Forum: PC Hard- und Software Ich will auf Linux umsteigen. Hilfe!

Am besten Mumble übers PPA installieren.
Ist ein User gepfletes Tool dann, wird aber über den Paketmanager 
installiert.

Das PPA findest du hier:
https://launchpad.net/~mumble/+archive/ubuntu/release

Da stgeht auch wie das eingerichtet wird.
Sprich:
sudo add-apt-repository ppa:mumble/release
sudo apt-get update
sudo apt-get install mumble

Gruß
Jan

Andreas B. schrieb:
> B. B. schrieb:
>> Da mit Proton alle Spiele ganz wunderbar unter Linux laufen, brauche ich
>> das nicht...
> Das wundert mich allerdings. Mit gleicher Performance?
> Damit wäre ja das letzte Argument pro Win obsolete.

Bei Proton gibt es genug Beispiele, die performanter laufen als unter 
Windows. Einiges läuft halt nicht. Dafür gibt es die Proton DB.

Auch gibt es Linux Ports von Spielen (z.B. Warhammer 40k Dawn auf War 
II, XCOM, XCOM2, etc...) auch Steam, die Nativ laufen.


Ich finde die Diskussion überflüssig, hier über Windows und Linux zu 
diskutieren, wo doch der TO hier Hilfe für Linux sucht.
Wäre genauso sinnfrei darüber zu diskutieren, warum es der XBOX 
Controller und nicht der PS4 Controller sein muss ;-)

Danke für den Hinweis mit Proton. Ich werd dann wohl Umsteigeversuch Nr. 
5 wagen und das mal ausprobieren, da mein Lieblingsspiel gut zu laufen 
scheint.
https://www.protondb.com/app/252950

Andreas B. schrieb:
> B. B. schrieb:
>> Da mit Proton alle Spiele ganz wunderbar unter Linux laufen, brauche ich
>> das nicht...
> Das wundert mich allerdings. Mit gleicher Performance?
> Damit wäre ja das letzte Argument pro Win obsolete.

In Wine liefen Programme schon immer schneller. (Wenn sie laufen und die 
Grafikkarten Treiber des Systems richtig funktionieren).

Thomas K. schrieb:
> Ich nutze Proton seit Jahren, hat eigentlich nur Probleme mit DRM

Mit Proton habe ich noch keine Erfahrung. DRM ist natürlich schon ein 
Problem, aber es ist erstaunlich, wie viel bei Wine da gemacht wird & 
funktioniert. Bisher hatte ich noch nie das vergnügen, etwas zu finden, 
dass nicht geht, aber es ist auch schon eine weile her, dass ich es 
gebraucht hätte. Ändert man nur einen kleinen Aspekt, bricht DRM 
zusammen, einmal hab ich versucht, was mit user emulation (andere CPU 
Architektur) zu starten, da liefen dann nur die Installer & freeware 
Zeugs. Das neuste ist offenbar, dass DRM checkt, dass alle libs PE 
Header haben. Jetzt müssen die armen Devs alle libs ins PE Format 
konvertieren...

B. B. schrieb:
> Nachdem Microsoft mir nun die Freundschaft gekündigt hat
Ich würde das eher 'Hassliebe' nennen ;-)

Nur so aus Interesse:
Warum siehst Du Dich gezwungen sofort auf W11 umzusteigen?
Was kann das denn so tolles neues das ich das unbedingt jetzt brauche?
Windows 10 Support-Ende ist am 14. Oktober 2025.
Ich vermute das Du als Gamer bis dahin schon lange einen neuen und 
kompatiblen Prozessor hast.

Prokrastinator schrieb:
> Ich vermute das Du als Gamer bis dahin schon lange einen neuen und
> kompatiblen Prozessor hast.

Wenn man bereit ist die Kohle abzudrücken und sie auch hat.

Ich persönlich finde es eine Frechheit für ein OS was das selbe kann wie 
mein Win-7 soviel Kohle abzudrücken.

Und erzähle mir nix von Sicherheit. Das ist bei Windows eh ne 
Lachnummer, weil die ein Uraltes OS (Win-3.0) nur noch verschönern aber 
keine Grundlegenden Änderungen machen. Und Prg. mit mehr Bits laufen zu 
lassen ist für mich keine Änderung.

Im Zeitalter der Terrabytes-Platten sollte man ein OS machen, was ein 
kleinen Kern hat, und wo kein Programm in den Bereich des Systems 
schreiben kann / darf.  Klar muss man dann die Standart-Dll's für jedes 
Programm in seinen eigenen Ordner extra kopieren. Aber das macht das 
Leben für Viren sehr schwer. Android ist da auf den richtigen Weg in 
meinen Augen.

Weshalb ich deshalb auf meine Laptops auch bereits Cinnamon installiert 
habe. Dürfte dank Updates auch bei 20.2 liegen.

Für Unterwegs reicht das. Und wenn Kaspersky die Win-7 Unterstützung 
einstellt, dann nehme ich mein Win-7 Rechner (Genau wie mein alten 
Win-XP + Win-2000 Rechner) von Netz und mache das Online-Zeug mit den 
Linux Lappis.

Schlaumaier schrieb:
> Ich persönlich finde es eine Frechheit für ein OS was das selbe kann wie
> mein Win-7 soviel Kohle abzudrücken.
Auf die Gefahr hin hier wieder den alten Win / Linux Krieg zu entfachen:
Welche Kohle?
Ich habe von 7 auf 8 auf 10 für lau das Update gemacht und könnte das 
auch auf 11, wenn denn mein T420 mit I5 und mein T420S mit I7 
unterstützt werden würden und nicht nur der etwas neuere Asus.
Ja, das finde ich allerdings auch ziemlich frech und kurzsichtig von MS.
Warum sind meine nicht unterstützten prozessoren für W10 vollkommen 
ausreichend aber für W11 nicht?
M.E. werden schon alleine deswegen viele nach Supportende auf Linux 
wechseln.
Das werde ich auch, wenn mir bis dahin die Leistung meiner ollen Gurken 
immer noch reicht.

> Und erzähle mir nix von Sicherheit. Das ist bei Windows eh ne
> Lachnummer.
Na da sind aber eine Menge Experten ganz anderer Ansicht.
W10 soll eines der besten Sicherheitskonzepte haben.
Da aber das größte Sicherheitsrisiko vor dem Monitor sitzt, kann kein OS 
den Anwender vor sich selbst schützen, ohne das System so zuzunageln das 
die tägliche Arbeit damit zur Qual wird.

Aber alles das ist meiner Meinung nach Schnee von gestern.
Linux ist absolut geeignet Win zu ersetzen.
Die gewaltigen Unterschiede vergangener Tage sind doch schon lange nicht 
mehr so gewaltig.
Beide haben sich sehr aneinander angenähert und haben ähnliche Probleme.
Win hat eben die größere Marktdurchdringung aber der normale Anwender 
merkt doch kaum noch einen Unterschied.
Ich mag Win und habe mit Linux so meine Schwierigkeiten.
Aber das ist eine persönliche Entscheidung die jeder für sich selbst 
treffen kann.

Nur die alten, überholten Feindbilder und das missionarische schlecht 
machen des 'feindlichen' OS, mit dem man sich ja garnicht auskennt weil 
man zum einzig waren Glauben gefunden hat, geht mir auf den Keks.
Und das wenn man von ganz realen Problemen berichtet immer gleich die 
'DU BIST EIN MORALISCH VERKOMMENER LÜGNER UND MS TROLL, BIST DOOF UND 
STINKST' Karte ausgespielt wird.
Das ist einfach nur dumm und unreif und deswegen führe ich keine 
Diskussionen mehr über OS Fragen.
Was eigentlich schade ist, denn wenn man sich trotz kontroverser 
Meinungen vernünftig austauschen könnte, würde man ja viel lernen 
können.
Aber das ist ja heute die 'Gesprächskultur' im Netz.
Angeblich sind alle so tolerant, aber sobald die eigene Meinung mehr als 
0,6% von der Meinung des Gesprächspartners abweicht findet man 
hauptsächlich degenerierte Arschlöcher mit Mistforken und Fackeln, die 
auch hervorragend auf einen mittelalterliche Hexenprozess passen würden.
Immer nach dem Motto: 'Ich bin toll. Alle meine Entscheidungen basieren 
auf den einzig wahren und guten Gründen und wer andere Entscheidungen 
trifft, greift mich damit persönlich an und muß terminiert werden, denn 
sonst wäre meine Meinung ja nur eine von vielen und nicht die einzige 
die zählt im Universum.'

Damit meine ich keinen im speziellen, aber irgendjemand wird sich den 
Schuh schon anziehen und auch diesen Thread zum OS vs OS Bolzplatz auf 
unterstem Niveau machen.

B. B. schrieb:
> Ich habe mich für Mint Cinnamon 20.2 entschieden.
>
> Über den Paketmanager bekommt man nur eine uralte Version (1.3.0).

Ah, ein weiteres Beispiel für unsichere Pakete in Ubuntu universe und 
multiverse, sowie deren Derivate, wie bspw. Linux Mint.

Die online Package search engine von Linux Mint ist mal wieder kaputt.
Aber da Linux Mint die Pakete von Ubuntu nimmt, dürte Ubuntu 20.04 TLS 
für Mint 20.2 passen.

Die Changelog von Ubuntu 20.04 LTS für Mumble:
http://changelogs.ubuntu.com/changelogs/pool/universe/m/mumble/mumble_1.3.0+dfsg-1build1/changelog

Nun zum Vergleich, das bessere Original Debian 11 stable (Bullseye):
https://metadata.ftp-master.debian.org/changelogs//main/m/mumble/mumble_1.3.4-1_changelog

Oder, die etwas ältere, aber noch ein paar Monate unterstützte Debian 10 
oldstable (Buster) die 2019 erschien und somit sogar älter ist als Linux 
Mint und Ubuntu 20.04 LTS:
https://metadata.ftp-master.debian.org/changelogs//main/m/mumble/mumble_1.3.0~git20190125.440b173+dfsg-2+deb10u1_changelog

Man vergleiche mal die Debian oldstable aus dem Jahr 2019 mit der 
Changelog von Ubuntu 20.04 LTS bzw. die wahrscheinlich gleiche Changelog 
von Linux Mint.

Das letzte Update bekam Ubuntu bzw. Linux Mint am  23 März 2020, das 
war,
wie es auch nicht anders zu erwarten wäre, VOR Release von Ubuntu 20.04 
LTS bzw. Linux Mint.

Nach dieser Zeit, bekam die eigentlich ältere Debian 10 oldstable 
Version noch folgende Sicherheitsupdates gegen folgende 
Sicherheitslücken in Mumble:

1

  * debian/patches:

2

    - Add 67-only-http-https-URLs-in-Connect.diff to fix CVE-2021-27229

3

      "Mumble before 1.3.4 allows remote code execution if a victim navigates

4

       to a crafted URL on a server list and clicks on the Open Webpage text."

5

      This patch only allows "http"/"https" URLs in ConnectDialog

6

      (Closes: #982904)

7

      Thanks to Salvatore Bonaccorso <carnil@debian.org> for reporting the bug

8

      and giving links to the fix.

Dieses Update bekam Debian am 30 April 2021, also vor ca. 5-6 Monaten.

Ubuntu und Linux Mint bekamen dieses Update nicht. Die Mumble Version in 
Ubuntu und Linux Mint enthält noch diese Sicherheitslücken.




> Auf der Mumble-Webseite wird ein Weg über die Komamndozeile (PPA?)
> vorgeschlagen, der jedoch bei mir nicht funktioniert hat (ist Mint hier
> doch anders als Ubuntu? Dort sollte es laut Website funktionieren...).
>
> Das war dann doch etwas frustrierend... Kann mir hier jemand
> weiterhelfen?

Du siehst doch wie schlecht die Sicherheitspolitik bei Ubuntu und Linux 
Mint für Pakete aus dem Ubuntu universe und multiverse Zweig sind.

Ich kann dir nur eindringlich raten auf Debian stable 11 (Bullseye) zu 
wechseln, dann bekommst du für Mumble wenigstens Sicherheitsupdates und 
kannst es somit selbst dann, wenn die Versionsnummer älter sein sollte, 
noch sicher einsetzen.

Wenn du auf Debian umsteigst, dann nimm die unoffical non-free Medien.

Hier der Link:
https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/11.1.0-live+nonfree/amd64/iso-hybrid/

Wenn du Cinnamon als Desktop Oberfläche haben willst, dann bietet sich 
das  Image debian-live-11.1.0-amd64-cinnamon+nonfree.iso an:
https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/11.1.0-live+nonfree/amd64/iso-hybrid/debian-live-11.1.0-amd64-cinnamon+nonfree.iso


Ach und was die PPAs in Ubuntu oder Mint betrifft. Vergiss das.
Jeder beliebige Mensch kann solche PPAs erstellen. Die PPAs werden nicht 
auf eingebaute Schadsoftware wie Trojaner und Co überprüft.
Da könnte dir jeder böswillige etwas unterschieben.

Wenn du schon Software brauchst, die nicht im offiziellen Repository der 
Distribution enthalten ist oder dir dort zu alt ist oder bei dem die 
Entwickler der Software selbst keine Pakete für deine Distribution 
anbieten, dann nimm wenigstens Flatpak Pakete, denn die laufen 
wenigstens in einer Sandbox.
https://flathub.org/home

Bzw. Mumble:
https://flathub.org/apps/details/info.mumble.Mumble

In der aktuellen Debian Stable, also Version 11 Bullseye ist Mumble 
übrigens auf dem Versionsstand 1.3.4.

B. B. schrieb:
> Andreas B. schrieb:
>> Aber warum man Windows Spiele jetzt unbedingt unter Linux laufen lassen
>> möchte, erschließt sich mir irgendwie nicht.
>> Als Gamer würde ich mir eine extra Kiste dafür hinstellen.
>
> Ich soll mir jetzt also noch einen neuen Gaming-PC anschaffen, nur damit
> ich Windows 11 installieren und darauf spielen kann?

Zum Thema Gaming.
Windows 10 wird noch bis Oktober 2025 unterstützt. Damit sollte auch 
deine CPU laufen.

Linux könntest du neben Windows 10 als Dual Boot Maschine einrichten, 
dann kannst du hin und herwechseln und auf Windows zurückgreifen, wenn 
mal etwas nicht so klappt wie gewünscht oder ein Spiel noch nicht nach 
Linux portiert wurde oder falls da mit Proton etwas noch nicht 
zufriedenstellend läuft.

Den Rat geb ich dir als Gamer.

Prokrastinator schrieb:
> Ich habe von 7 auf 8 auf 10 für lau das Update gemacht und könnte das
> auch auf 11, wenn denn mein T420 mit I5 und mein T420S mit I7
> unterstützt werden würden und nicht nur der etwas neuere Asus.

Perfekt erkannt und selbst beantwortet die Frage.

Nur weil MS die Kohle von den Herstellern bekommt, heißt das nicht das 
ich das neue OS nicht bezahlen muss.

Und wenn ich mir die Sprüche hier im Forum ansehe (inkl. deinen) dann 
reden wir hier über viel Kohle. Nämlich für ein neuen Rechner und nicht 
nur die "üblichen" 149 Euro für eine Freie Windows-Version.  Was 
nebenbei auch schon zu viel ist.

Und nun rechne mal. Kosten deines I5 + Kosten deines I7.  Sind die in 
ca. 4 Jahren so schlecht das du die Wegwerfen musst ??  Dann ist nämlich 
die Update-Zeit von Win-10 abgelaufen.

DAS sind die Kosten die ich meine. !!!

Einer der "Lappis" auf den Cimmeron 17(Letzte 32 Bit Version aber es 
gibt noch Updates, jedenfalls sagt das der Aktualisierungsmanager 
dauernd). läuft ist ein Samsung NP-NC-10. Das ist ein bessere EEE-PC 
(hat nur eine 128 GB SSD bekommen für aktuell 17 Euro).

Mein Acer 7520g Laptop ist 64 Bit fähig und hat Cimmeron 20.2 drauf. 
Rennt wie die Hölle (auch mit einer alten 128 GB SSD bestückt als 
Hauptplatte).

Ja Vorsicht dieser ganze Debianderivatescheiß ist hochgefährlich !
So ein Spielerechner ist immerhin ein extrem sicherheitsrelevante 
Angelegenheit.

B. B. schrieb:
> Daher würde ich gerne jetzt schon meine Fühler in Richtung Linux
> ausstrecken. Über die nächsten Jahre werde ich beide Systeme (Win 10 und
> Linux) parallel installieren und nutzen, und so viele Erfahrungen
> sammeln wie möglich.

Das ist eine weise und kluge Entscheidung.

blob schrieb:
> Ja Vorsicht dieser ganze Debianderivatescheiß ist hochgefährlich !
> So ein Spielerechner ist immerhin ein extrem sicherheitsrelevante
> Angelegenheit.

Mit Mumble hängst du praktisch mit einer von außen erreichbaren 
Internetanwendung im Netz. Da muss man nur die Mumble Ports abklappern 
um Rechner zu finden, die man als Botnetz missbrauchen kann.
Und dafür ist auch dein Spielerechner gut genug.

Noch interessanter ist allerdings die in Spielerechnern typische Highend 
Grafikkarte, die lässt sich dann gut zum Kryptomining verwenden.

Schlaumaier schrieb:
> Prokrastinator schrieb:
>> Ich habe von 7 auf 8 auf 10 für lau das Update gemacht und könnte das
>> auch auf 11, wenn denn mein T420 mit I5 und mein T420S mit I7
>> unterstützt werden würden und nicht nur der etwas neuere Asus.
> ...
> Und wenn ich mir die Sprüche hier im Forum ansehe (inkl. deinen) dann
> reden wir hier über viel Kohle. Nämlich für ein neuen Rechner und nicht
> nur die "üblichen" 149 Euro für eine Freie Windows-Version.  Was
> nebenbei auch schon zu viel ist.
>
> Und nun rechne mal. Kosten deines I5 + Kosten deines I7.  Sind die in
> ca. 4 Jahren so schlecht das du die Wegwerfen musst ??  Dann ist nämlich
> die Update-Zeit von Win-10 abgelaufen.
>
> DAS sind die Kosten die ich meine. !!!

