Forum: PC Hard- und Software Microsoft Teams aus Flatpak vertrauenswürdig?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Manjaro-user (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo Leute!

Ich bin Manjaro-User und brauche Microsoft Teams aus beruflichen 
Gründen.

Leider hat Manjaro diese Software nicht in den offiziellen Quellen und 
Microsoft bietet nur deb und rpm Pakete an. Ich habe also die 
Möglichkeit, Teams aus dem AUR, als Snap oder als Flatpak zu 
installieren.

Leider kommt keines dieser Pakete direkt von Microsoft.

Mein Favorit wäre Flatpak, aber die Frage ist, kann man so einem Paket 
trauen? Oder könnte da ein Keylogger dabei sein, der mein Passwort 
ausspioniert??
Ich habe mal aus Interesse im Github-Repo des Flatpaks gestöbert und bin 
interessanterweise in "com.microsoft.Teams.json" auf eine Verlinkung auf
"https://github.com/LudovicRousseau/PCSC";
gestoßen.
Das ist doch ein Smartcard-Tool?? Wozu braucht man soetwas für Microsoft 
Teams???

Danke euch im Voraus!

von Christian (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Hallo Leute!
>
> Ich bin Manjaro-User und brauche Microsoft Teams aus beruflichen
> Gründen.
>
> Leider hat Manjaro diese Software nicht in den offiziellen Quellen und
> Microsoft bietet nur deb und rpm Pakete an. Ich habe also die
> Möglichkeit, Teams aus dem AUR, als Snap oder als Flatpak zu
> installieren.

Zumindest bei den offiziellen deb-Paketen fügt MS einen eigenen 
getrusteten signing GPG key hinzu. Zudem konfiguriert es es ein 
repository in /etc/apt/sources.list.

Ich finde die Vermischung von Applikations .deb und Repo .deb absolut 
inakzeptabel. MS hätte ein teams.deb und ein ms-repo.deb anbieten können 
(wie unter Debian üblich), oder copy-paste fertige snippets für die 
sources.list.

Außerdem nutzt es natuerlich nicht system-libraries, sondern bringt 
seine eigenen Kopien und Versionen davon mit.

Seitdem nutze ich Teams für Video und Sprache nur auf einem uralt 
Zweitlaptop mit Windows und den Webclient unter Linux für den Chat. Ich 
habe keinen Bock mir meine Linux-Systeme dergestalt verhunzen zu lassen.

von Jack V. (jackv)


Bewertung
0 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Leider kommt keines dieser Pakete direkt von Microsoft.

https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=teams

→ das wird sehr wohl direkt von MS geladen. Es sei denn, für Manjaro 
gibt es ein anderes AUR, dessen PKGBUILDs man blind ausführen muss …

Flatpack hingegen … da ist es „etwas“ aufwendiger, zu gucken, was woher 
gekommen ist.

: Bearbeitet durch User
von Manjaro-user (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Aber das AUR kann sich doch schnell mal ändern, nicht?
Das wird ja von einem einzigen Menschen gemaintaint, oder?
Beim nächsten Update ist der Keylogger dann vielleicht dabei. Oder seh 
ich das falsch? Gibt es überhaupt automatische Updates aus dem AUR?

Bei Debian-basierenden Distros trägt das deb-Paket sich in die Sources 
ein, da kommen die Updates aus dem Repo.

von Jack V. (jackv)


Bewertung
0 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Aber das AUR kann sich doch schnell mal ändern, nicht?
> Das wird ja von einem einzigen Menschen gemaintaint, oder?
> Beim nächsten Update ist der Keylogger dann vielleicht dabei. Oder seh
> ich das falsch? Gibt es überhaupt automatische Updates aus dem AUR?

Und? Die PKGBUILD liegt immer im Klartext vor. Es gibt AUR-Helper, und 
selbst diese halten dich dazu an, die betreffende Datei selbst nochmal 
anzuschauen, bevor das Paket gebaut wird.

