsstandpunkt zu den schwächeren Distributionen.

@Branntweiner

Hat was, dazu müsste aber erst mal jemand einen Mirror cracken, "Hacken, wird bewusst nicht geschrieben". :)

Das kamm aber noch nie vor und auf AUR verzichte ich deshalb noch, solange es geht, brauchte von da noch nie was, sind meist eh nur spielereien und games.

Und ich zitiere aus dem Arch-Forum:

Signierte Pakete sind ein gewisses Extra an Sicherheit, aber bei weitem nicht das nonplusultra und es ersetzt schon gar nicht Brain 1.0.

Hinzu kommt, dass bereits jetzt MD5 Überprüfungen stattfinden, was schon etwas Sicherheit geben kann.

quader schrieb:dazu müsste aber erst mal jemand einen Mirror cracken

Das ist kein Arch-Problem. Das kann jedem passieren, selbst kernel.org:
http://linux.slashdot.org/story/11/08/31/2321232/Kernelorg-Compromised

quader schrieb:Das kamm aber noch nie vor

Falsch: Arch war auch auf kompromitierten Servern von kernel.org gehostet.


Mir geht es aber nicht darum, sondern um die (Nicht-)Signierung Paketen, und das ist nicht Larifari: https://lwn.net/Articles/434990/


Auf der anderen Seite ist Arch keine Kinder-Distro, sondern die wissen um die Problematik:
https://wiki.archlinux.org/index.php/DeveloperWiki:Package_signing
https://wiki.archlinux.org/index.php/Arch_package_security

quader schrieb:auf AUR verzichte ich deshalb noch

Das ist dann halt fast schon eine Problematik wie bei Ubuntu mit Universe oder den PPA. Universe hat zwar ein Repo, ist aber nicht im Sicherheitssystem von Ubuntu integriert, die PPA sind wie AUR: reine Nutzerrepositorys.

Da muss sich dann Arch schon Vergleiche mit Gentoo gefallen lassen (wie Ubuntu mit Debian). Dort ist der komplette Paketbestand vom Projekt abgedeckt und wird vom Sicherheitsteam betreut (bei Gentoo via GLSA und bei Debian via debsecan bzw. den Stable Security Updates).

@Branntweiner

Soweit ich verstehe, erlaubt die Standard Konfiguration von pacman nur die Installation von signierten Paketen?

@Branntweiner

Mal nachgeschaut, ja ich liege richtig ^^
Standardmäßig bzw. mit der Einstellung SigLevel = Required in der pacman Konfiguration dürfen nur signierte Pakete installiert werden.
Ich konnte bisher alles was ich wollte über signierte Pakete installieren.

Ist also ziemlich gut abgedeckt. Wenn man unbedingt was anderes haben möchte, aus dem AUR, dann tut man das halt auf eigene Risiko, wobei das ja auch nicht soo gefährlich ist :D
Wer besondere Sicherheitsansprüche hat, der weiß sowieso was er tut und kann ein solches Programm auch entsprechend im System einschränken.

@Lightstorm
@Branntweiner

Na ja, Arch Linux ist eben auch keine Einsteiger-Distrubition, hier wird ein gewisses Maß von Wissen vorausgesetzt. Und ich behaupte einfach mal, dass meist nur erfahrenere Linux-User auf Arch setzen werden und somit bereits entsprechend sensibilisiert sind, was Sicherheitsrisikos und Co. angeht.

Ich werde übrigens heute oder morgen Abend mit Windows vollständig brechen. Ich werde es von meinem Haupt-Laptop runter und verbanne es in eine VM unter Arch Linux mit Cinnamon.
Da ich ein Windows Phone besitze und dafür auch entwickle, bleibt Windows 8 in einer VM :D

Daneben verschwindet auch Ubuntu von diesem Rechner. Wird zwar nicht angenehm, alles zu sichern und so weiter, aber naja:
It's time to change ;)

Habe mich aber gegen Gentoo entschieden. Kann es mir leider nicht erlauben, auf meinem Hauptsystem ggf. durch das kompilieren von Updates ausgebremst zu werden...

@mchomer

Gut so, Ubuntu hat sich von der Dunklen Seite korrumpieren lassen.