Klar, allerdings kommt man als Gamer ohnehin nicht darum herum, seine 
Hardware alle paar Jahre mal upzugraden.

Johannes U. schrieb:
> Nano schrieb:
>
>> Ich kann dir nur eindringlich raten auf Debian stable 11 (Bullseye) zu
>> wechseln, dann bekommst du für Mumble wenigstens Sicherheitsupdates und
>> kannst es somit selbst dann, wenn die Versionsnummer älter sein sollte,
>> noch sicher einsetzen.
>
> Alternativ kann man auch bei Mint bleiben, nur nicht den Ubuntu-Ableger
> nehmen, sondern den Debian Zweig LMDE.

Ja, besser als ein Mint das auf Ubuntu aufbaut ist das sicherlich.


> In der jetzigen Version 4 noch auf Debian10 basierend, die Arbeiten fuer
> LMDE5 / Debian11 haben aber schon begonnen.
> Ein dist-upgrade wird meiner Erfahrung nach kein Problem sein, wenn man
> sich an die herausgegebenen Richtlinien dafuer haelt.

Kann man von einem Ubuntu Mint direkt zu einem Debian Mint wechseln?
Wird das offiziell unterstützt?

Schlaumaier schrieb:
> Und nun rechne mal. Kosten deines I5 + Kosten deines I7.  Sind die in
> ca. 4 Jahren so schlecht das du die Wegwerfen musst ??
K.A. Die sind jetzt ja schon 8J alt 😂

> DAS sind die Kosten die ich meine. !!!
Verdammt, Du meinst ich muß dann nochmal ca. 150€ pro Gerät ausgeben 
wenn ich mir die wieder gebraucht aus der Bucht kaufe?
Ach du Schande 😨
Das ist ja mindestens zwei mal volltanken oder 3M rauchen.
Nur das ich jede Woche volltanken muss aber nur alle 5-10 Jahre einen 
neuen gebrauchten Lappi brauche.

Diese vermalmedeiten Schurken bei MS!
Zwingen die mir doch tatsächlich Kosten auf, die ich nebenbei für ein 
Eval Board ausgebe nur um auf die schnelle zu evaluieren ob der IC was 
für mein Projekt ist.
Ach hör doch auf, das ist doch überhaupt kein Geld.
Ich verdiene Kohle mit meiner Arbeit am PC.
Selbst die Schuhe die ich bei der Arbeit trage kosten mich im Verlaufe 
eines PC Lebens mehr als der PC.
Einfach mal die Kostenrelationen sehen.

Muss Shell jetzt auch noch verbleiten Sprit ohne Ethanol Zusatz an der 
Tanke verkaufen, weil Du noch das Ford Modell T fährst?
MS schneidet alte Zöpfe ab und wird Altlasten los, die in 4J keine Rolle 
mehr spielen werden die für MS geschäftlich relevant sind.
Bis dahin haben die auch noch 4J Zeit zu sondieren ob ihr Markt da 
mitgeht oder wie groß der Wechselwillen dann ist.
Da arbeiten nicht nur Idioten. Dafür sind die viel zu erfolgreich.

Achso wuste nicht das jetzt die Linuxrechner die unsicheren 
dreckschleudern sind. Hätte nicht gedacht das das so einfach ist da ein 
botnetz zu installieren geht das auch unter Windows so einfach oder nur 
unter Debianderivaten?
Das mit dem Kryptomining sollte man auf einem Spielerechner schon noch 
merken oder?

Dein alter Ryzen hat sicher Spectre Sicherheitslöcher ohne Ende.
Mit Linux wird da auch nix besser.

Mein Laptop mit Celeron-ProzZzZzessor läuft mit Win 10.
Und den habe ich 2013 gekauft. Jetzt kann ich den mit Windows 10
also nich bis 2025 weiterbetreiben wenn der nicht vorher verreckt.
Das sind mal Perspektiven.

Prokrastinator schrieb:
> Muss Shell jetzt auch noch verbleiten Sprit ohne Ethanol Zusatz an der
> Tanke verkaufen, weil Du noch das Ford Modell T fährst?

Wenn du in deiner Tanke in den Verkaufsraum gehst und nach den passenden 
Blei-Zusatz fragst, verkaufen die dir den. Und bei einen Modell-T darfst 
du den sogar legal verwenden.

blob schrieb:
> Achso wuste nicht das jetzt die Linuxrechner die unsicheren
> dreckschleudern sind.

Lass dich nicht ins Boxhorn jagen. Alle großen Server laufen auf Linux 
(o.ä.) weil MS bisher da nicht wirklich ein Bein auf die Erde bekommen 
hat.

Ich habe auf meinen Lappis ein Leistungs-Überwachungsprogramm laufen. Da 
merke ich sofort wenn da was unrund läuft. Und ein 
Trafic-Überwachungsprogramm genau wie unter Windows)

Davon abgesehen hat Linux eine Firewall (gib es mal ein oben mit Menü) 
die um Längen besser ist, als der Windows Mist.

Sicherheitslücken gibt es immer. Sonst könnte ja Windows die nicht als 
Werbestrategie benutzen damit User ihren neuen Überwachungsmist (da sind 
die echt besser geworden) benutzen.

Ich kenne mich noch nicht so gut aus mit Linux deshalb läuft das Aktuell 
nur auf meinen alten Lappis.

Für die Top-Rechner suche ich eh gerade ein Wechselplattensystem wie ich 
eins für die IDE-Schnittstelle habe. Was bedeutet, Knopf drücken, 
rausziehen, und de anderen Halter mit der andere Festplatte drauf rein 
schieben. Das ganze für 20 Euro den Träger + 10 Euro pro Halter max.

Dann kann ich nämlich Stressfrei alles Testen was ich will.  Ach ja, ich 
hasse Bootmanager. !!!!1

blob schrieb:
> Achso wuste nicht das jetzt die Linuxrechner die unsicheren
> dreckschleudern sind.

Darum geht es nicht. Prinzipiell ist jedes Betriebssystem angreifbar.

> Hätte nicht gedacht das das so einfach ist da ein
> botnetz zu installieren geht das auch unter Windows so einfach oder nur
> unter Debianderivaten?

Wenn du unter Windows eine veraltete Mumbleversion mit Sicherheitslücken 
einsetzt, geht das da genauso.

Grundsätzlich öffnet dir Software mit einer Sicherheitslücke immer eine 
Türe, die man ausnutzen kann.

> Das mit dem Kryptomining sollte man auf einem Spielerechner schon noch
> merken oder?

Man spielt nicht immer.
Die Kryptomining Software wird schlau genug sein, die Grafikkarte 
freizugeben, wenn ein Nutzer ein Spiel startet.

Nano schrieb:
> Ich kann dir nur eindringlich raten auf Debian stable 11 (Bullseye) zu
> wechseln, dann bekommst du für Mumble wenigstens Sicherheitsupdates und
> kannst es somit selbst dann, wenn die Versionsnummer älter sein sollte,
> noch sicher einsetzen.


Es kommt immer darauf an, was man machen will.
Debian Stable nehme ich für Server, etc.

Wenn du es sicher haben willst, dann sind Debian und Ubuntu nicht die 
richtige Wahl. Dann eher sourcebasiert (Gentoo) oder ein Arch Derivat.

Universe und Multiverse sind halt nicht immer aktuell. Dafür kann man 
dann ein PPA laden.
Ubuntu selbst pflegt halt nur den Core.

Und bzw. alt heißt nicht gleich unsicher.


Ich selbst habe folgende Systeme zu Hause:
Manjaro auf dem Laptop zum Arbeiten
Linux Mint zum spielen
RaspberryOS für den Raspberry :-)

Und noch zwei Windows 10 basiere System für Frau und Sohn, da die kein 
Bock auf basteln haben.
Hier (https://www.youtube.com/watch?v=gtdYBc3p5Kw) erklärt Chris Titus 
nochmal den Unterschied zwischen Debian und Arch :-)

Schönes Wochenende

Anarchist schrieb:
> Dein alter Ryzen hat sicher Spectre Sicherheitslöcher ohne Ende.
> Mit Linux wird da auch nix besser.

Deswegen bekamen Linux als auch Windows entsprechende Patches als 
Workaround und manche CPUs, wenn sie nicht zu alt waren, neue 
Microcodefirmware, um das Spectreproblem halbwegs in den Griff zu 
kriegen.

Die Pakete für die neuen Microcodes heißen in den Debiandervaten 
übrigens:
intel-microcode
und
amd64-microcode

So dass sie, selbst wenn man kein BIOS Update mehr vom MB Hersteller 
erhält, in der Startphase des Kernels nachgeladen werden können.

Bei Windows >= 10 ist das ähnlich.

B. B. schrieb:
> Ein paar Klicki-Bunti-Icons im Startmenü (darf man das unter Linux so
> nennen?) oder der Taskbar (jaja, schon wieder Windows-Slang) wären nicht
> schlecht. Spätestens wenn meine Frau an dem Rechner mal ein Programm
> öffnen möchte, wird's sonst kritisch ;-)

Also die JAVA-Teile (getestet) kannst du auch auf den Desktop legen. 
Musst dann nur in den Eigenschaften den sagen das sie mit Java gestartet 
werden sollen.

Ich habe so ein JAVA-Teil auf mein Desktop gemacht und es sogar in den 
Autostart eingebunden, musste aber (kann an den alten Rechnern liegen) 
eine Startverzögerung von 30 Sekunden einstellen.

Einziger Nachteil : Das ist etwas aufwendiger als bei Windows.

Ich habe mich dabei an diese Anleitung gehalten.

https://wiki.byte-welt.net/wiki/Programmstarter_f%C3%BCr_Java-Programme_anlegen

k.a. ob das auch für andere Sprachen geht.

B. B. schrieb:
> Noch mal eine (Anfänger)Frage zu den Flatpaks:
>
> Da sieht das Repo ja sehr gut gepflegt aus (viel Auswahl und alles
> aktuell). Aber lassen die sich wirklich nur über die Kommandozeile
> starten?

Ich glaube bei mir sind die immer erst nach Neustart des Windowmanagers 
(z.B. durch Reboot) aufgetaucht. Sonst kann man die auch händisch 
anlegen.

Schlaumaier schrieb:
> Davon abgesehen hat Linux eine Firewall (gib es mal ein oben mit Menü)
> die um Längen besser ist, als der Windows Mist.

Das kann man so nicht sagen.
Die Firewall unter Windows ist sich der Prozesse, die eine Portfreigabe 
benötigen, bewusst.
Das gibt es unter Linux meines Wissens nach so noch nicht. Zumindest 
weiß ich davon nichts.

Die stärken der Linux FW liegen woanders und eignen sich besonders gut, 
wenn der FW Rechner nicht gleichzeitig auch der Clientrechner ist.
Also den Datenstrom nur filtern, aber selbst nicht nutzen soll.

B. B. schrieb:
> Noch mal eine (Anfänger)Frage zu den Flatpaks:
>
> Da sieht das Repo ja sehr gut gepflegt aus (viel Auswahl und alles
> aktuell). Aber lassen die sich wirklich nur über die Kommandozeile
> starten?

Schau mal hier rein:
https://wiki.ubuntuusers.de/Flatpak/


Das was in der Wiki von ubuntuusers steht, lässt sich übrigens in 99,7 % 
der Fälle 1 zu 1  zu Debian übertragen.
Das liegt daran, weil Ubuntu auf Debian aufbaut und die Pakete aus 
Debian SID zu irgendeinem Zeitpunkt vor dem Release der nächsten 
Ubuntuversion holt.
Und Mint baut auf Ubuntu auf.

Debian SID ist der Entwicklungszweig von Debian.


> Ein paar Klicki-Bunti-Icons im Startmenü (darf man das unter Linux so
> nennen?) oder der Taskbar (jaja, schon wieder Windows-Slang) wären nicht
> schlecht. Spätestens wenn meine Frau an dem Rechner mal ein Programm
> öffnen möchte, wird's sonst kritisch ;-)

Grundsätzlich kann man Einträge fürs "Startmenü" selber erstellen, wenn 
es bei der Installation eines Programms aus dritter Quelle nicht gemacht 
werden sollte.
Das ist auch gar nicht schwer.
Man muss ja nur den Pfad zum Binary angeben und noch ein passendes Icon 
auswählen.

Jan schrieb:
> Nano schrieb:
> Wenn du es sicher haben willst, dann sind Debian und Ubuntu nicht die
> richtige Wahl. Dann eher sourcebasiert (Gentoo) oder ein Arch Derivat.

Das sehe ich nicht so.
Die Pakete in Debian werden sehr gut gepflegt und Sicherheitslücken auch 
nachgepatched.
Außerdem baut Gentoo und Arch auf sehr neuen Versionen auf, die können 
durch Funktionserweiterungen ebenso Sicherheitslücken enthalten, die die 
alten Versionen nicht haben, weil da diese Funktionserweiterungen 
fehlen.

Sicherheitslücken können somit überall vorhanden sein, wichtig ist aber, 
wie damit umgegangen wird und ob es transparent kommuniziert wird und 
man sich als Nutzer bzw. Admin dann darauf einstellen kann.
Dies ist bei Debian gegeben.

Außerdem will ich als Nutzer eine stable Release und keinen 
Rollingrelease, der dann ständig mit Funkionsupdates nervt oder was 
updaten will, während man eigentlich etwas arbeiten möchte.

> Universe und Multiverse sind halt nicht immer aktuell.

Nein, für diese Repos wird schlichtweg keine organisierte 
Sicherheitspolitik betrieben.

> Dafür kann man
> dann ein PPA laden.

Nein, siehe oben.

> Ubuntu selbst pflegt halt nur den Core.

Ich weiß. siehe die alten Diskussionen hier auf microcontroller, da 
hatte ich das schon erklärt.

> Und bzw. alt heißt nicht gleich unsicher.

So ist es, siehe oben. Sicherheit gibt es nur über eine ordentliche 
Sicherheitspolitik. Die ist bei Debian gegeben, bei Ubuntu nur für main.

Jan schrieb:
> Ich selbst habe folgende Systeme zu Hause:
> Manjaro auf dem Laptop zum Arbeiten

Noch eine Ergänzung.

Manjaro ist zum Arbeiten nicht die richtige Wahl, da nimmt man besser 
eine stable Distribution ohne Rolling Release.
Siehe mein letztes Kommentar.

Ausnahme wären nur Entwickler, die zwingend die neusten Libs brauchen 
und davon auch noch eine Vielzahl neuer Libs.

Schlaumaier schrieb:
> Wenn du in deiner Tanke in den Verkaufsraum gehst und nach den passenden
> Blei-Zusatz fragst, verkaufen die dir den. Und bei einen Modell-T darfst
> du den sogar legal verwenden.

Und wenn Du die MS Anleitung beachtest, kannst Du W11 auch auf 
inkompatibler HW verwenden.
Nur ohne Garantie das das funzt und Du automatische Updates bekommst.
Auch ist es noch 4J hin, bis überhaupt klar ist wann denn wirklich W10 
supportende ist und was W11 dann wirklich ist und will.
Sind doch noch alles ferne Ankündigungen.

Also ist doch alles gut, oder?
Außerdem bist Du doch ohnehin schon halb bei Linux und bist mit dem 
Gebaren von MS sehr unzufrieden, was ich ja durchaus nachvollziehen 
kann.

Dann bringt doch aber die Aufregerei über W11 nichts.
Was hält Dich denn noch bei W7?
Bei mir ist es die Tatsache das ich zu 95% HW mache und einfach keinen 
Bock habe die ganzen Win Tools der Hersteller auf Linux 'irgendwie' und 
unter großem Zeitaufwand zum laufen zu bekommen.
Wäre es das nicht, sähe ich keinen Grund an Win festzuhalten.

Klar, ich müsste ein paar Sachen umgewöhnen und noch einiges Lernen, 
aber das muß ich bei jedem neuen komplexen Tool auch.
Und mehr ist mein PC und das OS nicht für mich. Nur ein Tool.
Das Win Tool kenne ich eben und das funzt gut für mich.
Aber ich ersetze Tools ohne mit der Wimper zu zucken, wenn ein anderes 
den Job besser macht und die Einarbeitung den Mehrnutzen lohnt.

Ich mach ja auch kein Eagle mehr, nur weil das vor 100J mal das beste 
war das ich bekommen konnte.

B. B. schrieb:
> Da sieht das Repo ja sehr gut gepflegt aus (viel Auswahl und alles
> aktuell). Aber lassen die sich wirklich nur über die Kommandozeile
> starten?

Mint hat flatpack intregriert. Habe es gerade getestet mit 20.1 und 
Firefox. Nach klick auf flathub wird die Anwendungsverwaltung geöffnet 
und die Software (nach klicken auf installieren) installiert.

Nano schrieb:
> In der aktuellen Debian Stable, also Version 11 Bullseye ist Mumble
> übrigens auf dem Versionsstand 1.3.4.

In der aktuellen stabilen Version 21.04 von Ubuntu ebenso.

Nachtrag 2ter Test free Orion genauso einfach über flathub installiert 
aber .. mal wieder nich im Menü Spiele zu finden. Typisch Cinnamon muss 
man mal wieder händisch über die Menübearbeitung  einrichten.
Bastelleidenschaft gehört halt schon dazu

Nur_ein_Typ schrieb:
> Nano schrieb:
>> In der aktuellen Debian Stable, also Version 11 Bullseye ist Mumble
>> übrigens auf dem Versionsstand 1.3.4.
>
> In der aktuellen stabilen Version 21.04 von Ubuntu ebenso.

Selbstverständlich, die Pakete sind ja auch aus Debian Sid.

Nur wird es nach ein paar Monaten für Ubuntu 21.04 dann mit sehr hoher 
Wahrscheinlichkeit wieder keinen Patch geben, falls eine 
Sicherheitslücke bekannt werden sollte. Für Debian allerdings schon.

blob schrieb:
> Nachtrag 2ter Test free Orion genauso einfach über flathub installiert
> aber

Free Orion habe ich schon lange nicht mehr verfolgt.
Wie weit ist das Spiel denn inzwischen entwickelt?
Ist es gut spielbar oder fehlt da noch einiges?