Abgesehen davon sollte™ Teams dich von sich aus darauf aufmerksam 
machen, wenn es Updates gibt, so dass du auch ohne AUR-Helper wissen 
solltest, wann du dich drum zu kümmern hast.

von Phil J. (exloermond)


Bewertung
0 lesenswert
nicht lesenswert
Flatpak oder Snaps sind nicht nur ein Repository sondern auch eine 
Laufzeitumgebung für Anwendungen.
Schau dir mal an, wie das ganze funktioniert.

Ich habe nach einer Lösung für Zoom gesucht, da Zoom nicht proaktiv auf 
Updates verweist und ich denen auch keine Rootrechte geben wollte.
Neben der Alternative einer virtuellen Maschine, habe ich das hier 
gefunden, der Autor empfiehlt aber mittlerweile Flatpak:

https://github.com/alexjung/Run-Zoom-in-a-Sandbox

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Christian schrieb:
> Seitdem nutze ich Teams für Video und Sprache nur auf einem uralt
> Zweitlaptop mit Windows

Wem der Platzverbrauch solcher Lösungen zu hoch ist, der kann diesen 
Kram auch in eine VM verbannen. Damit hält man sich nicht nur das 
Grundsystem sauber, sondern kann die VM auch beliebig auf neue/andere 
Hardware verschieben. Weshalb das nicht nur dann sinnvoll ist, wenn 
untenrum Linux regiert, sondern auch mit Windows als Grundsystem.

Obendrein konnte ich damit eine ranzige USB-Kamera retten, deren Mikro 
formell eigentlich Mist liefert. Mist, mit dem Windows zurecht kommt, 
Linux aber nicht.

: Bearbeitet durch User
von Manjaro-user (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Würdet ihr also sagen, dass es besser ist, den AUR zu verwenden und dort 
immer die PKGBUILD anzusehen, bevor man updatet?

von Manjaro-user (Gast)


Bewertung
0 lesenswert
nicht lesenswert
(Flatpak hätte ja meiner Meinung nach den Vorteil, dass es 1. immer 
aktuell ist und 2. die Laufzeitumgebung immer dazupassen würde und daher 
weniger Probleme zu erwarten wären. Solange man dem also vertrauen 
könnte, wäre das meiner Meinung nach die bessere Wahl...)

von Jack V. (jackv)


Bewertung
0 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Würdet ihr also sagen, dass es besser ist, den AUR zu verwenden und dort
> immer die PKGBUILD anzusehen, bevor man updatet?

Zumindest ich halte das für die beste Variante, ja. Immerhin hat man 
da die Möglichkeit, nachzusehen, was drin ist – im Gegensatz zum Flatpak 
von Drittanbietern.

Anders sähe es vielleicht aus, wenn das Paket direkt von MS zur 
Verfügung gestellt würde.

Manjaro-user schrieb:
> Flatpak hätte ja meiner Meinung nach den Vorteil, dass es 1. immer
> aktuell ist

Wer genau gibt dir diese Garantie? Wenn der eine verantwortliche Mensch 
verhindert ist, ist’s das auch nicht – und im Gegensatz zum AUR habe ich 
da keine einfache Möglichkeit gesehen, es deutlich sichtbar als „out of 
date“ flaggen zu können. Auf der anderen Seite lässt sich aber die 
PKGBUILD-Datei auch einfach selbst anpassen, wenn der Maintainer gerade 
verhindert sein sollte, während es etwas aufwendiger ist, ein Flatpak 
selbst zu packen.