@El_Gato

Stimmt.
Dabei war es mal das Linux-System schlechthin und hat wohl einige Windowser zum Wechsel gebracht. Schade, dass es jetzt nach und nach dahinsiecht und immer mehr zu Lindows wird...

Wie haltet ihr es eigentlich mit Skype? Nutzt ihr es unter Linux?
Wenn nicht, was ist eure empfehlenswerte Alternative?
Empathy ist zwar ganz nett, aber na ja, so das Wahre ist es noch nicht.

mchomer schrieb:und hat wohl einige Windowser zum Wechsel gebracht

So auch mich. Es ist wirklich ein Jammer. Aber zum Glück gibt es noch andere für Anfänger einfach handzuhabende Distris, etwa Fedora.

Ja, ich nutze Skype unter Linux. Empathy hab ich runtergeschmissen und dafür Pidgin installiert.

mchomer schrieb:Wie haltet ihr es eigentlich mit Skype

Installiert, manchmal in Benutzung. Hardcoreuser bin ich aber nicht :D

Ich glaube für Skype gibt es kein freien Client Programm? Weil die ihr proprietäres Protokoll nicht offenlegen, als ob das nicht reicht, ist das scheiß Ding ein Spionageprogramm der NSA... wie man ja mittlerweile ohne Übertreibung sagen kann :D

@Lightstorm

Die Problematik mit Skype und diesem ganzen anderen proprietären Scheissdreck ist einfach, daß es den meisten Usern einfach scheissegal ist und leider ist Skype nun recht weit verbreitet.

@El_Gato

Das stimmt wohl. Daneben ist wohl nicht wirklich eine offene Alternative bekannt, so wie es aussieht.
Obwohl mir in letzter Zeit immer öfter "Jitsi" empfohlen wurde.
Das Problem ist dann wohl nur noch, dass man die anderen Skyper zum Wechsel bewegen müsste...

Habe mir gerade übrigens ein günstiges Galaxy S geschossen.
Damit werde ich dann die Allmystery-Android-App zu Ende entwickeln, hab ja bald Urlaub :D

Bequemlichkeit und Ignoranz sind einfach die Dinge, die diesen verdammten Arschlöchern von der NSA und den ganzen anderen dämlichen Nase-in-anderer-Leute-Arschlöcher-Stecker in die Hände spielen. Wirklich was dagegen tun kann man leider nicht.

https://prism-break.org/#de

Hier wird auch Jitsi empfohlen. Neben Mumble und RedPhone (für Android)

Leider... ich wünsche mir für die Zukunft ein freies p2p Messenger Netzwerk das sich durchsetzt. Freie Software, keine zentralen Server, und vielleicht OpenPGP Verschlüsselung.

Was ich aber lustig finde, sind jetzt grade diese Leute, die wegen dem NSA-Skandal auf Linux umsteigen wollen. Hatten wir ja jetzt auch ein paar hier.
Aber ich wette, dass viele dieser Leute sich dann keine weiteren Sorgen machen und weiter Programme wie eben Skype benutzen oder weiter schön ihre privaten Bildchen auf Facebook posten. Und sich dann am besten noch beschweren.

@rutz

Du hast nicht unrecht, aber man muss auch sagen, es wird den Leuten nicht gerade leicht gemacht.
Im Grunde sind alle nennenswerten Kommunikationsprogramme befallen von der Problematik.
Du kannst für viele freie Clients nutzen, aber benutzt dann immer noch deren kommerzielle Server, die deine Nachrichten für Werbung und Behörden auswerten.

Mich wundert es eigentlich, wieso in all den Jahren, sich immer nur kommerzielle Anbieter etablieren konnten.
WhatsApp, Skype, früher MSN, ICQ, Yahoo Messenger, Google Talk...

Messenger und Nachrichten Protokolle entwickeln können auch die freien Entwickler. Lassen wir p2p Technik beiseite, die free software Gemeinde finanziert durch Spenden ganze Server Farmen auf der Welt, zum hosten von Software. Allein wenn ich mir die Mirror Server für Arch Linux anschaue..
Wo ist dann der freie Messenger mit effektiver Verschlüsselung und spenden finanzierten Servern das sich durchsetzen kann? :D

Für Skype user die nicht gerne mit der NSA teilen, was hoffentlich alle sind, gibt es Mumble. :)

@quader

Danke für den Tipp, sieht vielversprechend aus.