Nano schrieb:
> blob schrieb:
>> Ja Vorsicht dieser ganze Debianderivatescheiß ist hochgefährlich !
>> So ein Spielerechner ist immerhin ein extrem sicherheitsrelevante
>> Angelegenheit.
>
> Mit Mumble hängst du praktisch mit einer von außen erreichbaren
> Internetanwendung im Netz. Da muss man nur die Mumble Ports abklappern
> um Rechner zu finden, die man als Botnetz missbrauchen kann.

Ich kenne Mumble zwar nicht, aber wenn das stimmt, dann ist das ein 
grundsätzliches Sicherheitsthema mit dieser Software. Mit dem Bug, den 
Mumble Version 1.3.4 behebt, hat das allerdings nichts zu tun. Denn um 
den auszunutzen, muß der Benutzer einen problematischen Link anklicken.

Schlaumaier schrieb:
> Ich habe auf meinen Lappis ein Leistungs-Überwachungsprogramm laufen. Da
> merke ich sofort wenn da was unrund läuft. Und ein
> Trafic-Überwachungsprogramm genau wie unter Windows)

Die wenigsten sachlichen Argumente beginnen mit "ich habe".

> Davon abgesehen hat Linux eine Firewall (gib es mal ein oben mit Menü)
> die um Längen besser ist, als der Windows Mist.

Nun hatte ich Nano widersprochen, weil er wieder einmal etwas 
überdramatisiert, um dann sein geliebtes Debian anzupreisen. Könntest 
allerdings auch Du bitte aufhören, solchen Unfug zu reden? Gegen den 
Fehler, auf den None hingewiesen hat, nutzt ein Paketfilter-Firewall 
genau nichts.

Prokrastinator schrieb:
> Was hält Dich denn noch bei W7?

Software-Entwicklung die ich selbst mache.

Und meine ganze teure Software + alte aber gut laufende Hardware.

So ein Umstieg ist halt in der Praxis schwer nach vielen Jahren immer 
das "selbe" Grundsystem.


Aber du hast recht. Ich bin zu 30% bei Linux. Muss mich da aber mühsam 
einarbeiten und das braucht seine Zeit.

Ich denke es wird auf ein 2-Systeme System heraus laufen. Also 
irgendwann Internet via Linux und den Rest weiter auf Windows.

Und da ich beide Systeme im Netz eh schon verbunden habe .... ;)

Nano schrieb:
>> Dafür kann man dann ein PPA laden.
>
> Nein, siehe oben.

Doch. Das Mumble-Projekt bietet höchstselbst ein PPA an und pflegt es 
natürlich [1]. Wenn Du dem nicht vertraust, kannst Du der ganzen 
Software nicht vertrauen.

In dem PPA ist, wen wundert's, die aktuellste Version erhältlich -- 
dieselbe wie in Debian. Allerdings hat Debian aktuell nur deswegen den 
Vorteil eines aktuellen Pakets im aktuellen Release, weil dieses Release 
gerade einmal zwei Monate alt ist. Nächstes Jahr um diese Zeit wird die 
Debian-Version dieselbe wie heute, höchstwahrscheinlich also veraltet 
sein, während das dann aktuelle Ubuntu 22.10 selbstverständlich die dann 
aktuelle Version enthalten wird.

[1] https://launchpad.net/~mumble/+archive/ubuntu/release

Cyblord -. schrieb:
> Ja das ist die Linux Logik (kurz: LL). Alles was auf Linux nicht läuft,
> brauchst du nicht. Für den Rest einfach nen Zweitrechner.
>
> Ist wie beim E-Auto (beide Ideologie eng verwandt): Erstens braucht
> NIEMAND eine große Reichweite und schnelles tanken bei einem Auto. Falls
> es doch jemand braucht -> Mietwagen/Zweitwagen.
>
> Und an die Tatsache dass deine liebgewonnen Anwendungen nicht mehr alle
> auf Linux laufen kannst du dich schon mal gewöhnen. Aber der Schmerz
> gehört dazu. Zur Linux Ideologie. Durch diesen Schmerz merkst du erst
> wie frei du jetzt bist.

Interessante Betrachtungsweise. Ich lebe jetzt bereits seit ca. 2004 
ausschließlich unter Schmerzen. Und davor schon viele Jahre lang 
selektiv unter Schmerzen.

Rückschauend betrachtet, war das gar nicht so schlimm.

Mittlerweile könnte man sogar sagen das ich unter dem 
›Münchhausen-Stellvertretersyndrom‹ leide! ;-)

PS. Danke für die Realsatire!

Nur_ein_Typ schrieb:
> Nano schrieb:
>> blob schrieb:
>>> Ja Vorsicht dieser ganze Debianderivatescheiß ist hochgefährlich !
>>> So ein Spielerechner ist immerhin ein extrem sicherheitsrelevante
>>> Angelegenheit.
>>
>> Mit Mumble hängst du praktisch mit einer von außen erreichbaren
>> Internetanwendung im Netz. Da muss man nur die Mumble Ports abklappern
>> um Rechner zu finden, die man als Botnetz missbrauchen kann.
>
> Ich kenne Mumble zwar nicht, aber wenn das stimmt, dann ist das ein
> grundsätzliches Sicherheitsthema mit dieser Software.

Jede netzwerkfähige Software die Eingaben von außen erlaubt kann ein 
Risiko darstellen, wenn sie entsprechende Sicherheitslückenaufweist, 
weswegen diese immer gut mit Sicherheitspatches versorgt werden sollten.

Allerdings muss man bei Mumble dazu sagen, dass der Client sich mit dem 
Server verbinden muss und dann eine gescheite Firewall die Verbindung 
dann in Bezug setzen kann und andere Verbindungen von Außen somit 
blocken kann.
Die Angriffsfläche wäre somit reduziert.

Da müsste man dann lediglich noch prüfen, ob die Verbindung mit den 
anderen Clients ausschließlich über den Server laufen oder ob der Server 
die Clients dann lediglich miteinander vermittelt und die Clients dann 
direkt miteinander kommunizieren.
Insofern ist meine obige Aussage im Kontext zu betrachten. Der Client 
ist schließlich selbst noch kein reiner Server. Obiges was ich in meinem 
letzten Kommentar dazu geschrieben habe gilt insbesondere für 
Anwendungen, die als Server funktionieren und auf Eingaben von außen 
warten.

Da Mumble aber eine Anwendung ist die hauptsächlich für die 
Kommunikation übers Netzwerk verwendet wird, ist hier besondere Vorsicht 
angesagt.
Das ist das, was ich damit sagen wollte.

> Mit dem Bug, den
> Mumble Version 1.3.4 behebt, hat das allerdings nichts zu tun.

Habe ich auch nicht behauptet. Nur sollte man sich der Sicherheitsfragen 
mit solchen Antworten bewusst sein.
Diese Art von Software gehört regelmäßig mit Sicherheitspatches 
versorgt.

Der Bug ist übrigens auch in Mumble Version 1.3.0 behoben, allerdings 
nur in dem Paket von Debian oldstable Buster, nicht in Ubuntu.
Bei Debian Buster ist das ein typischer rückportierter 
Sicherheitspatches, wie es bei guten Distributionen der Fall sein 
sollte.

Nano schrieb:
>> Dafür kann man
>> dann ein PPA laden.
>
> Nein, siehe oben.

oben dann:

Nano schrieb:
> Ach und was die PPAs in Ubuntu oder Mint betrifft. Vergiss das.
> Jeder beliebige Mensch kann solche PPAs erstellen. Die PPAs werden nicht
> auf eingebaute Schadsoftware wie Trojaner und Co überprüft.
> Da könnte dir jeder böswillige etwas unterschieben.

Jan hatte ja einen Link auf:
https://launchpad.net/~mumble/+archive/ubuntu/release
also eine https Seite von Canonical Ltd.

OK Canonical sind wohl von der dunklen Seite der Macht, aber die werden 
ja nicht so doof sein da Schadsoftware wie Trojaner und Co zu 
veroffentlichen. Andererseits verstehe ich auch nicht ein "beliebiger 
Mensch" auf eine https Seite seine verseuchten PPAs stellen kann. Auch 
wenn ich einräume das ich auch lieber ohne PPAs lebe.

Ich bevorzuge eindeutig Systeme auf denen das meiste läuft ohne das so 
ein Stümper wie ich daran herumgeschraubt hat. Deswegen kommt für mich 
Debian nicht mehr in Frage.

Cyblord -. schrieb:
> Du hast noch vergessen zu erwähnen dass auch deine Oma, deine Mutter und
> dein Frisör ausschließlich und mit viel Freude Linux verwenden. Ohne
> jemals Probleme gehabt zu haben.
>
> Vergessen?
> Kommt vielleicht noch?

Oma lebt nicht mehr, Mutter will nicht, Frisör … jetzt mal ehrlich, was 
willst du uns mit deinem Quatsch eigentlich erzählen.

Probleme? Ja selbstverständlich gab's die. Wie bei allen anderen 
Systemen auch. Außer bei Windows, das hat keine.

Nano schrieb:
> Free Orion habe ich schon lange nicht mehr verfolgt.
> Wie weit ist das Spiel denn inzwischen entwickelt?
> Ist es gut spielbar oder fehlt da noch einiges?

Ich habe es nur wahllos als Test installiert sieht nicht gerade 
überzeugen aus.

Nur_ein_Typ schrieb:
> Nano schrieb:
>>> Dafür kann man dann ein PPA laden.
>>
>> Nein, siehe oben.
>
> Doch. Das Mumble-Projekt bietet höchstselbst ein PPA an und pflegt es
> natürlich [1].

Gut, dann ist es bei Mumble eine Ausnahme.

Meine Aussage ist generell zu verstehen, es kann natürlich auch 
Ausnahmen geben.


> Allerdings hat Debian aktuell nur deswegen den
> Vorteil eines aktuellen Pakets im aktuellen Release, weil dieses Release
> gerade einmal zwei Monate alt ist.

Ich habe ihm nur gesagt, welche Version im aktuellen Debian enthalten 
ist, mehr nicht. :p



> Nächstes Jahr um diese Zeit wird die
> Debian-Version dieselbe wie heute, ... sein

Selbstverständlich. Allerdings wird sie Sicherheitsupdates erhalten, 
wenn es welche gibt oder wenigstens klar kommuniziert werden, wenn sie 
Sicherheitslücken enthalten sollte.
Beides ist ein großer Unterschied zu Ubuntu oder Mint.

> höchstwahrscheinlich also veraltet

Das ist nicht zwingend so.
Wenn das Protokoll, dass verwendet wird, um sich mit dem Server zu 
verbinden, sich nicht ändert, wird man auch die alte Version weiterhin 
einsetzen können.
Man muss dann halt auf die neuen Features verzichten, die eine neue 
Version dann mit sich bringt.

Und da es Mumble jetzt schon seit vielen Jahren gibt, sind größere 
Protokolländerungen nicht zu erwarten.

> während das dann aktuelle Ubuntu 22.10 selbstverständlich die dann
> aktuelle Version enthalten wird.

Und was bringt das?
Es reicht wenn 3 Tage nach Release von Ubuntu 22.10 eine 
Sicherheitslücke in dieser Anwendung bekannt wird.
Dann wird dieses supernagelneue Ubuntu mit hoher Wahrscheinlichkeit kein 
Sicherheitsupdate für diese Anwendung bekommen, Debian allerdings schon.

Dann hast du ein neue Distribution mit einer Software, deren 
Einsatzfähigkeit schon wieder veraltet und nicht empfehlenswert ist, 
weil die Sicherheitslücke nicht gefixt ist.
Und bei Debian hast du dann zwar eine 1 Jahr alte Version, aber die 
kannst du wenigstens dann trotzdem benutzen, sofern sich das Protokoll 
nicht ändert.

Schlaumaier schrieb:
> Software-Entwicklung die ich selbst mache.
>
> Und meine ganze teure Software + alte aber gut laufende Hardware.
>
> So ein Umstieg ist halt in der Praxis schwer nach vielen Jahren immer
> das "selbe" Grundsystem.
>
> Aber du hast recht. Ich bin zu 30% bei Linux. Muss mich da aber mühsam
> einarbeiten und das braucht seine Zeit.
>
> Ich denke es wird auf ein 2-Systeme System heraus laufen. Also
> irgendwann Internet via Linux und den Rest weiter auf Windows.

Mir geht es da ganz ähnlich.

Ich habe mit viel Bauchweh auf Win10 gewechselt, und eigentlich ist es 
ganz OK. Ja, es ist MS mit all seinen Macken, und viele Dinge sind 
verschlimmbessert.
Win10 ist halt noch mehr auf Konsum ausgereichtet, als Win7.

Das meiste lässt sich aber einfach abdrehen, oder man installiert halt
eine brauchbare 2-SW.  Es läuft erstaunlich stabil und sehr flott
und ich brauche nicht stundenlang Forenbeiträge und Manpages lesen.
Praktisch jede SW läuft einfach und ohne Probleme.

Und inzwischen schafft MS auch wieder neue Innovation, wie das WSL2,
den Edge Browser oder das Windows Terminal, oder die Reunion der 
verschiedenen GUI Techniken.
Nachdem unter Ballmer Ewigkeiten nichts Neues entwickelt wurde,
kommt wieder Schwung rein.  Ich freue mich auf Windows 11,
das werde ich irgendwann die nächsten Monate mal installieren.

Wegen der alten HW würde ich mir da keine grosse Gedanken machen.
Dass lässt sich leicht per Registry Eintrag umgehen.
Das Internet wird für den Normalbürger ein immer gefährlicherer
und maipulativerer Raum.  Als Normalbürger weisst du einfach nicht,
ob die Webpage wirklich die deiner Bank ist, oder ein Fake.
Sicherheit geht nur mit Verschlüsselung, und dazu braucht es TPM-2.0.

Die älteren Prozessoren sind aus dem Grund bei Windows 11 draussen,
da sie kein Firmware TPM unterstützen.
Aber wer es nicht braucht, schaut sich halt den Registry Patch an.

blob schrieb:
> Jan hatte ja einen Link auf:
> https://launchpad.net/~mumble/+archive/ubuntu/release
> also eine https Seite von Canonical Ltd.

Canonical stellt nur die Infrastruktur für die PPAs bereit, aber 
Canonical prüft nicht, was in den PPAs drin ist.

Wenn es jemand also anlegt, kann er sich einen Account anlegen.
Dann eine Anwendung als PPA anbieten.
Genug Nutzer sammeln, die seine Anwendung regelmäßig nutzen.
Und dann, wenn er genug zusammen hat und seine Reputation gut genug ist, 
dann baut er die Schadsoftware ein.
Die Nutzer haben die Anwendung im Abo, vertrauen ihm und installieren 
das, in der Regel dann automatisch.

Und schon hat er ein Botnetz oder ne Kryptofarm oder sonstwas.

Und dann dauert's wieder, je nach Qualifikation der Nutzer einige Zeit, 
bist das jemand entdeckt.
Und erst dann, wenn es jemand entdeckt und der schlau genug ist, das an 
Canonical zu melden, wird Canonical dieses PPA schließen und den 
Account, der das PPA angeboten hat, sperren.

Und das schlimme ist. Die PPAs werden meist von Leuten benutzt, die sich 
eben nicht besonders gut auskennen.
Das sind die gleichen, die eine Distri wie Ubuntu verwenden und dann 
Pakete aus multiverse und universe ziehen, ohne sich der Gefahr wirklich 
bewusst zu sein, dass diese Pakete oft keine Sicherheitspatches mehr 
erhalten.

Denn die Leute, die sich gut auskennen, werden nach 
vertrausenswürdigeren Quellen suchen, oder die Software in eine Sandbox 
packen oder sich die Software notfalls aus dem Quellcode selber 
compilieren.


> OK Canonical sind wohl von der dunklen Seite der Macht, aber die werden
> ja nicht so doof sein da Schadsoftware wie Trojaner und Co zu
> veroffentlichen.

Es ist ja nicht Canonical, von dem diese PPAs kommen, sondern das sind 
beliebige Nutzer wie du und ich, inkl der Möglichkeit, dass da auch 
Kriminelle dabei sind.

Wenn du also PPA vertraust, dann würdest du auch Software vertrauen, die 
ich dir zuschicke oder für dich zum Download in eine Cloud stelle.


> Andererseits verstehe ich auch nicht ein "beliebiger
> Mensch" auf eine https Seite seine verseuchten PPAs stellen kann.

Das ist möglich.
Es gibt keinen aktiven Code Audit.
Niemand durchsucht den Quellcode aktiv.

> Ich bevorzuge eindeutig Systeme auf denen das meiste läuft ohne das so
> ein Stümper wie ich daran herumgeschraubt hat. Deswegen kommt für mich
> Debian nicht mehr in Frage.

Das ist dummes Geschwätz in mehrerer Hinsicht.

1. Nutzt du als Mint oder Ubuntu Nutzer bereits die Pakete von Debian.
2. Bei Debian gibt es das Mehraugenprinzip. Man guckt dem Code auf die 
Finger und somit auch dem, was du als Maintainer oder Patch Beitrager da 
einspielen willst.
3. Die Maintainer haben einen Ruf zu verlieren und der Weg zum 
Paketbetreuer muss durch mehrere Instanzen.

Letzten Endes geht es dir mit deiner Behauptung aber nur darum, einen 
negativen Frame über Debian zu platzieren, weil du glaubst, dass ich 
hier einen Distriflameware betreiben würde und ich dein geliebtes Ubuntu 
oder Mint hassen würde.
Letzteres ist aber nicht der Fall, da meine Argumentation sachlich und 
objektiv ist. Ubuntu und Mint hat nunmal diese schlechte 
Sicherheitspolitik bei den universe und multiverse Paketen. Das ist eine 
Tatsache, die ich auch mehrfach bewiesen habe.
Finde dich damit ab oder noch besser, lerne daraus und ziehe daraus die 
richtigen Schlüsse.

blob schrieb:
> Nano schrieb:
>> Free Orion habe ich schon lange nicht mehr verfolgt.
>> Wie weit ist das Spiel denn inzwischen entwickelt?
>> Ist es gut spielbar oder fehlt da noch einiges?
>
> Ich habe es nur wahllos als Test installiert sieht nicht gerade
> überzeugen aus.