: Bearbeitet durch User
von Sven B. (scummos)


Bewertung
1 lesenswert
nicht lesenswert
Eh, MS Teams ist generell nicht vertrauenswürdig, daran ändert dann 
auch die Signatur nicht mehr viel ... :D

von Jack V. (jackv)


Bewertung
0 lesenswert
nicht lesenswert
Sven B. schrieb:
> MS Teams ist generell nicht vertrauenswürdig

Dass MS die Daten abschnorchelt, ist bekannt – ging hier um Dritte, und 
da hilft’s durchaus. MS wird (hoffentlich™) nicht versuchen, einen mit 
Daten aus so Sessions zu erpressen …

von Vorschlag (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Das ist doch ein Smartcard-Tool?? Wozu braucht man soetwas für Microsoft
> Teams???

Um sich mit seiner Firmen SmartCard bei Teams anzumelden.

von S. R. (svenska)


Bewertung
1 lesenswert
nicht lesenswert
Jack V. schrieb:
> MS wird (hoffentlich™) nicht versuchen, einen mit
> Daten aus so Sessions zu erpressen

Sicher nicht. MS wird die Daten frei- oder unfreiwillig an denjenigen 
weitergeben, der das dann tut. Die Frage, ob man Daten überhaupt erheben 
sollte, stellt sich ja seit einigen Jahren überhaupt nicht mehr.

Btw, falls das jemand nicht auf dem Schirm hatte:
Stummschalten ist serverseitig implementiert.

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
S. R. schrieb:
> Stummschalten ist serverseitig implementiert.

Noch ein Grund, sowas in eine VM zu auszulagern.

von Sven B. (scummos)


Bewertung
0 lesenswert
nicht lesenswert
(prx) A. K. schrieb:
> S. R. schrieb:
>> Stummschalten ist serverseitig implementiert.
>
> Noch ein Grund, sowas in eine VM zu auszulagern.

Hilft dir dann genau was?

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Sven B. schrieb:
>>> Stummschalten ist serverseitig implementiert.
>>
>> Noch ein Grund, sowas in eine VM zu auszulagern.
>
> Hilft dir dann genau was?

Einer VM kann ich Kamera und Mikrofon zuverlässig abklemmen. Ich muss 
die VM dazu nicht einmal runterfahren, kann sie weiterhin benutzen, nur 
eben nicht fürs Gelaber. Vertrauen in die höfliche Zurückhaltung von 
Software wie Teams oder Zoom brauche ich dafür nicht.

Einem virtuellen PC kann ich also die Kabel ziehen. Einem physikalen 
Desktop auch, weil nicht eingebaut sondern angesteckt. Inwieweit das 
allerdings beim physikalischen Laptop ebenso zuverlässig funktioniert, 
ist eine Frage des Vertrauens in Gerätehersteller und in das 
Basisbetriebssystem. Aluhüte für eingebaute Kameras gehen jedenfalls 
recht gut weg.

: Bearbeitet durch User
von Sven B. (scummos)


Bewertung
0 lesenswert
nicht lesenswert
(prx) A. K. schrieb:
> Einer VM kann ich Kamera und Mikrofon zuverlässig abklemmen.

Das kann meine Desktopumgebung auch.

(prx) A. K. schrieb:
> und in das Basisbetriebssystem.

Genau. Also: einfach ein Betriebssystem benutzen, dem man vertrauen 
kann, Problem gelöst. Alles andere ist eh Unsinn bei diesem Thema, denn 
wenn das Betriebssystem nicht vertrauenswürdig ist, was bringt es dir 
dann der VM Mikro und Kamera wegzunehmen?

von (prx) A. K. (prx)


Bewertung
2 lesenswert
nicht lesenswert
Sven B. schrieb:
> wenn das Betriebssystem nicht vertrauenswürdig ist, was bringt es dir
> dann der VM Mikro und Kamera wegzunehmen?

In das Linux des Grundsystems habe ich mehr vertrauen als in Zoom, 
Microsoft Teams, oder ein Windows in der VM.

: Bearbeitet durch User
von Nano (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Mein Favorit wäre Flatpak, aber die Frage ist, kann man so einem Paket
> trauen? Oder könnte da ein Keylogger dabei sein, der mein Passwort
> ausspioniert??

Also Flatpak wäre eigentlich die beste Wahl, wenn das Flatpak offiziell 
von MS kommen würde.
Denn Flatpak wurstelt dir nicht in deinem Paketsystem rum und schottet 
die Anwendung auch noch mit Apparmor von anderen Anwendungen ab.

Das Problem ist nur und das hast du selber richtig erkannt, dass dieses 
Flatpak von einem dritten ist. Und dem kannst du halt nicht trauen.
Warum solltest du das auch können?

Bei den Paketen deiner Distri gibt's wengistens die Möglichkeit, dass 
ich viele die Quellcodeänderungen, die auch nicht auf einmal, sondern 
nach und nach eingebaut werden ansehen, da kannst du also mehreren 
Vertrauen.
Ein schwarzes Schaf müsste dort so gesehen von den anderen Schafen 
entdeckt werden, bevor du dessen Produkt nutzen kannst.

Bei Flatpak ist es also wichtig, dass das Paket offiziell von dem kommt, 
der es auch herstellt.
Ihm musst du ja ohnehin vertrauen, wenn du den Code nicht lesen kannst.
Aber er hat auch einen Namen zu verlieren.


Das Deb von MS mit deinem Paketsystem verwursteln würde ich aber auch 
nicht.
Mit dem Deb Paket und Prüfsummen könntest du nachsehen, ob das Flatpak 
Paket sauber ist. Aber das müsstest du bei jedem Update machen.
Das ist nicht realistisch.

Deswegen wäre wohl der einfachste und bequemste Weg der, dass du,
wie jemand bereits vorschlug, dieses MS Zeug einfach in einer 
Distribution, die in einer VM läuft, installierst.
Und das MS Zeug somit erst gar nicht mit dem Hostsystem in Berührung 
kommt.
Läuft was schieß, kannst du die VM löschen und neu erstellen.

Außerdem kannst du für diese VM dann gleich die Distri nehmen, für die 
MS sein deb oder rpm Paket baut.

von S. R. (svenska)


Bewertung
0 lesenswert
nicht lesenswert
(prx) A. K. schrieb:
> Inwieweit das allerdings beim physikalischen Laptop ebenso
> zuverlässig funktioniert, ist eine Frage des Vertrauens in
> Gerätehersteller und in das Basisbetriebssystem.

Meinem Teams-Gerät habe ich die Kamera abgeschaltet, indem ich 
"uvcvideo" auf die Blacklist gesetzt habe. Da Teams keine Rootrechte 
hat, ist dieser Treiber weg. (Ja, ich kann das.)

> Aluhüte für eingebaute Kameras gehen jedenfalls recht gut weg.

Einige Notebooks haben schöne Plastik-Schiebeschalter für die Kamera 
schon eingebaut... ansonsten gibt's die als Teil zum Aufkleben. :-)

Hilft natürlich alles für die Mikrofone nicht, zudem ich die ja brauche. 
Und im PulseAudio rumspielen führt wahrscheinlich zu mehr Problemen als 
es nützt... leider.

Nano schrieb:
> Bei den Paketen deiner Distri gibt's wengistens die Möglichkeit, dass
> ich viele die Quellcodeänderungen, die auch nicht auf einmal, sondern
> nach und nach eingebaut werden ansehen, da kannst du also mehreren
> Vertrauen.

Naja, wenn's drauf ankommt, fällt so ein Ding erst nach Jahren auf, wenn 
ein Security-Researcher eine Seltsamkeit bemerkt. Siehe z.B. Heartbleed.

von Manjaro-user (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Danke für eure Antworten!

Ich habe es jetzt mal aus dem AUR installiert. Man muss eben bei jedem 
Update den Code ansehen. Ist nicht lang und es ist mein einziges 
Programm aus dem AUR, außerdem kommen eher selten Updates, daher ist der 
Aufwand erstmal vertretbar. Ich hoffe, dass es bald ein offizielles Snap 
oder Flatpak Paket gibt. Skype als Snap ist ja auch offiziell.