Ja, habe gerade mal in die FAQ geschaut und folgendes gefunden:

1

How far along is it?

2

3

A: The game is currently playable, but probably only fun to the more hard-core fans of the genre. Many features have been implemented, but many others are not. Much of the content is provisional, and unbalanced. In other words, it'll be a while till it is finished. See the Roadmap for the big picture on our progress.

https://www.freeorion.org/index.php/FAQ#How_far_along_is_it.3F

Also noch in Entwicklung und nicht wirklich spielbar.

Da ist "0 A.D." oder "The Battle for Wesnoth" oder "Freeciv" deutlich 
weiter.

Ach Leute, kennt ihr noch die Overdrive-Prozessoren von Intel in den 
90ern?
Also ein Prozessor der nächsten Generation, z.B. ein 486 Overdrive, der 
in einen Sockel vom 386 passt. Oder ein Pentium Overdrive, der in den 
Sockel von einem 486 passt.
Damals hat INTeL das freiwillig gemacht. Heute sollten die Hersteller 
dazu verpflichtet werden, sowas anzubieten, wegen der Müllvermeidung.
Und ein UEFI-Update Kit, damit das BIOS das auch unterstützt.
Eine M2 SSD könnte man dann über eine PCIe Karte nachrüsten.

Fridays for Future wäre entzückt.

Nano schrieb:
> Genug Nutzer sammeln, die seine Anwendung regelmäßig nutzen.
> Und dann, wenn er genug zusammen hat und seine Reputation gut genug ist,
> dann baut er die Schadsoftware ein.

Wie oft ist das bisher passiert?
Letztlich stellst du damit ja das ganze Prinzip der freien Software in 
Frage.
Wer sagt dir den das nicht auch im Debian Team schon Schläfer 
eingeschleust sind  die nur auf den Befehl aus .. warten ;-)

Ich mag auch keine PPAs und bin dir auch sehr dankbar für den Tip mit 
flathub, aber ich denke ich bin nicht der Einzige der ein größeres 
Risiko 20 cm, vor dem Monitor sieht. Es dürft deutlich einfacher sein 
Anfänger mit gefakten "Hilfestellungen" im Internet zu typische 
Linuxproblemen dazu zu bringen ihr System selber unsicher zu machen als 
mit PPAs oder durch verspätete Updatetes. Bevor ich mir irgendwelche 
github Sachen ins Dateisystem einbinde, oder etwas per copy and paste 
ausführe was ich nicht wirklich verstehe, greife ich doch lieber zu 
einem System an dem ich weniger schrauben muss.
Wer deine Texte liest hält eindeutig Windows für sicherer und das ist 
nich in Ordnung.

Besser eine neues System kaufen.
Bitte berichte mal, wenn du in 2 Monaten doch entschiedest wieder zu 
Windows zurückzukehren.
Leider wird das sehr selten mitgeteilt, ist aber derzeit eher 
interessanter, Da ich den Eindruck habe, das immer mehr die Nase voll 
von Linux und der Community haben.
daher ist ein Wechsel meist von eher kurzer Dauer

blob schrieb:
> Wie oft ist das bisher passiert?

Das ist für die Sicherheitsfrage nicht relevant.

> Letztlich stellst du damit ja das ganze Prinzip der freien Software in
> Frage.

Nö, in keiner Weise.

Lies dich insbesondere mal ein und informiere dich, was Freie Software 
bedeutet:
https://de.wikipedia.org/wiki/Freie_Software


> Wer sagt dir den das nicht auch im Debian Team schon Schläfer
> eingeschleust sind  die nur auf den Befehl aus .. warten ;-)

Ich habe doch oben geschrieben, dass es dort ein Mehraugenprinzip gibt.
Zumal du absolute Sicherheit nie haben kannst, aber nur einer Person, 
einem privaten PPA, vertrauen zu wollen ist recht naiv.


> aber ich denke ich bin nicht der Einzige der ein größeres
> Risiko 20 cm, vor dem Monitor sieht.

Das Risiko  20 cm vor dem Monitor nutzt genau diese PPAs.

Und ich finde es seltsam, dass du da auch noch nachfragst und das 
bezweifelst. Das spricht nicht für dich.

> Es dürft deutlich einfacher sein
> Anfänger mit gefakten "Hilfestellungen" im Internet zu typische
> Linuxproblemen dazu zu bringen ihr System selber unsicher zu machen als
> mit PPAs oder durch verspätete Updatetes.

Du kannst auch den Schraubenschlüssel nehmen und deinem Nachbarn damit 
eine überziehen und dann an seinem Computer.... usw..

Oder anders gesagt:
Versteh erst einmal die Grundprinzipien von Computersicherheit.
Ich glaube nämlich nicht, dass du das verstanden hast.

> Bevor ich mir irgendwelche
> github Sachen ins Dateisystem einbinde, oder etwas per copy and paste
> ausführe was ich nicht wirklich verstehe, greife ich doch lieber zu
> einem System an dem ich weniger schrauben muss.

Nein, du installierst solche Software besser erst gar nicht.
Oder du suchst nach Leuten, die Ahnung haben und den Code für dich schon 
durchgeguckt haben.

Z.B. könntest du den Quellcode aus den Debian Sid Paketen nehmen. Nur 
mal so als Tipp.


> Wer deine Texte liest hält eindeutig Windows für sicherer und das ist
> nich in Ordnung.

Ersten ist deine Aussage Unsinn und zweitens erhöht man nicht die 
Sicherheit, in dem man über unsichere Sachen einfach ein Tuch des 
Schweigen legt, wie du es gerne machen würdest.

Nano schrieb:

> Wenn du auf Debian umsteigst, dann nimm die unoffical non-free Medien.

Nehmen wir mal an, ich hätte letztes Jahr auf meinem Laptop Debian 
Cinnamon installieren wollen, mit non-free. Das ist ein Renoir-Laptop, 
der mindestens Kernel 5.8 haben möchte. Wie hätte ich ein dafür 
passendes Buster-Image gefunden - angesichts der Tatsache, daß Buster 
mit 4.19 daherkam?

Außerdem: wie macht man die Updates so, daß man das auch Laien zumuten 
kann? Bei Mint hat man die Mint-Tools, u.a. den Update-Manager. Nein, 
ich werde Schwiegervaddern nicht mit apt und der Kommanzozeile vertraut 
machen, no way.

Nop schrieb:
> Bei Mint hat man die Mint-Tools, u.a. den Update-Manager.

Bei meinen Mint cimmeron ist rechts unten bei der Uhr ein 
"Aktualisierungsmanager-Schild" . Da klicke ich drauf, gebe mein 
Passwort ein, und los gehts.

Das rafft sogar dein OPA.

Der Grund warum ich Mint-Cimmeron genommen habe ist der selbe wie der 
den TO. Ich will wenigstens am Desktop nicht alles suchen müssen. Und 
ich mag das Startmenü da.

Ich denke das Cimmeron besonders für die Umsteiger (wie mich) entwickelt 
worden ist.  Und es wird in Fachzeitschriften (jedenfalls die die ich 
für lau lese) immer sehr gut bewertet.

Und wenn man mein eine Software entwickelt die gewissen Einstellungen 
des Systems sauber mit Klicki-Bunti unter einen Hut bringt, ist das eine 
Echte Konkurrenz für Windows. Immerhin haben sie es beim Office-Paket 
auch geschafft.

Ich denke da an einen Systemmanager der User-Verwaltung (mit 
Zugangsrechte) , Rechte der Hardware-Verwaltung (Rechte von 
Festplatten/Ordnern) etc. mal sauber unter ein Hut bringt ohne das ich 
ein Text-Editor nutzen muss.

Vielleicht auch ein Punkt der es ohne Texteditor ermöglicht ein Prg-Icon 
auf den Desktop zu bringen.

Vielleicht gibt es das schon. Ich bin wie gesagt Anfänger in Linux, und 
würde mich über ein Link sehr freuen.

Ich habe sogar schon drüber nachgedacht so was zu schreiben. Immerhin 
scheint es so was ähnliches wie VB auch für Linux zu geben. Aber hatte 
noch keine Zeit/Lust mir das näher anzusehen.

Mein Gedächtnis ist nicht mehr das beste. Und ich muss inzwischen einige 
Sachen die ich schon mal gemacht habe, nachschlagen wie es ging. :(

Nop schrieb:
> Nano schrieb:
>
>> Wenn du auf Debian umsteigst, dann nimm die unoffical non-free Medien.
>
> Nehmen wir mal an, ich hätte letztes Jahr auf meinem Laptop Debian
> Cinnamon installieren wollen, mit non-free. Das ist ein Renoir-Laptop,
> der mindestens Kernel 5.8 haben möchte. Wie hätte ich ein dafür
> passendes Buster-Image gefunden - angesichts der Tatsache, daß Buster
> mit 4.19 daherkam?

Es ist möglich einen neueren Kernel aus den Backports zu installieren.
Du musst dazu lediglich in eine Konsole kommen und ein paar Zeilen 
eingeben und die sources.list Datei um einen Eintrag erweitern.
Anleitungen gibt es zur Genüge im Netz.

Laien können alternativ auch einfach Debian Testing verwenden, bis es 
stable geworden ist.


> Außerdem: wie macht man die Updates so, daß man das auch Laien zumuten
> kann?

Die normalen Updates?
Die Dekstopprogramme liefern Paketupdatesoftware mit.
Von Discover bis Synaptic gibt's da genug Auswahl.


> Bei Mint hat man die Mint-Tools, u.a. den Update-Manager. Nein,
> ich werde Schwiegervaddern nicht mit apt und der Kommanzozeile vertraut
> machen, no way.

Es stellt sich da eher die Frage, warum du den Rechner nicht 
administrierst?

Schlaumaier schrieb:

> Bei meinen Mint cimmeron ist rechts unten bei der Uhr ein
> "Aktualisierungsmanager-Schild" . Da klicke ich drauf, gebe mein
> Passwort ein, und los gehts.

Cinnamon, nicht Cimmeron. Ich habe die Update-Notification im Panel bei 
mir so eingestellt, daß sie nur kommt, wenn Updates da sind.

> Das rafft sogar dein OPA.

Leider... nein. Deswegen habe ich auf Schwiegervadderns Rechner 
vollautomatische Updates eingestellt, was Mint dankenswerterweise kann, 
und wo ich dank Timeshift auch kein Risiko sehe.

> Vielleicht auch ein Punkt der es ohne Texteditor ermöglicht ein Prg-Icon
> auf den Desktop zu bringen.

Bei Cinnamon: Rechtsklick auf den Desktop, "Create new launcher". Wird 
in der deutschen Version wohl anders heißen, weiß ich nicht.

Falls das gewünschte Programm bereits im Startmenü vorhanden ist: 
Rechtsklick auf das Icon innerhalb des Startmenüs, "Add to desktop".

Schlaumaier schrieb:
> Ich denke da an einen Systemmanager der User-Verwaltung (mit
> Zugangsrechte) , Rechte der Hardware-Verwaltung (Rechte von
> Festplatten/Ordnern) etc. mal sauber unter ein Hut bringt ohne das ich
> ein Text-Editor nutzen muss.

Das wird es erst gehen, wenn Elektra den Version 1.0 Status erhalten hat 
und falls die Distributionen dann auf Elektra umsteigen und es auch 
nutzen.

Siehe dazu:
https://www.markus-raab.org/Projekte/Elektra/elektra-de.odp

https://www.libelektra.org/home


> Vielleicht auch ein Punkt der es ohne Texteditor ermöglicht ein Prg-Icon
> auf den Desktop zu bringen.

Das geht mit vielen Desktop Environments schon lange.
Das gleiche gilt für das Programmmenü.


> Ich habe sogar schon drüber nachgedacht so was zu schreiben. Immerhin
> scheint es so was ähnliches wie VB auch für Linux zu geben. Aber hatte
> noch keine Zeit/Lust mir das näher anzusehen.

VB ist ne MS Geschichte, aber falls es hilft, es gibt FreePascal für 
Linux und andere Systeme.
https://de.wikipedia.org/wiki/Free_Pascal

Allerdings würde man von einer Software, die obiges umsetzt, erwarten, 
dass sie in einer gängigeren Programmiersprache geschrieben wird, die 
einen großen gemeinsamen Nenner erreicht.
Das ist vor allem wichtig, wenn du Akzeptanz und eine große 
Unterstützerbasis erwartest.

Gnome, Systemd, die Bash sowie viele CLI Tools wurden bspw. in C 
geschrieben.

Nop schrieb:
> Deswegen habe ich auf Schwiegervadderns Rechner
> vollautomatische Updates eingestellt, was Mint dankenswerterweise kann,

Das kann Mint wegen Debian, weil das nämlich Debian kann.
Somit kann das auch Ubuntu und Mint.

Tilo P schrieb:
> Leider wird das sehr selten mitgeteilt, ist aber derzeit eher
> interessanter, Da ich den Eindruck habe, das immer mehr die Nase voll
> von Linux und der Community haben.
> daher ist ein Wechsel meist von eher kurzer Dauer

Also als WIN user muß ich hier mal reingrätschen.
Zum einen finde ich das völlig irrelevant wie viele Linux den Rücken 
kehren, weil ganz zweifellos mehr Leute sich zu Linux hinwenden als 
davon ab.
Also ich kenne Linux ja noch aus den sehr frühen Anfängen, als man an 
der FH damit herumgespielt hat und Zuhause min Win3.11
Seit dem sind das definitiv mehr Linux User geworden.

Und obwohl ich Win nutze und nicht Linux, finde ich das sehr gut, das 
Linux eine ernstzunehmende Alternative geworden ist.
Wo wäre WIN ohne die Linux Konkurrenz und was würde es wohl kosten?
Deswegen finde ich dieses Konkurrenzdenken einfach antiquiert.
ICH habe gerne die Wahl und durch Linux habe ich die.
Das ich derzeit mit WIN ganz zufrieden bin, spielt dafür keine Rolle.
Ohne  Linux MÜSSTE ich mit Win zufrieden sein, weil ich ja garkeine 
andere Wahl hätte.

Es macht auch garkeinen Sinn über einzelne Baustellen zu streiten.
BEIDE Systeme haben Stärken und Schwächen.Sonst wäre eines davon schon 
weg, aber WENN hier ein System davon bedroht sein sollte an Relevanz zu 
verlieren, wäre das eher WIN, denn MS macht was MS schon immer gemacht 
hat und vieles wird nicht besser, nur anders.
Linux hingegen holt auf und hat den Abstand deutlich verkleinert.
Im Softwarebereich kenne ich überwiegend Linux User, die vielleicht noch 
notgedrungen WIN als Zweitsystem nutzen.
DAS ist eine wirklich bedenkliche Situation für MS, weil mit Software 
die es umsonst OS gibt, kein angemessenes Geld mehr zu machen ist.

Deswegen verschenkt MS sein OS, denn nichts anderes ist das, wenn ich 
seit W7 nie wieder ein Win gekauft habe.
Mit der Azure Cloude verdient MS schon mehr als mit WIN.
Das WIN Pferd lahmt und in den IT Abteilungen der Firmen sitzen Linux 
Fans.

Mit dem W11 HW Updatezwang tut sich MS bestimmt keinen Gefallen.
55% der Office PCs sind nicht kompatibel.
https://www.pcwelt.de/news/Windows-11-Ueber-55-Prozent-aller-Firmen-PCs-sind-nicht-kompatibel-11108048.html

MS könnte sich verheben und in maßloser Arroganz ihr altes Kerngeschäft 
an die Wand fahren.
Damit Erfahrung haben sie ja, erst Milliarden in etwas zu stecken um es 
dann binnen weniger Jahre als Totalverlust abschreiben zu müssen.

Nano schrieb:

> Es ist möglich einen neueren Kernel aus den Backports zu installieren.

Ja, kann man machen. Das und die unterirdische Navigation der Webseite, 
da hast Du schonmal zwei Punkte, wieso die Leute nicht Debian nutzen.

> Laien können alternativ auch einfach Debian Testing verwenden, bis es
> stable geworden ist.

Da kann man auch gleich Manjaro nehmen, da hat man als Ausgleich für das 
RR wenigstens aktuelle Software.

Außerdem wundere ich mich über die Empfehlung zu Testing direkt nach der 
Kritik an Sicherheitsproblemen bei Ubuntu. Testing kann schonmal Wochen 
dauern, bis Security-Patches ankommen, wenn ein RC nicht durchgeht. Das 
ist natürlich kein Problem bei Debian, weil Testing zum Testen und nicht 
zur Benutzung gedacht ist. Die schnellen Backports kriegste bei Stable.

> Die normalen Updates?
> Die Dekstopprogramme liefern Paketupdatesoftware mit.
> Von Discover bis Synaptic gibt's da genug Auswahl.

Daß Du Synyptic hier nennst, zeigt, daß Du den Mint-Updatemanager nicht 
kennst und daher nicht nachvollziehen kannst, wonach ich überhaupt 
gefragt habe. Synaptic ist in keinster Weise für die Leute geeignet, die 
ich auf Linux migriert habe.

Ich nutze da natürlich dieselbe Distro, damit ich eventuelle Probleme 
direkt mitkriege. Derzeit Mint 20.2 Cinnamon, und LMDE 5 werde ich mir 
mal ansehen, wenn es rauskommt. LMDE 4 ging nicht wegen des veralteten 
Kernels und der 2020 auch sonst zu veralteten Software.

> Es stellt sich da eher die Frage, warum du den Rechner nicht
> administrierst?

Was soll ich denn machen? Täglich vorbeifahren? Zu aufwendig. Oder eine 
Backdoor installieren, mit der ich mich remote draufconnecten kann? Das 
mache ich nicht. Das System muß auch selber klarkommen und muß sich um 
seine Updates von selber kümmern können. Mint kann das (auch als LMDE).

Nano schrieb:

> Das kann Mint wegen Debian, weil das nämlich Debian kann.
> Somit kann das auch Ubuntu und Mint.

Dafür kann Debian offenbar die manuellen Updates nicht in 
nutzerfreundlich, was ich wiederum bei anderen Nutzern brauche, die 
keine vollautomatischen Updates wollen. Und nein, vergiß Synyptic dafür.

Prokrastinator schrieb:

> Mit dem W11 HW Updatezwang tut sich MS bestimmt keinen Gefallen.
> 55% der Office PCs sind nicht kompatibel.

Das ist Stand 2021, aber relevant wird das erst 2025. In vier Jahren 
werden die meisten dieser Firmen-PCs sowieso ausgemustert sein. Die 
meisten Firmen schieben Windows-Upgrades so lange wie möglich hinaus. 
Manche sogar noch länger.

Nano schrieb:
> Das geht mit vielen Desktop Environments schon lange.
> Das gleiche gilt für das Programmmenü.

Muss ich mal schauen. Hab ich bisher nicht gefunden, deshalb auch mein 
Link oben für den TO.

Ich kämpfe aktuell noch immer mit den geeigneten Dateimanager, MC ist 
mir zu schwach. Ich brauche so was wie Total-Commander in Windows. Also 
einer für ALLES.


Nano schrieb:
> VB ist ne MS Geschichte, aber falls es hilft, es gibt FreePascal für
> Linux und andere Systeme.

Ich dachte da eher an so was.

http://gambas.sourceforge.net/en/main.html

https://de.wikipedia.org/wiki/Gambas_(Programmiersprache)

Aber wie gesagt, nur gelesen noch nicht getestet. Also keine Aussage zur 
Funktionalität von mir. Klingt aber im ersten Moment fein.

Nop schrieb:
> Nano schrieb:
>
>> Es ist möglich einen neueren Kernel aus den Backports zu installieren.
>
> Ja, kann man machen. Das und die unterirdische Navigation der Webseite,
> da hast Du schonmal zwei Punkte, wieso die Leute nicht Debian nutzen.

Und?
Dann nutzen sie es halt nicht.

Wem allerdings Sicherheit wichtig ist, der wird es nutzen.
Er wird es definitiv Ubuntu und Mint vorziehen.


>> Laien können alternativ auch einfach Debian Testing verwenden, bis es
>> stable geworden ist.
>
> Da kann man auch gleich Manjaro nehmen, da hat man als Ausgleich für das
> RR wenigstens aktuelle Software.

Nur wird Manjaro nie stable werden, also nicht stable im Sinne eines 
Debians.

> Außerdem wundere ich mich über die Empfehlung zu Testing direkt nach der
> Kritik an Sicherheitsproblemen bei Ubuntu. Testing kann schonmal Wochen
> dauern, bis Security-Patches ankommen, wenn ein RC nicht durchgeht. Das
> ist natürlich kein Problem bei Debian, weil Testing zum Testen und nicht
> zur Benutzung gedacht ist. Die schnellen Backports kriegste bei Stable.

Man kann die Integration von Kernel Backports sicherlich noch verbessern 
und bspw. direkt im Installer einbauen. Ich bin da zuversichtlich, dass 
das eines Tages auch wirklich gemacht wird.
Gerade um neuste Hardware besser unterstützen zu können.

Momentan gibt es dafür lediglich die Point Releases. Eventuell ginge 
dein Notebook auch damit.
Das müsstest du mal testen ob du da wirklich einen neuen 5.6er Kernel 
brauchst, wie du gesagt hast.

Bis dahin hast du halt nur das manuelle Einfügen von Backports oder das 
Ausweichen auf Testing oder gar sid.

Was willst du auch sonst machen?

Jedoch übersiehst du den Punkt, dass da Ubuntu und Mint auch nicht so 
viel besser dastehen. Auch da kann es dir passieren, dass die 
allerneuste Hardware, trotz Point Release, nicht läuft und du 3 Monate 
warten musst.

Das ist ein generelles Problem bei allen Linux Distributionen mit 
stabilem Releasezyklus.

Nur Distris wie Gentoo werden da einen Vorteil haben, aber das zu dem 
Preis, dass man sich da andere Probleme typischer Rolling Release 
Distris ins Haus holt.

Am Ende geht es aber darum, mit welchem System man arbeiten will.
Und da ist Debian stable ein ausgesprochen guter Kompromiss zwischen 
Stabilität, wenig Wartungsaufwand, wenig Störungen und guter 
Sicherheitspolitik.
Das biete Debian nämlich alles und wenn die HW am Anfang nicht damit 
läuft, dann nimmt man halt zeitweise was anderes und steigt dann später 
auf Debian stable um.


>
>> Die normalen Updates?
>> Die Dekstopprogramme liefern Paketupdatesoftware mit.
>> Von Discover bis Synaptic gibt's da genug Auswahl.
>
> Daß Du Synyptic hier nennst, zeigt, daß Du den Mint-Updatemanager nicht
> kennst und daher nicht nachvollziehen kannst, wonach ich überhaupt
> gefragt habe. Synaptic ist in keinster Weise für die Leute geeignet, die
> ich auf Linux migriert habe.

Ich habe mehrere genannt.
Discover ist sogar in KDE vorinstalliert, wenn du KDE als Desktop 
Environment für Debian auswählst.

Und ist dein Mint-Updatemanager überhaupt eine MINT Geschichte?
Es gibt nämlich auch einen Updatemanager für Cinnamon und der ist unter 
Debian genauso verfügbar.


>
>> Es stellt sich da eher die Frage, warum du den Rechner nicht
>> administrierst?
>
> Was soll ich denn machen? Täglich vorbeifahren? Zu aufwendig. Oder eine
> Backdoor installieren, mit der ich mich remote draufconnecten kann? Das
> mache ich nicht. Das System muß auch selber klarkommen und muß sich um
> seine Updates von selber kümmern können. Mint kann das (auch als LMDE).

Siehe oben, die Autoinstallation kann Mint wegen Debian, weil Debian das 
kann.
Dir ging es aber darum, dass deine Schwiegervater selbstständig 
Programme installieren und deinstallieren können soll.
Du gibst ihm also root Rechte und sagst gleichzeitig, dass er eigentlich 
nicht weiß, was er tut.

Nop schrieb:
> Nano schrieb:
>
>> Das kann Mint wegen Debian, weil das nämlich Debian kann.
>> Somit kann das auch Ubuntu und Mint.
>
> Dafür kann Debian offenbar die manuellen Updates nicht in
> nutzerfreundlich, was ich wiederum bei anderen Nutzern brauche, die
> keine vollautomatischen Updates wollen. Und nein, vergiß Synyptic dafür.

Discover ist nutzerfreundlich.
Für alle Desktopsysteme gibt es irgendeine Paketverwaltung die man 
nutzen kann.

Ich verstehe dein Problem nicht.

Schlaumaier schrieb:
> Nano schrieb:
>> Das geht mit vielen Desktop Environments schon lange.
>> Das gleiche gilt für das Programmmenü.
>
> Muss ich mal schauen. Hab ich bisher nicht gefunden, deshalb auch mein
> Link oben für den TO.
>
> Ich kämpfe aktuell noch immer mit den geeigneten Dateimanager, MC ist
> mir zu schwach. Ich brauche so was wie Total-Commander in Windows. Also
> einer für ALLES.

Krusader ist in diesem Punkt sehr beliebt:
https://wiki.ubuntuusers.de/Krusader/

Installiere dir dann gleich noch KDE oder LXQT als Oberfläche, dann sind 
die Startzeiten von Krusader auch kürzer, da KDE und die Qt Libs nicht 
extra nachgeladen werden müssen, wenn ein Qt fremdes Desktop Environment 
nimmst.
Natürlich läuft Krusader auch unter einem anderen Desktop Environment.
Aber ein Dateimanger ist ein Programm, dass man IMO zack in einem 
Augenblick gleich da haben will. Das ist der Fall, wenn die dafür 
erforderlichen Biliotheken schon im RAM liegen.

Mit SSDs ist das zwar nicht mehr so wichtig, aber für den ein oder 
anderen könnte es vielleicht dennoch nicht schnell genug da sein, wenn 
man was anderes nutzt.

> Ich dachte da eher an so was.
>
> http://gambas.sourceforge.net/en/main.html
>
> https://de.wikipedia.org/wiki/Gambas_(Programmiersprache)
>
> Aber wie gesagt, nur gelesen noch nicht getestet. Also keine Aussage zur
> Funktionalität von mir. Klingt aber im ersten Moment fein.

Okay, kannte ich nicht. Kann dir dazu auch nichts sagen.

Nano schrieb:

> Wem allerdings Sicherheit wichtig ist, der wird es nutzen.
> Er wird es definitiv Ubuntu und Mint vorziehen.

So wie sich das darstellt, lautet die Alternative aber nicht "Debian 
oder Mint", sondern "Mint oder Windows".

> Nur wird Manjaro nie stable werden, also nicht stable im Sinne eines
> Debians.

Das stimmt, aber bis dahin hat man aktuelle Software.

> Man kann die Integration von Kernel Backports sicherlich noch verbessern
> und bspw. direkt im Installer einbauen. Ich bin da zuversichtlich, dass
> das eines Tages auch wirklich gemacht wird.

Bei Mint gibt's dafür das Edge-Image (unglücklicher Name), was direkt 
mit dem zu dem Zeitpunkt verfügbaren HWE-Kernel von Ubuntu daherkommt, 
also dem der aktuellen oder kurz bevorstehenden Zwischenversion (alles 
außer LTS).

> Das müsstest du mal testen ob du da wirklich einen neuen 5.6er Kernel
> brauchst, wie du gesagt hast.

Mindestens 5.8 will er schon haben. Das ist auch normal bei 
Renoir-Graphik. 4.19 ist jedenfalls komplett außen vor.

> Auch da kann es dir passieren, dass die
> allerneuste Hardware, trotz Point Release, nicht läuft und du 3 Monate
> warten musst.

Der Unterschied ist der, daß ich nicht bis zu zwei Jahre warten muß, bis 
ein Installations-ISO mit neuerem Kernel verfügbar ist, weil es die 
Edge-ISOs gibt und der HWE-Kernel von Canonical reinkommt. Das ist ein 
gangbarer Weg.

> Discover ist sogar in KDE vorinstalliert, wenn du KDE als Desktop
> Environment für Debian auswählst.

Ich will aber kein KDE.

> Und ist dein Mint-Updatemanager überhaupt eine MINT Geschichte?

Ja, ist er. Hab gerade mal das aktuelle Cinnamon-Live-Iso von Debian 
reingebootet. Bei Debian heißt das "Software" und scheint eine Kombo aus 
dem zu sein, was bei Mint zwei Anwendungen sind, der Software-Manager 
und der Update-Manager.

Allerdings ist die Debian-Anwendung im Vergleich ein schlechter Scherz. 
Geht man oben auf "Explore", also wo man zusätzliche Anwendungen finden 
sollte, erscheint nur "No Application Data Found". Funktioniert also 
nicht. Und der Update-Teil ist auch sehr rudimentär.

Dafür habe ich fünf verschiedene Terminals im Startmenü statt "nur" 
drei. Im Gegenzug gibt's bei den Preferences kein "Languages", und bei 
Englisch bietet Debian offenbar nur US-Englisch, jedenfalls in der 
Live-Version.

Kann man bestimmt alles hinfrickeln, wenn man noch die Mint-Sourcen 
einbindet und sich um eventuelle Konflikte kümmert - aber wieso sollte 
man das tun, wenn es LMDE gibt, wo die Mint-Leute einem das schon 
abgenommen haben? Gut, das Kernel-Problem halt, weswegen LMDE keine 
Option mit zu neuer Hardware ist.

> Dir ging es aber darum, dass deine Schwiegervater selbstständig
> Programme installieren und deinstallieren können soll.

OMG, und da empfiehlst Du ernsthaft Synaptic und hältst das für 
nutzerfreundlich? Sorry, Du bist da so meilenweit daneben, daß Du in 
einem Paralleluniversum sein könntest.

Programme installieren machen Laien natürlich weder mit apt noch mit 
Synaptic, sondern mit dem Software-Manager. Der blickt nicht auf 
einzelne Pakete, sondern auf Anwendungen, und funktioniert aus 
Nutzersicht wie ein App-Store. Und ja, dazu braucht er natürlich auch 
Root-Rechte.

> Du gibst ihm also root Rechte und sagst gleichzeitig, dass er eigentlich
> nicht weiß, was er tut.

Ja, natürlich. Ist schließlich sein Rechner, nicht meiner. Du glaubst 
nicht wirklich, daß ich da jedesmal rumfahren will, nur weil er eine 
Anwendung aus dem Software-Manager installieren will, oder? Mal 
abgesehen davon, daß so ein Heckmeck dann direkt zur Rückmigration zu 
Windows führen dürfte.

"Security" ist nicht alles, sondern "Availability" ist mindestens ebenso 
wichtig. Etwas, daß Security-Geeks leider oftmals übersehen.


Nano schrieb:

> Ich verstehe dein Problem nicht.

Sieh Dir den Mint-Updatemanager (und den Software-Manager) doch erstmal 
an, bevor Du anfängst, Alternativen dazu zu empfehlen. Dann verstehst Du 
auch das Problem. Live-ISOs zum Reinschauen findest Du auf der 
Mint-Seite.

blob schrieb:
> Wie oft ist das bisher passiert?

Das ist für die Sicherheitsfrage nicht relevant.

Das ist für mich von erheblicher Relevanz ob ein Problem theoretisch 
oder real existiert.

Nano schrieb:
> Ich habe doch oben geschrieben, dass es dort ein Mehraugenprinzip gibt.
> Zumal du absolute Sicherheit nie haben kannst, aber nur einer Person,
> einem privaten PPA, vertrauen zu wollen ist recht naiv.

Abgesehen davon das ich keinen privaten PPA vertraue das auch nie 
geschrieben habe, unterstelle ich dir jetzt im Gegenzug auch mal 
Naivität wenn du glaubt das es  wäre in den Unmengen an Quellcode die 
heute benötigt werden, unmöglich Schadsoftware zu verstecken nur weil 
der Code offenliegt.

Nano schrieb:

blob schrieb:

>> Es dürft deutlich einfacher sein
>> Anfänger mit gefakten "Hilfestellungen" im Internet zu typische
>> Linuxproblemen dazu zu bringen ihr System selber unsicher zu machen als
>> mit PPAs oder durch verspätete Updatetes.
>
> Du kannst auch den Schraubenschlüssel nehmen und deinem Nachbarn damit
> eine überziehen und dann an seinem Computer.... usw..

Gefährliche  "Hilfestellungen"  gibt es im Netz wie Sand Meer Anfänger 
können in der Regel weder unterscheiden  was davon Mist ist und was 
nicht. Genau hier ist ein erhebliches reales Risiko.
Theoretisch ist es möglich das jemand das praktisch Nutzt um 
Schadsoftware zu verbreiten. Das ist sehr viel einfacher und mit weniger 
Risiko möglich als mit deine theoretischen PPA Variante.
Praktisch besteht aber vor allem das reale Risiko das sogenannte 
„Hilfen“ im Netz aus reiner Unfähigkeit Systeme unsicher machen auch 
ohne Schraubenschlüssel. Die Risikobereitschaft steigt allerdings mit 
der Uhrzeit  und den Fehlversuchen. Meine Lösung: Ein System an dem man 
nicht rumschrauben muss.

Nano schrieb:
> Anleitungen gibt es zur Genüge im Netz.
Ja gute, schlechte und leider auch gemeingefährliche.

Nano schrieb:
> Nein, du installierst solche Software besser erst gar nicht.
> Oder du suchst nach Leuten, die Ahnung haben und den Code für dich schon
> durchgeguckt haben.

Dann würde ich halt auf diese oder jene Hardware verzichten müssen und 
einen Treiber hat mir auch noch keiner Korrektur gelesen. Wäre mir 
einfach auch zu viel, nur um deinen Sicherheitsvorstellungen gerecht zu 
werden – da verzichte ich doch lieber auf die einzig wahre Lehre und 
installiere einfach kein Debian.

blob schrieb:

> Meine Lösung: Ein System an dem man nicht rumschrauben muss.

Was auch sinnvoll so ist. Entscheidend ist etwas, daß Security-Freaks 
oft ebensowenig verstehen wie Verfügbarkeit: die OOTB-Erfahrung (out of 
the box). Die ist entscheidend, und nicht, was man nach etlichem 
Gebastel hinkriegen kann. Mal abgesehen davon daß herumbasteln zu müssen 
nicht nutzerfreundlich ist.

"Aber Du mußt doch nur bis zum Terminal booten können, dann kannst Du 
Dir mit ein paar Kommandos einen neuen Kernel installieren, und..."

- in was für einem Universum leben Leute, in dem so eine Distro als 
"nutzerfreundlich" gilt? Sicherlich nicht in einem, in dem Linux für 
Endnutzer eine Alternative zu Windows darstellen könnte.

Nutzerfeundlich heißt: sinnvolle Webseite (nicht wie bei Debian), 
sinnvoll fertiggebautes ISO, auf USB-Stick packen, booten, läuft.

Sorry, ich hab's heute mit daß/das. Kommt daher, daß ich Sätze anfange, 
sie unklar formuliert finde, umeditiere und dann vergesse, daß/das 
entsprechend anzupassen.

Nop schrieb:
> Nutzerfeundlich heißt: sinnvolle Webseite (nicht wie bei Debian),
> sinnvoll fertiggebautes ISO, auf USB-Stick packen, booten, läuft.

hihi.  Hat mit mein Mint Cinnamon hervorragend gepasst.

Was mir persönlich gefallen hat, die Installation erfolgte "aus ihm 
selbst".

Was bedeutet. Ich musste das ganze OS lauffähig vom Stick starten und 
habe dann "aus sich selbst" heraus das INSTALL Icon angeklickt. Die 
üblichen Fragen und ne Menge Erzählungen und es wurde installiert dabei.

Und glaubt mir. Hätte das auch nur die geringsten Zicken gemacht bei den 
Start vom Stick, wäre es sofort Geschichte geworden, bei mir.

Einfach gesagt. Die Installation war 100 x besser als ich je ein Windows 
installiert habe.

Schlaumaier schrieb:

> Was mir persönlich gefallen hat, die Installation erfolgte "aus ihm
> selbst".

Das ist aber eigentlich normal so, auch bei anderen Distros, schon weil 
man ja erstmal gucken will, ob es mit der Hardware überhaupt läuft. Oder 
um einfach mal so in eine Distro reinzugucken.