Eine Virtualisierung kommt für mich deshalb nicht in Frage, da ich mit 
dem Ding Videokonferenzen zu führen habe. (Performance!) Auch zeige ich 
damit verschiedenste Dinge her, die ich in meiner normalen Umgebung 
habe. Da kann ich nicht ständig alles in der VM nachinstallieren und 
rüberschubsen und sonst was. Das muss - vor allem jetzt im Home-Office - 
ohne wenn und aber funktionieren. Zum Glück tut es das bislang. Ich 
klopfe auf Holz...

von A. K. (foxmulder)


Bewertung
0 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Oder könnte da ein Keylogger dabei sein, der mein Passwort
> ausspioniert??

Oh wie machen es nur die Hundertausenden normalen Nutzer.

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
A. K. schrieb:
> Oh wie machen es nur die Hundertausenden normalen Nutzer.

Manche sind das ausspioniert werden schon so gewohnt, dass sie auch in 
einer Videokonferenz nicht mehr drauf Rücksicht nehmen, dass ihnen 
jemand zuguckt - wie etwa Jeffrey Toobin vom "New Yorker".

: Bearbeitet durch User
von Sven B. (scummos)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Oh wie machen es nur die Hundertausenden normalen Nutzer.

falsch

von Nano (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Eine Virtualisierung kommt für mich deshalb nicht in Frage, da ich mit
> dem Ding Videokonferenzen zu führen habe. (Performance!)

Moderne CPUs virtualisieren in Hardware.
Zur Not kannst du der VM noch eine dedizierte GPU zur Verfügung stellen 
und die Bildausgabe über einen zweiten Monitor laufen lassen.
Da merkst du dann keine Geschwindigkeitsunterschiede mehr.

Es ist heutzutage ja auch möglichm dank I/O Virtualisierung AAA High End 
Spiele in einer virtualisierten Umgebung laufen zu lassen.

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Manjaro-user schrieb:
> Eine Virtualisierung kommt für mich deshalb nicht in Frage, da ich mit
> dem Ding Videokonferenzen zu führen habe.

Und inwieweit sollte das ein Problem sein? Mein einstmals mittelguter 
i5-2500 von 2011 hat damit jedenfalls keine Probleme, in der Windows-VM 
mit Linux darunter. Ich hatte das unvirtualisiert sogar schon mit den 
Netbook gemacht, mit einem Dualcore Atom nicht gerade ein Rennpferd.

Einzig gefakter Hintergrund geht so nicht. Da brauchts neuere CPUs.

Nano schrieb:
> Moderne CPUs virtualisieren in Hardware.

Reine Rechenleistung wird durch Virtualisierung kaum gebremst, egal ob 
die CPU Virtualisierungs-Support hat.

: Bearbeitet durch User
von Sven B. (scummos)


Bewertung
0 lesenswert
nicht lesenswert
(prx) A. K. schrieb:
> Reine Rechenleistung wird durch Virtualisierung kaum gebremst, egal ob
> die CPU Virtualisierungs-Support hat.

Äh, bitte was? Schalte mal den Virtualisierungs-Support im BIOS/UEFI aus 
und schau mal, wieviel FPS deine VM noch bringt ...

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Sven B. schrieb:
> (prx) A. K. schrieb:
>> Reine Rechenleistung wird durch Virtualisierung kaum gebremst, egal ob
>> die CPU Virtualisierungs-Support hat.
>
> Äh, bitte was? Schalte mal den Virtualisierungs-Support im BIOS/UEFI aus
> und schau mal, wieviel FPS deine VM noch bringt ...

Ich habe es nun extra hervorgehoben. Ausgabe auf dem Bildschirm ist 
keine reine Rechenleistung. Videoverarbeitung wie Komprimierung und 
Hintergrundersetzung hingegen schon, soweit die CPU das erledigt.

: Bearbeitet durch User

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.