> Einfach gesagt. Die Installation war 100 x besser als ich je ein Windows
> installiert habe.

Windows 7 war das letzte Windows, das ich manuell installiert habe, und 
das war deutlich aufwendiger - ist aber auch schon über 10 Jahre her und 
daher nicht repräsentativ für heutige Windows-Versionen.

B. B. schrieb:
> Mein Ersteindruck: geil! :-D

Hatte ich so 2005 mit Knoppix. Die vollautomatische Hardwareerkennung 
hatte was für sich.

Aktuelle Probleme mit Fedora hab ich mit Distupgrades - da kommt Wine 
nicht immer hinterher, Steam in Wine machen eigentlich auch ein wenig 
Zicken, und so manches Update kann sogar den Bootloader zur 
Arbeitsverweigerung überreden.
7-Zip-Dateien werden vom Gnome-Archiv-Programm nicht richtig ausgepackt 
- und das soll ein verbreitetes Problem sein - doof auch deshalb, weil 
die aktuelle Desktopautomatik Zip-Programme gleich automatisch auspackt. 
Aber die Ergebnisse kann man nicht gebrauchen, also wird mit dem 
7-Zip-Konsoleprogramm ausgepackt.

Notepad fehlt definitiv, Notepad++ eigentlich auch - als Zwischenlösung 
geht halt SciTE und man sollte vielleicht einen Konsoleeditor kennen, 
wobei sich nano als Notpadersatz schon öfter aufdrängt, wie auch der MC 
für dies und das.
Ein Linux Handbuch zum Nachschlagen ist auch ganz gut, auch wenn das 
Internet noch nicht ausgefallen ist.
Das Forum für schwierige Controllerfragen ist - oder war früher - vor 
allem das Ubuntu-Forum - und dann wäre da noch die Überlegung, dass 
Linuxe auf Spielekonsolen laufen, wie z.B. auf der Playstation 3, 
weswegen die Controllerfragen nicht ganz so hoffnungslos sein dürften.

rbx schrieb:

> 7-Zip-Dateien werden vom Gnome-Archiv-Programm nicht richtig ausgepackt

Scheint unter Cinnamon / Nemo mit dem Archiv-Programm zu funktionieren, 
gerade mit einem Testarchiv versucht. A propos Nemo, seitdem ich das 
nutze, vermisse ich im Windows-Dateiexplorer die Tabs.

> Notepad fehlt definitiv

Definitiv nicht. Es gibt nichts, was für Notepad spricht, außer daß es 
Windows beiliegt. Es kann wirklich überhaupt nichts Besonderes.

> Notepad++ eigentlich auch

Ja, das ist schon härter. Es gibt Notepadqq, was von der Machart her 
ähnlich ist, aber leider nicht in C++ geschrieben und daher relativ 
lahm.

Nop schrieb:
>> Notepad++ eigentlich auch
> Ja, das ist schon härter. Es gibt Notepadqq, was von der Machart her
> ähnlich ist, aber leider nicht in C++ geschrieben und daher relativ
> lahm.

Darf ich mal Geany in den Raum werfen? Ist einfach, kann viel, ist 
Scintilla basierend und dient mir neben anderen Editoren seit Jahren 
bestens.

Johannes U. schrieb:
> Nano schrieb:
>> Johannes U. schrieb:
>
>>> In der jetzigen Version 4 noch auf Debian10 basierend, die Arbeiten fuer
>>> LMDE5 / Debian11 haben aber schon begonnen.
>>> Ein dist-upgrade wird meiner Erfahrung nach kein Problem sein, wenn man
>>> sich an die herausgegebenen Richtlinien dafuer haelt.
>>
>> Kann man von einem Ubuntu Mint direkt zu einem Debian Mint wechseln?
>> Wird das offiziell unterstützt?
>
> Wenn man Bock auf Stress und viel Bastelei am offenen Herzen hat, kann
> man das sicher durch Austausch aller Repositories versuchen....
> Das ist durch 'dist-upgrade' allerdings nicht gemeint, 'dist-upgrade'
> bedeutet nur den Sprung auf das naechste major-release.
> Also LMDE4 (jetzt installieren) -> LMDE5 (dist-upgraden sobald
> verfuegbar) oder eben Debian10 -> Debian11.

Ich wollte jetzt eher wissen, ob die Mint macher das unterstützen.
Vielleicht mit einem speziellen Script, dass man ausführen muss oder ob 
die das gar nicht geplant haben, da sie davon ausgehen, dass ihre Mint 
user das einfach neu installieren.

rbx schrieb:
> Notepad fehlt definitiv, Notepad++ eigentlich auch - als Zwischenlösung
> geht halt SciTE und man sollte vielleicht einen Konsoleeditor kennen,
> wobei sich nano als Notpadersatz schon öfter aufdrängt, wie auch der MC
> für dies und das.

Editoren gibt es für Linux nun wirklich massenhaft.

Unter Mate pluma
Unter XFCE Mousepad
Unter LXDE Leafpad
Unter Gnome gedit
oder allgemein unter GTK basierten Desktop Environments Geany.

Unter KDE kate

und viele andere....

Natürlich kann man das auch mixen und den einen Editor unter dem anderen 
Desktop Environment nutzen, aber empfehlen würde ich es wegen dem Lib 
loaden nicht.
Denn auch ein einfacher Editor ist etwas, was schnell da sein soll.

> Ein Linux Handbuch zum Nachschlagen ist auch ganz gut, auch wenn das
> Internet noch nicht ausgefallen ist.

Der Kofler war früher immer eine gute Wahl und heute wohl auch noch.
Allerdings werden die Linux Distributionen und Systeme zunehmend 
selbsterklärender, so dass man heute möglicherweise kein Buch mehr 
braucht.

Allerdings ist letzteres für mich schwer zu sagen, da ich eben kein 
Anfänger mehr bin und somit viel Wissen für mich für selbstverständlich 
halte, eben weil ich das schon lange kann.
Für einen blutigen Anfänger sieht das vielleicht anders aus, so dass ein 
Buch wie den Kofler, das ihn führt, vielleicht doch noch eine gute Sache 
ist.
Schaden kann das Buch definitiv nicht.

blob schrieb:
> blob schrieb:
>> Wie oft ist das bisher passiert?
>
> Das ist für die Sicherheitsfrage nicht relevant.
>
> Das ist für mich von erheblicher Relevanz ob ein Problem theoretisch
> oder real existiert.

Für dich persönlich vielleicht, aber für Sicherheitsfragen wählt man 
einen generellen Ansatz.
Aber warum suchst du nicht einfach selber. Das sollte jetzt nicht so 
schwer sein.


>
> Nano schrieb:
>> Ich habe doch oben geschrieben, dass es dort ein Mehraugenprinzip gibt.
>> Zumal du absolute Sicherheit nie haben kannst, aber nur einer Person,
>> einem privaten PPA, vertrauen zu wollen ist recht naiv.
>
> Abgesehen davon das ich keinen privaten PPA vertraue das auch nie
> geschrieben habe, unterstelle ich dir jetzt im Gegenzug auch mal
> Naivität wenn du glaubt das es  wäre in den Unmengen an Quellcode die
> heute benötigt werden, unmöglich Schadsoftware zu verstecken nur weil
> der Code offenliegt.

Jetzt wirst du albern.
Du willst binary PPAs von Einzelpersonen als sicher rechtfertigen und 
weil dir das nicht gelingt, machst du neue Baustellen auf, über die wir 
nicht gesprochen haben.

Mir ist das zu doof.
Und guck in den alten Thread, da habe ich schon genug dazu geschrieben.

Bei Debian guckt man sich übrigens die Diffs an, wenn jemand eine neue 
Version oder einen Patch einreichen will.
Man muss also keineswegs bei 0 anfangen.

> Nano schrieb:
>
> blob schrieb:
>
>>> Es dürft deutlich einfacher sein
>>> Anfänger mit gefakten "Hilfestellungen" im Internet zu typische
>>> Linuxproblemen dazu zu bringen ihr System selber unsicher zu machen als
>>> mit PPAs oder durch verspätete Updatetes.
>>
>> Du kannst auch den Schraubenschlüssel nehmen und deinem Nachbarn damit
>> eine überziehen und dann an seinem Computer.... usw..
>
> Gefährliche  "Hilfestellungen"  gibt es im Netz wie Sand Meer Anfänger
> können in der Regel weder unterscheiden  was davon Mist ist und was
> nicht. Genau hier ist ein erhebliches reales Risiko.
> Theoretisch ist es möglich das jemand das praktisch Nutzt um
> Schadsoftware zu verbreiten. Das ist sehr viel einfacher und mit weniger
> Risiko möglich als mit deine theoretischen PPA Variante.

Nein, einzelnen Personen praktische Hilfestellungen zu leisten um deren 
System unsicher zu machen, mag dir bei Laien vielleicht gelingen, aber 
das skaliert nicht.
Und weil das nicht skaliert lohnt sich das nicht.

Stellst du dagegen ein PPA online, dann hast du je nach Nutzung deines
PPA über 1000 potentielle Botrechner.
Und jetzt gibt mal für über 1000 Nutzer Hilfestellung, da kannst du 
gleich mal ein Jahr Vollzeit einplanen.

Also Unsinn.


> Nano schrieb:
>> Nein, du installierst solche Software besser erst gar nicht.
>> Oder du suchst nach Leuten, die Ahnung haben und den Code für dich schon
>> durchgeguckt haben.
>
> Dann würde ich halt auf diese oder jene Hardware verzichten müssen und
> einen Treiber hat mir auch noch keiner Korrektur gelesen.

Siehe oben. Bei Debian werden die Diffs durchgeguckt.
Und im Vanilla Kernelzweig passiert ähnliches.
Zwischen den Distris und großen Projekten kannst du von einem gewissen 
gegenseitigen Vertrauen ausgehen.

> Wäre mir
> einfach auch zu viel, nur um deinen Sicherheitsvorstellungen gerecht zu
> werden – da verzichte ich doch lieber auf die einzig wahre Lehre und
> installiere einfach kein Debian.

Musst du selber wissen. Wenn du PPA nutzen willst, dann mach es halt, 
mir egal. Gewarnt habe ich dich und dem TS habe ich flatpaks wegen der 
Sandbox empfohlen.

Nano schrieb:

> Ich wollte jetzt eher wissen, ob die Mint macher das unterstützen.

Nein, und das wäre im Moment auch noch kein sinnvoller Migrationspfad. 
LMDE ist derzeit kein Schwerpunkt, sondern hat die Funktion eines 
strategischen Fallbacks, wenn Canonical sich endgültig von der Community 
verabschiedet.

Das Problem mit Debian Stable ist halt, daß Debian im Grunde das 
Dreifache an Maintainern bräuchte, weswegen die Pakete hoffnungslos 
veraltet sind. Das ist ja überhaupt erst der Grund, wieso Ubuntu nicht 
einfach Debian Stable als Basis nimmt.

Nop schrieb:
>> Nur wird Manjaro nie stable werden, also nicht stable im Sinne eines
>> Debians.
>
> Das stimmt, aber bis dahin hat man aktuelle Software.

Mit vielen Bugs, einschließlich Regressionen und ungeplanten ungewollten 
Ausfällen.

>> Man kann die Integration von Kernel Backports sicherlich noch verbessern
>> und bspw. direkt im Installer einbauen. Ich bin da zuversichtlich, dass
>> das eines Tages auch wirklich gemacht wird.
>
> Bei Mint gibt's dafür das Edge-Image (unglücklicher Name), was direkt
> mit dem zu dem Zeitpunkt verfügbaren HWE-Kernel von Ubuntu daherkommt,
> also dem der aktuellen oder kurz bevorstehenden Zwischenversion (alles
> außer LTS).

Siehe oben, das nützt dir auch nichts, wenn der HWE Kernel 3 Monate zu 
alt für deine nagelneue Hardware ist.
Das Problem wird lediglich verschoben und es betrifft, wie ich bereits 
sagte, alle Distributionen.

>> Das müsstest du mal testen ob du da wirklich einen neuen 5.6er Kernel
>> brauchst, wie du gesagt hast.
>
> Mindestens 5.8 will er schon haben. Das ist auch normal bei
> Renoir-Graphik. 4.19 ist jedenfalls komplett außen vor.

Und hast du geprüft ob Treiber zurückportiert wurden?

>> Auch da kann es dir passieren, dass die
>> allerneuste Hardware, trotz Point Release, nicht läuft und du 3 Monate
>> warten musst.
>
> Der Unterschied ist der, daß ich nicht bis zu zwei Jahre warten muß, bis
> ein Installations-ISO mit neuerem Kernel verfügbar ist, weil es die
> Edge-ISOs gibt und der HWE-Kernel von Canonical reinkommt. Das ist ein
> gangbarer Weg.

Wie schon gesagt, du kannst Testing nutzen.
Und bei Bleeding Ege, also jünger als 3 Monate, wäre je nach Zeitpunkt 
wann das passiert, sogar SID eine Möglichkeit.

>> Und ist dein Mint-Updatemanager überhaupt eine MINT Geschichte?
>
> Ja, ist er. Hab gerade mal das aktuelle Cinnamon-Live-Iso von Debian
> reingebootet. Bei Debian heißt das "Software" und scheint eine Kombo aus
> dem zu sein, was bei Mint zwei Anwendungen sind, der Software-Manager
> und der Update-Manager.
>
> Allerdings ist die Debian-Anwendung im Vergleich ein schlechter Scherz.
> Geht man oben auf "Explore", also wo man zusätzliche Anwendungen finden
> sollte, erscheint nur "No Application Data Found". Funktioniert also
> nicht. Und der Update-Teil ist auch sehr rudimentär.

Hast du das in einer VM gemacht?
hatte deine Live ISO Netzwerkzugang?

> Kann man bestimmt alles hinfrickeln, wenn man noch die Mint-Sourcen
> einbindet und sich um eventuelle Konflikte kümmert - aber wieso sollte
> man das tun, wenn es LMDE gibt, wo die Mint-Leute einem das schon
> abgenommen haben?

Weil du den Zustand in Live CDs überbewertest.

Wenn du ein System fest installierst, hast du dein 1 terminal (ich 
bekomme in meinem Debian unter KDE nur eines angezeigt) und auch deine 
Sprachpakete alle installiert.
Und weil das so ist, werden andere Sachen wichtiger. Eben wie sich das 
System langfristig bewährt.

Und was Mint in Form von LMDE betrifft. Da kommt es ganz darauf an, was 
die Mint Entwickler aus dem Debian machen.
Sie könnten auch Pakete überschreiben und eine eigene Kreation anbieten. 
Dann steckt da für diesen Teil keine Debian Qualität mehr drin, sondern 
die QA von Mint und die war meiner Erfahrung nach bisher immer eher 
grottig als gut. Lediglich eye candy, das kriegen die hin, das will ich 
denen nicht absprechen. Aber dafür mangelt es halt meist an den anderen 
Punkten. Vor allem bei den Sachen unter der Haube, in dem Fall wären das 
dann der Teil, der von denen verändert wird.

>> Dir ging es aber darum, dass deine Schwiegervater selbstständig
>> Programme installieren und deinstallieren können soll.
>
> OMG, und da empfiehlst Du ernsthaft Synaptic und hältst das für
> nutzerfreundlich? Sorry, Du bist da so meilenweit daneben, daß Du in
> einem Paralleluniversum sein könntest.

Wenn man weiß was man installieren will ist Synaptic sehr einfach. Ja.

Die Empfehlungen welche Programme sich für was eignen findet man sowieso 
in dutzenden Artikeln im Internet.

> Programme installieren machen Laien natürlich weder mit apt noch mit
> Synaptic, sondern mit dem Software-Manager. Der blickt nicht auf
> einzelne Pakete, sondern auf Anwendungen, und funktioniert aus
> Nutzersicht wie ein App-Store. Und ja, dazu braucht er natürlich auch
> Root-Rechte.

Das kann Discover unter KDE auch.

Da gibt's ne Rubrik "Anwendungen" und die ist schön strukturiert, wie es 
der Laie halt so braucht oder will.

>> Du gibst ihm also root Rechte und sagst gleichzeitig, dass er eigentlich
>> nicht weiß, was er tut.
>
> Ja, natürlich. Ist schließlich sein Rechner, nicht meiner.

Tja, meine Eltern haben bei ihrem Rechner keine root Rechte. Brauchen 
sie auch nicht. Denn das Debian stable System administriere ich für sie.

Ich muss dann zwar extra vorbeikommen, aber da ich keine root Rechte 
vergebe, gibt's in der Regel auch keine dringenden Probleme.
Autoupdate ist aktiviert.
Remote warte ich das aus Sicherheitsgründen nicht.

> Du glaubst
> nicht wirklich, daß ich da jedesmal rumfahren will, nur weil er eine
> Anwendung aus dem Software-Manager installieren will, oder?

Flatpaks kann man lokal mit Nutzerrechten installieren.

> Mal
> abgesehen davon, daß so ein Heckmeck dann direkt zur Rückmigration zu
> Windows führen dürfte.

Das letzte Windows, das meine Eltern vorgesetzt bekamen, war Windows 
Millenium.
Da wurde dann zunehmend Müll installiert und so das Windows System 
zugemüllt, so dass ich irgendwann die Reißleine zog und Slackware 
installierte.

Später wurde das durch Ubuntu ersetzt, das machte bei Distriupgrades 
noch Probleme. Bspw. gab's so Phänomene, dass der Scanner nach dem Dist 
upgrade nicht mehr funktionierte, während er vor dem Update mit der 
älteren Ubuntuversion noch lief.
Das waren zwar kleinere Ärgernisse, aber ich konnte sie beheben.

Später wurde Ubuntu dann durch Debian ersetzt und das läuft wie ne 1.

> "Security" ist nicht alles, sondern "Availability" ist mindestens ebenso
> wichtig. Etwas, daß Security-Geeks leider oftmals übersehen.

Du verwechselst hier Verfügbarkeit mit Einfachheit.
Verfügbarkeit hat man nämlich gerade mit Debian, eben weil es bombig wie 
ne 1 läuft und wenig Ärger bereitet.

> Sieh Dir den Mint-Updatemanager (und den Software-Manager) doch erstmal
> an, bevor Du anfängst, Alternativen dazu zu empfehlen. Dann verstehst Du
> auch das Problem. Live-ISOs zum Reinschauen findest Du auf der
> Mint-Seite.

Ich habe so etwas wie den Software Manager unter Linux nie benötigt.
Auch Ubuntu hat so etwas schon seit Jahren im Programm.
Und auch mit Discover und Co kriegt man das unter Debian.

Genaugenommen bevorzuge ich es, wenn GUI, dann so transparent wie mit 
Synaptic.
Das mir wirklich jedes Paket einzeln anzeigt und nicht nur die 
Endanwendersoftwarehighlights und den Rest verbirgt.

Johannes U. schrieb:
> Nano schrieb:
>
>> Ich wollte jetzt eher wissen, ob die Mint macher das unterstützen.
>> Vielleicht mit einem speziellen Script, dass man ausführen muss oder ob
>> die das gar nicht geplant haben, da sie davon ausgehen, dass ihre Mint
>> user das einfach neu installieren.
>
> Nein - und ich wuerde mal sagen natuerlich nein - wieso sollten sie
> soetwas tun?

Tja, damit die Leute von Mint mal mehr bieten als nur Eye Candy.
Das wäre doch jetzt mal was, wo man unter der Haube glänzen könnte.

Vor allem wenn man sich Einfachheit auf die Fahne schreibt.

Andreas B. schrieb:
> Cyblord -. schrieb:
>> Und an die Tatsache dass deine liebgewonnen Anwendungen nicht mehr alle
>> auf Linux laufen kannst du dich schon mal gewöhnen.
> Es geht hier ums daddeln. Andere Leute machen es richtig und kaufen sich
> dafür Spielkonsolen.

Eine Spielekonsole ersetzt keinen High End Gaming Rechner. Die ersetzen 
nicht einmal einen Gaming PC.

Außerdem sind Konsolen recht speziell. Nicht jedes Genre eignet sich für 
diese.
Das war auch schon früher so.

Und wenn man Egoshooter, Simulationen oder Strategiespiele bevorzugt 
oder das Rollenspiel modden können will, führt immer noch kein Weg am PC 
vorbei.


> Nano schrieb:
>> Ich wollte jetzt eher wissen, ob die Mint macher das unterstützen.
>> Vielleicht mit einem speziellen Script, dass man ausführen muss oder ob
>> die das gar nicht geplant haben, da sie davon ausgehen, dass ihre Mint
>> user das einfach neu installieren.
> Selbst wenn es das gäbe, würde ich das eher nicht machen. Da ändert sich
> einfach zu viel.

Da kommt es halt auf eine gute QA an. Wenn man das sorgsam macht, sollt 
so etwas machbar sein ohne dass der Nutzer dadurch einen Nachteil hat.

Nop schrieb:
> Nano schrieb:
>
>> Ich wollte jetzt eher wissen, ob die Mint macher das unterstützen.
>
> Nein, und das wäre im Moment auch noch kein sinnvoller Migrationspfad.
> LMDE ist derzeit kein Schwerpunkt, sondern hat die Funktion eines
> strategischen Fallbacks, wenn Canonical sich endgültig von der Community
> verabschiedet.
>
> Das Problem mit Debian Stable ist halt, daß Debian im Grunde das
> Dreifache an Maintainern bräuchte,

Ja, das wäre sinnvoll.

> weswegen die Pakete hoffnungslos
> veraltet sind.

Dem muss ich widersprechen.

Die Pakete sind selten älter als 2 Jahre, momentan sind sie sogar mit 
ca. 10 Monaten recht aktuell.

Und das mit dem Updatewahn ist nicht so wie unter Windows, wo man immer 
die allerneuste Version haben muss, um Sicherheitspatches zu erhalten, 
sondern bei Debian werden die Sicherheitspatches in die alten Versionen 
zurückportiert.

Und sollte man wirklich mal ganz wichtige Software haben, wo man 
wirklich das allerneuste Feature benötigt, kann man inzwischen meist auf 
Flatpak oder Backports ausweichen.

Momentan habe ich auf meinem Debian stable, abgesehen von Anki, nichts 
installiert, wovon ich jetzt dringend die allerneuste Version haben 
müsste.
Und Anki gibt's als aktuellen tarball direkt von den Entwicklern für 
Debian.
Flatpak wäre natürlich noch besser, aber das wollen die nicht. Zumindest 
noch nicht bzw. haben die da noch ein Problem das mit ihrem Buildsystem 
zu vereinen.

> Das ist ja überhaupt erst der Grund, wieso Ubuntu nicht
> einfach Debian Stable als Basis nimmt.

Ubuntu entstand zu einem Zeitpunkt, als man sich unter Debian noch mit 
dselect und einem Installationsprogramm, das absolutes Feintuning 
erlaubte,  herumärgern musste und bei dem man 5 terminals, 4 Editoren 
und 3 Dateimanger in einem noch wesentlich unübersichtlichere Startmenü 
nach der Installation hatte.

Aber diese Zeiten sind schon lange vorbei.
Debian hat durch den Ubuntuweckruf seine Hausaufgaben gemacht und 
jüngere Entwickler haben Debian deutlich modernisiert, so dass man 
Debian heutzutage problemlos als Distribution für den Desktopeinsatz 
empfehlen kann.

Das einzige was Debian vielleicht fehlt, wäre ein modernes Bugrepot 
Webinterface.

Da besteht noch nachholbedarf.

Nano schrieb:

> Mit vielen Bugs, einschließlich Regressionen und ungeplanten ungewollten
> Ausfällen.

Tja, wenn man halt schon auf Testrepos geht, ist das eben die Folge.

> Siehe oben, das nützt dir auch nichts, wenn der HWE Kernel 3 Monate zu
> alt für deine nagelneue Hardware ist.

Drei Monate sind eine völlig andere Größenordnung als zwei Jahre.

> Und hast du geprüft ob Treiber zurückportiert wurden?

Renoir-Treiber von 5.8 auf 4.19 zurückportiert. Na sicher. Debian hat ja 
sonst nichts zu tun.

> Hast du das in einer VM gemacht?

Nein, wieso sollte ich? USB-Stick flashen, reinbooten, gucken. So wie 
man das macht, um mal eben eine Distro anzuschauen. Ich will schließlich 
auch sehen, ob es mit der Hardware läuft.

> hatte deine Live ISO Netzwerkzugang?

Ja sicher, sogar über Ethernet, was mein Laptop kann.

> Weil du den Zustand in Live CDs überbewertest.

Das ist der Showcase. Entweder es geht, oder es ist direkt raus.

> Und was Mint in Form von LMDE betrifft. Da kommt es ganz darauf an, was
> die Mint Entwickler aus dem Debian machen.

Ich habe mir LMDE nicht so genau angesehen, finde es aber als 
strategisches Fallback wichtig.

> die QA von Mint und die war meiner Erfahrung nach bisher immer eher
> grottig als gut.

Kann ich nicht bestätigen. Jajajaja, die Webseite wurde vor Jahren mal 
gehackt, blabla. Und Debian hatte vor Jahren mal den Megafail mit den 
SSL-Keys, der noch lange danach für verwundbare Server-Keyes gesorgt 
hat.

> Wenn man weiß was man installieren will

"Wenn".

> Die Empfehlungen welche Programme sich für was eignen findet man sowieso
> in dutzenden Artikeln im Internet.

Du denkst jetzt nicht ernsthaft, daß Endanwender derlei Seiten lesen?!

> Das kann Discover unter KDE auch.

Zieht aber KDE nach sich.

> Ich muss dann zwar extra vorbeikommen

Danke, und raus.

> Du verwechselst hier Verfügbarkeit mit Einfachheit.

Das ist für Endanwender dasselbe. Ist es nicht einfach, dann ist es 
nicht verfügbar.

> Ich habe so etwas wie den Software Manager unter Linux nie benötigt.

Es geht aber nicht um Dich.

> Genaugenommen bevorzuge ich es, wenn GUI, dann so transparent wie mit
> Synaptic.

Das erklärt, wieso Du nicht verstehst, wieso das aus Endanwendersicht 
ein verwirrender Horror ist. Mißversteh mich nicht, ich nutzer auch 
lieber Synaptic, aber ich mute das nicht meinen Endanwendern zu.

Nano schrieb:
> Musst du selber wissen. Wenn du PPA nutzen willst, dann mach es halt,

Wie oft soll ich noch sagen das ich keine PPAs mag.
Eine echt fiese Nummer die du hier abziehst.

Nop schrieb:
> Nano schrieb:
>
>> Mit vielen Bugs, einschließlich Regressionen und ungeplanten ungewollten
>> Ausfällen.
>
> Tja, wenn man halt schon auf Testrepos geht, ist das eben die Folge.

Der Kontext war hier Rolling Release Distris wie Gentoo und Arch.

>> Und hast du geprüft ob Treiber zurückportiert wurden?
>
> Renoir-Treiber von 5.8 auf 4.19 zurückportiert. Na sicher. Debian hat ja
> sonst nichts zu tun.

Das kann durchaus auf Kernelseite passieren, wenn es sich um einen LTS 
Kernel handelt und bei 4.19 ist das der Fall.

>> Weil du den Zustand in Live CDs überbewertest.
>
> Das ist der Showcase. Entweder es geht, oder es ist direkt raus.

Dann ist bei mir Mint raus.
Denn meine Erfahrungen endeteten damals, als ich Mint das erste mal 
testete, damit direkt nach dem Booten in einen schwarzen Bildschirm.
Ubuntu lief da besser.

>> Wenn man weiß was man installieren will
>
> "Wenn".
>
>> Die Empfehlungen welche Programme sich für was eignen findet man sowieso
>> in dutzenden Artikeln im Internet.
>
> Du denkst jetzt nicht ernsthaft, daß Endanwender derlei Seiten lesen?!

Ich habe es gemacht.
Und Zeitungen wie die Chip werden durchaus auch heute noch online 
gelesen und von denen behandelt.

>> Das kann Discover unter KDE auch.
>
> Zieht aber KDE nach sich.

Besser als Gnome 3.

Zumal KDE 5 recht stabil funktioniert.

>> Genaugenommen bevorzuge ich es, wenn GUI, dann so transparent wie mit
>> Synaptic.
>
> Das erklärt, wieso Du nicht verstehst, wieso das aus Endanwendersicht
> ein verwirrender Horror ist. Mißversteh mich nicht, ich nutzer auch
> lieber Synaptic, aber ich mute das nicht meinen Endanwendern zu.

Na dann installier ihnen KDE, dann haben sie Discover.
Problem gelöst.

Nano schrieb:

> Der Kontext war hier Rolling Release Distris wie Gentoo und Arch.

Dazwischen gibt's noch Manjaro als Kompromiß, und im Vergleich zum 
Rumgefrickel mit Debian Testing und null Sicherheitsgarantien wäre 
Manjaro die bessere Wahl.

> Das kann durchaus auf Kernelseite passieren, wenn es sich um einen LTS
> Kernel handelt und bei 4.19 ist das der Fall.

Nicht als Rückportierung von einer Major-Kernelversion und dann auch 
noch etliche Versionen später. Die Ressourcen dafür hat Debian 
schlichtweg nicht.

> Dann ist bei mir Mint raus.
> Denn meine Erfahrungen endeteten damals, als ich Mint das erste mal
> testete, damit direkt nach dem Booten in einen schwarzen Bildschirm.

Je nachdem, was "damals"(tm) so ist. Mit der Argumentation, pauschal 
gesehen, hätte Linux an sich bei mir seit Mitte der 1990er raus sein 
können.

>> Du denkst jetzt nicht ernsthaft, daß Endanwender derlei Seiten lesen?!
>
> Ich habe es gemacht.

Ja, Du. Du bist kein Endanwender. Die Tatsache, daß Du in diesem Forum 
postest, sollte Dir das schon erklären.

> Und Zeitungen wie die Chip

Werden von Endanwendern nicht gelesen. Ich habe den Eindruck, daß Du in 
einem ziemlichen Paralleluniversum hängst und nichtmal ansatzweise 
verstehst, was Endanwender sind. Testfrage: lesen Deine Eltern "Chip"?

>> Zieht aber KDE nach sich.
>
> Besser als Gnome 3.

Aber nicht so gut wie Cinnamon.

> Na dann installier ihnen KDE, dann haben sie Discover.
> Problem gelöst.

Wozu in aller Welt sollte ich das tun, zumal das auch noch KDE nach sich 
zöge? Hast Du Dir mal das absolut grauenvolle Startmenü angesehen, was 
die noch vor etwa einem Jahr hatten? Nicht? Oder, noch schlimmer, Du 
verstehst nicht, was daran grauenvoll war?

Nano schrieb:
> Nur_ein_Typ schrieb:
>> Nano schrieb:
>>> In der aktuellen Debian Stable, also Version 11 Bullseye ist Mumble
>>> übrigens auf dem Versionsstand 1.3.4.
>>
>> In der aktuellen stabilen Version 21.04 von Ubuntu ebenso.
>
> Selbstverständlich, die Pakete sind ja auch aus Debian Sid.
>
> Nur wird es nach ein paar Monaten für Ubuntu 21.04 dann mit sehr hoher
> Wahrscheinlichkeit wieder keinen Patch geben, falls eine
> Sicherheitslücke bekannt werden sollte. Für Debian allerdings schon.

In ein paar Monaten kommt Ubuntu 22.04, und es wird die aktuellen 
Versionen von Mumble und allerlei anderen Paketen enthalten, während 
Debian Stable dann immer noch dieselben Versionen pflegt. Neue Versionen 
gibt es unter Debian dann erst wieder, wenn die nächste stabile Major 
Version ausgeliefert wird. Bis dahin sind die Nutzer von Debian auf die 
heutigen (und dann veralteten) Versionen angewiesen (sofern sie nicht am 
Paketmanager vorbei arbeiten wollen, mit allen Konsequenzen).

Ich bleibe bei Windows und fange wieder von vorne an.

Nano schrieb:
> Jede netzwerkfähige Software die Eingaben von außen erlaubt kann ein
> Risiko darstellen, wenn sie entsprechende Sicherheitslückenaufweist,
> weswegen diese immer gut mit Sicherheitspatches versorgt werden sollten.

Ja, natürlich.

> Allerdings muss man bei Mumble dazu sagen, dass der Client sich mit dem
> Server verbinden muss und dann eine gescheite Firewall die Verbindung
> dann in Bezug setzen kann und andere Verbindungen von Außen somit
> blocken kann.
> Die Angriffsfläche wäre somit reduziert.

Mir ist da die Funktion bzw. die Kommunikation zwischen Mumble-Client 
und -Server noch nicht ganz klar, zumal ja in vielen, wenn nicht den 
meisten Infrastrukturen ohnehin ein Gateway / Router mit SNAT dazwischen 
sitzen dürfte. Ist das wirklich so, daß Mumble einen von extern 
ansprechbaren Port auf dem Gateway öffnen kann, und wenn ja: wie soll 
das gehen? Dazu müßte der Admin des Gateway / Router doch ein DNAT 
(Portforwarding) einrichten. Wenn nicht, dann kommuniziert der Client -- 
als Client! -- doch ohnehin nur mit dem Server.

Wenn ich den Blogeintrag von Positive Security zu dem von Dir erwähnten 
Fehler so überfliegt, dann scheint diese Sicherheitslücke nur dann 
ausgenutzt werden zu können, sofern der Benutzer seinen Client mit einem 
böswilligen Server verbindet und dieser Server dann einen böswilligen 
Link an den Client ausliefert, den der Nutzer dann außerdem noch aktiv 
anklicken muß.

> Da müsste man dann lediglich noch prüfen, ob die Verbindung mit den
> anderen Clients ausschließlich über den Server laufen oder ob der Server
> die Clients dann lediglich miteinander vermittelt und die Clients dann
> direkt miteinander kommunizieren.

Wie gesagt: wie sollte das gehen, wenn da ein SNAT dazwischen ist? Dann 
können die Clients gar nicht direkt miteinander kommunizieren.

> Insofern ist meine obige Aussage im Kontext zu betrachten. Der Client
> ist schließlich selbst noch kein reiner Server. Obiges was ich in meinem
> letzten Kommentar dazu geschrieben habe gilt insbesondere für
> Anwendungen, die als Server funktionieren und auf Eingaben von außen
> warten.

Das ist halt ein grundsätzliches und allgemeines Problem von Software, 
die mit Daten aus nichtvertrauenswürdigen Quellen arbeitet, also eins 
von netzwerkfähiger Software und ein besonderes Problem von Software, 
die als Netzwerkserver arbeitet.

> Da Mumble aber eine Anwendung ist die hauptsächlich für die
> Kommunikation übers Netzwerk verwendet wird, ist hier besondere Vorsicht
> angesagt.
> Das ist das, was ich damit sagen wollte.

Alles gut.

>> Mit dem Bug, den
>> Mumble Version 1.3.4 behebt, hat das allerdings nichts zu tun.
>
> Habe ich auch nicht behauptet. Nur sollte man sich der Sicherheitsfragen
> mit solchen Antworten bewusst sein.
> Diese Art von Software gehört regelmäßig mit Sicherheitspatches
> versorgt.

Natürlich, keine Frage. Aber genau das geschieht ja, sowohl bei Debian, 
als auch bei Ubuntu -- mal ist Debian schneller, mal Ubuntu, denn...

> Der Bug ist übrigens auch in Mumble Version 1.3.0 behoben, allerdings
> nur in dem Paket von Debian oldstable Buster, nicht in Ubuntu.
> Bei Debian Buster ist das ein typischer rückportierter
> Sicherheitspatches, wie es bei guten Distributionen der Fall sein
> sollte.

Hier war -- angelehnt an Helmut Kohl: die "Gnade der frühen Geburt" -- 
Ubuntu sogar schneller als Debian. Ubuntu 21.04 kam am 22. April heraus, 
und jeder Mumble-User, der diese Ubuntu-Version benutzt hat, war ab 
diesem Zeitpunkt "sicher". Debian hat den Fix im damaligen Debian 10 
(stable) dagegen erst am 3. Mai gefixt, und die neue stabile 
Major-Version Debian 11 war da ja noch nicht veröffentlicht. In diesem 
Fall war also Ubuntu schneller als Debian, objektiv betrachtet.

Zur Wahrheit gehört allerdings auch, daß der Vorteil von Ubuntu in 
diesem Fall nur daher rührt, daß die neuere Ubuntu-Version vor der 
neueren Debian-Version heraus gekommen ist. Aus demselben Grund hatte 
Debian ab dem 14. August 2021 einige kleine Vorteile, weil da das 
aktuelle Debian 11 erschienen ist und es eben bei manchen Paketen 
aktueller war als die im April erschienene Stable-Version von Ubuntu. 
Seit dem 14. Oktober ist nun jedoch die neue stabile Version von Ubuntu 
mit wiederum aktualisierter Software erschienen... letzten Endes 
erscheint die Angelegenheit daher im Wesentlichen als Frage der 
Zeitpunkte, wann wer was veröffentlicht.

Nano schrieb:
> und viele andere....

Da hast du dann aber - wenn ich mal mein bisschen BWL-Basis-Wissen - 
auspacke, Entscheidungskosten.
Und die hat man bei Linux an mehreren Enden, also EntscheidungskostenA x 
EntscheidungskostenB x EntscheidungskostenC usw.

Dass nano der bessere Ersatz für Notepad ist, habe ich nicht einfach so 
hingeschrieben, dass ist meine Erfahrung - und außerdem ein Hinweis 
darauf, dass man sich hier und da entscheiden muss, und sich auch den 
ein oder anderen Editor, der in der Konsole läuft, ansehen und auch 
lernen sollte.
Natürlich muss man sich ein wenig umgewöhnen, und ein wenig Lernen bzw. 
auswendig Lernen, also memorieren.
Bei Windows ging das immer einfacher, weil Windows ziemlich 
durchstandardisiert ist.

Nano schrieb:
> Nur_ein_Typ schrieb:
>> Nano schrieb:
>>>> Dafür kann man dann ein PPA laden.
>>>
>>> Nein, siehe oben.
>>
>> Doch. Das Mumble-Projekt bietet höchstselbst ein PPA an und pflegt es
>> natürlich [1].
>
> Gut, dann ist es bei Mumble eine Ausnahme.
>
> Meine Aussage ist generell zu verstehen, es kann natürlich auch
> Ausnahmen geben.

Tatsächlich ist Mumble da gar keine so große Ausnahme, denn ziemlich 
viele Projekte veröffentlichen ihre aktuellsten Versionen in ihren 
eigenen, offiziellen PPAs, die sie natürlich auch selbst pflegen.

Das Kernproblem dabei sind allerdings nicht die PPAs, die sind 
vermutlich sogar die bessere Lösung als viele Alternativen. Denn Leute 
können ja nicht nur PPAs ins Netz stellen, sondern auch modifizierte 
Quellcode-Archive zum Selbstbau, oder natürlich auch eigene Binärpakete. 
Wer sowas dann installiert... genau.

Schlimmer noch: sogar die Repositories der Distributoren sind nicht 
zwangsläufig sicher, und leider hat gerade die ersten Belege dafür 
geliefert. Es war IIRC 2003, als ein Angreifer in die 
Debian-Infrastruktur einbrechen, und mehrere Server des Debian-Projekts 
erfolgreich kompromittieren konnte, darunter auch den Repository-Server 
"master". Glücklicherweise hat der Angreifer keine Pakete verändert, 
aber es wäre zweifellos ein Kinderspiel für ihn gewesen, das zu tun. Und 
wenn er das getan hätte, dann hätten sich die Debian-Nutzer die Malware 
direkt aus den Repositories ihres Distributors installiert...

Allerdings wäre es unsinnig, dabei jetzt mit dem Finger auf das 
Debian-Projekt zu zeigen. So etwas kann jeden Softwarehersteller und 
-Distributor treffen, und so ist Debian da in guter Gesellschaft: 2018 
ist ein Angreifer ins Github-Repository von Gentoo eingebrochen, und in 
Pythons Repository PyPI gab es auch schon Vorfälle mit Paketen, die 
Tippfehler im Paketnamen ausgenutzt haben (typosquatting).

Insofern gilt für PPAs dasselbe wie für jede andere Softwarequelle: 
trau, schau, wem. Und das gilt für jede Quelle von Software: 
Quelltext-Archive, Binärpakete, selbstverständlich genauso auch 
Flatpacks, AppImages, Snaps und Docker-Images.

Bevor sich unsere Linux-Hasser jetzt die verkrümmten Fingerchen reiben: 
zur harten Realität gehört auch, daß die übliche Vorgehensweise unter 
Windows, sich für jedes Problem irgendwelche Software aus irgendeiner 
beliebigen Quelle zu installieren und sie nie wieder zu aktualisieren, 
ist natürlich wesentlich gefährlicher.

>> Allerdings hat Debian aktuell nur deswegen den
>> Vorteil eines aktuellen Pakets im aktuellen Release, weil dieses Release
>> gerade einmal zwei Monate alt ist.
>
> Ich habe ihm nur gesagt, welche Version im aktuellen Debian enthalten
> ist, mehr nicht. :p

Ja, dieselbe Version wie im vorherigen und im aktuellen Ubuntu. ;-)

>> höchstwahrscheinlich also veraltet
>
> Das ist nicht zwingend so.
> Wenn das Protokoll, dass verwendet wird, um sich mit dem Server zu
> verbinden, sich nicht ändert, wird man auch die alte Version weiterhin
> einsetzen können.
> Man muss dann halt auf die neuen Features verzichten, die eine neue
> Version dann mit sich bringt.

Für mich, der ich viel Software entwickle, ist das oft ein sehr 
wesentlicher Punkt. Letztlich muß ich dem Mainstream bei der Entwicklung 
ja immer einen kleinen Schritt voraus sein, damit meine Software nicht 
schon bei Veröffentlichung veraltet ist.

> Und da es Mumble jetzt schon seit vielen Jahren gibt, sind größere
> Protokolländerungen nicht zu erwarten.

Das hab' ich über OpenLDAP auch mal gedacht... ;-)

>> während das dann aktuelle Ubuntu 22.10 selbstverständlich die dann
>> aktuelle Version enthalten wird.
>
> Und was bringt das?
> Es reicht wenn 3 Tage nach Release von Ubuntu 22.10 eine
> Sicherheitslücke in dieser Anwendung bekannt wird.

Ja, sag' ich doch: es kommt jeweils auf den Zeitpunkt der 
Veröffentlichung an.

> Dann wird dieses supernagelneue Ubuntu mit hoher Wahrscheinlichkeit kein
> Sicherheitsupdate für diese Anwendung bekommen, Debian allerdings schon.

Das Ubuntu bekommt das Sicherheitsupdate doch nur ein bisschen später, 
nämlich wenn das neue supernagelneue Ubuntu herauskommt. So ist das 
Leben, irgendeinen Tod muß man sterben: entweder aktuelle Software mit 
etwas höheren Risiken für Sicherheit und Stabilität (das betrifft 
übrigens auch die Distributionen mit Rolling Releases), oder eben 
tendenziell etwas ältere und besser abgehangene Software, die allerdings 
ebenfalls nicht vor Sicherheitsproblemen gefeit ist. Denn wir wollen ja 
nun nicht vergessen, daß auch das Debian-Projekt jahrelang anfällige 
Versionen von Mumble verteilt hat, als das Sicherheitsproblem noch nicht 
bekannt war. Und wir wollen bitte auch nicht vergessen, daß die 
fehlerhafte Version von Debian 10 WEGEN der Release-Policy des 
Debian-Projekts noch ausgeliefert wurde, als Ubuntu schon safe war -- 
nämlich in der zum Glück hier nur kurzen Zeit, als Ubuntu 21.04 bereits 
die neue, fehlerbereinigte Version ausgeliefert hat, während die 
Debian-Paketmaintainer noch am Backport des Securitypatches gearbeitet 
haben.

Nano schrieb:
> blob schrieb:
>> Jan hatte ja einen Link auf:
>> https://launchpad.net/~mumble/+archive/ubuntu/release
>> also eine https Seite von Canonical Ltd.
>
> Canonical stellt nur die Infrastruktur für die PPAs bereit, aber
> Canonical prüft nicht, was in den PPAs drin ist.

Nunja, die Software muß immer noch mit einem GPG-Schlüssel signiert 
sein.

> Wenn es jemand also anlegt, kann er sich einen Account anlegen.

Ja, mit seinem GPG-Schlüssel...

> Dann eine Anwendung als PPA anbieten.
> Genug Nutzer sammeln, die seine Anwendung regelmäßig nutzen.
> Und dann, wenn er genug zusammen hat und seine Reputation gut genug ist,
> dann baut er die Schadsoftware ein.
> Die Nutzer haben die Anwendung im Abo, vertrauen ihm und installieren
> das, in der Regel dann automatisch.

Das stimmt natürlich, aber es hat ÜBRHAUPT GAR NICHTS mit PPAs zu tun. 
Denn das gilt genauso für die Entwickler und Projekte, die 
Paketmaintainer, die Distributoren... für alle, die an einem Prozeß 
beteiligt sind, an dessen Ende eine Software zum Download bereitgestellt 
wird. Und dies vollkommen unabhängig davon, in welchem Format oder von 
welchem Distributor die Software zur Verfügung gestellt wird. Das gilt 
also genauso für ausnahmslos alle Binärpakete, welche irgendwo im Netz 
zum Download bereitgestellt werden. Für Debian-Pakete gibt es dabei 
sogar eigens eine Software, um böswillige Pakete mit einem 
Metasploit-Backdoor zu erzeugen.

> Und schon hat er ein Botnetz oder ne Kryptofarm oder sonstwas.
>
> Und dann dauert's wieder, je nach Qualifikation der Nutzer einige Zeit,
> bist das jemand entdeckt.
> Und erst dann, wenn es jemand entdeckt und der schlau genug ist, das an
> Canonical zu melden, wird Canonical dieses PPA schließen und den
> Account, der das PPA angeboten hat, sperren.

Ja, so ist das bei einem Community-Projekt wie Linux: die Entwicklung 
und auch die Security hängen an der Community.

> Das ist möglich.
> Es gibt keinen aktiven Code Audit.
> Niemand durchsucht den Quellcode aktiv.

Debian macht einen aktiven Code-Audit jedes neuen Paketes und jeder 
neuen Version und durchsucht dessen Quellcode aktiv? Ich weiß, daß es da 
ein Projekt gibt, aber dieses Projekt schreibt selbst, daß es "wegen der 
ungeheuren Größe der aktuellen Debian-Veröffentlichung [...] für ein 
kleines Team nicht machbar [ist], alle Pakete einem Audit zu 
unterziehen". Das interpretiere ich nicht so, als daß jedes Paket in 
jeder neuen Version auditiert wird.

>> Ich bevorzuge eindeutig Systeme auf denen das meiste läuft ohne das so
>> ein Stümper wie ich daran herumgeschraubt hat. Deswegen kommt für mich
>> Debian nicht mehr in Frage.
>
> Das ist dummes Geschwätz in mehrerer Hinsicht.

Ist es.

> Letzten Endes geht es dir mit deiner Behauptung aber nur darum, einen
> negativen Frame über Debian zu platzieren, weil du glaubst, dass ich
> hier einen Distriflameware betreiben würde und ich dein geliebtes Ubuntu
> oder Mint hassen würde.

Da es Dir mit Deinen Warnungen -- die sich interessanterweise immer nur 
gegen Ubuntu richten und niemals erwähnen, daß jeder andere Weg der 
Softwaredistribution ähnliche prinzipielle Schwierigkeiten aufweist -- 
offensichtlich primär darum geht, einen "negativen Frame" über Ubuntu 
"zu platzieren", mußt Du Dich über solche Reaktionen sicherlich nicht 
wundern, fürchte ich. Und daß Du dabei zumindest am Anfang Deiner 
diesbezüglichen Argumentationen leider immer wieder gerne dazu neigst, 
Dich maximal dramatisch und plakativ auszudrücken, bis jemand in die 
Diskussion einsteigt und Dir widerspricht, verringert diesen Verdacht 
jedenfalls nicht.

Das Ende vom Lied ist dann in jeder Hinsicht kontraproduktiv. Einige 
unbedarfte Benutzer mit Interesse an Linux werden verunsichert, 
abgeschreckt, und bleiben einfach bei Windows. Andere nehmen Deine 
plakativen und dramatischen Aussagen für bare Münze und gehen auf eine 
andere Linux-Distribution, etwa Fedora oder SuSE. Und dann gibt es 
sicher auch jene, die aufgrund Deiner Empfehlung tatsächlich zu einem 
Debian greifen, allerdings kurz- oder mittelfristig daran scheitern, 
weil Debian eben immer noch eine Distribution ist, die sich an erfahrene 
Anwender richtet und deswegen die vielen kleinen Helferlein nicht dabei 
hat, mit denen Ubuntu gerade Einsteigern den Einstieg ein bisschen 
einfacher und schmerzloser gestalten. Insofern erweist Du mit diesen 
Einlassungen nicht nur Ubuntu, sondern auch Debian selbst und der ganzen 
Linux-Community einen Bärendienst, und befeuerst obendrein auch noch die 
"Argumentationen" der großen Linuxhasser wie unseren Cybtroll.

Nano schrieb:
> blob schrieb:
>> Wie oft ist das bisher passiert?
>
> Das ist für die Sicherheitsfrage nicht relevant.

Für die Theorie nicht, aber für die Praxis natürlich sehr wohl.

>> Letztlich stellst du damit ja das ganze Prinzip der freien Software in
>> Frage.
>
> Nö, in keiner Weise.

Du stellst immerhin alle ALLE(!) Distributionsmechanismen für Software 
in Frage, nicht nur, aber auch die von freier Software.

>> Wer sagt dir den das nicht auch im Debian Team schon Schläfer
>> eingeschleust sind  die nur auf den Befehl aus .. warten ;-)
>
> Ich habe doch oben geschrieben, dass es dort ein Mehraugenprinzip gibt.
> Zumal du absolute Sicherheit nie haben kannst, aber nur einer Person,
> einem privaten PPA, vertrauen zu wollen ist recht naiv.

Wie gesagt, die meisten PPAs und insbesondere die auf Launchpad werden 
offiziell von den jeweiligen Softwareprojekten betrieben und gepflegt. 
Aber sogar das ist an sich egal, denn wenn Du Dir aus irgendeiner 
Nicht-Debian-Quelle egal was herunterlädtst und installierst, gilt 
bezüglich der sicherheitstheoretischen Betrachtungen genau dasselbe wie 
für PPAs.

Ich kenne sogar Projekte und Individuen, die eigene Repositories für 
Debian-Pakete anbieten, und für die gilt in natürlich jeder Hinsicht, 
theoretisch und praktisch, genau dasselbe wie für PPAs, denn im Kern ist 
ein PPA ja nichts anderes als ein ganz stinknormales Debian-Repository. 
Aber darüber sagst Du niemals etwas, obwohl die potentiellen Gefahren 
ganz genau dieselben sind, Du rekurrierst aber immer nur und ganz 
ausschließlich auf die PPAs.

>> aber ich denke ich bin nicht der Einzige der ein größeres
>> Risiko 20 cm, vor dem Monitor sieht.
>
> Das Risiko  20 cm vor dem Monitor nutzt genau diese PPAs.

Oder irgendwelche obskuren Quellcodes aus dubiosen Quellen, oder 
inoffizielle Debian-Repositories, oder inoffizielle Debian-Pakete, oder 
Docker-Images, oder... und über jeden dieser Mechanismen IST bereits 
Malware verteilt worden. Während bei den PPAs, die Du so verteufelst, 
meines Wissens also noch nie etwas passiert ist, gab es schon mehrere 
Fälle, in denen böswillige Software über andere Wege verteilt worden 
ist. Aber über diese anderen Wege redest Du nie.

> Versteh erst einmal die Grundprinzipien von Computersicherheit.
> Ich glaube nämlich nicht, dass du das verstanden hast.

Wenn Du erst dies schreibst und danach:

> Z.B. könntest du den Quellcode aus den Debian Sid Paketen nehmen. Nur
> mal so als Tipp.

... dann wäre das fast schon lustig, wenn es nicht so traurig wäre. 
Soso, ein womöglich unbedarfter Anwender soll den Quellcode aus Debian 
Sid nehmen und sein Softwarepaket manuell übersetzen und installieren. 
Klar, das kann man machen, gibt damit aber einen der wesentlichen 
Sicherheitsvorteiles des Paketmanagements auf und halst sich ein Paket 
auf, das er manuell pflegen muß... Wer so etwas empfiehlt, hat von 
Computersicherheit leider auch nicht viel verstanden.

Nano schrieb:

>> Mindestens 5.8 will er schon haben. Das ist auch normal bei
>> Renoir-Graphik. 4.19 ist jedenfalls komplett außen vor.
>
> Und hast du geprüft ob Treiber zurückportiert wurden?

So, ich hab mal etwas rumgetestet, mit Debian 10.5 von 08/2020 und 
Kernel 4.19. Der Renoir-Laptop (4000er APU) fährt damit nicht hoch, 
sondern bleibt mit schwarzem Bildschirm stehen.

Mein Desktop hat die Vorgeneration von APUs, also Picasso in Zen+, und 
fährt mit 4.19 ebenfalls nicht hoch. Diese APU wurde 07/2019 eingeführt 
und war im Herbst letzten Jahres bereits veraltet (aber günstig zu 
haben). Also keine brandneue Hardware, sondern schon abgehangen.

Mit Mint und dessen LTS-Kernel 5.4 ist der Desktop zufrieden. Der 
Renoir-Laptop fährt mit 5.4 immerhin sauber hoch, allerdings bloß mit 
Software-Rendering. Reicht jedoch, um im graphischen Update-Manager von 
Mint auf den HWE-Kernel umzustellen, falls man nicht Mint-Cinnamon will. 
Die Mate/XFCE-Ausgaben haben nämlich kein Edge-Iso.

Debian 11 funktioniert ebenfalls - allerdings erschien das erst vor zwei 
Monaten, hätte mir also vor einem Jahr nicht wirklich geholfen.

Nur mal so aus der Hüfte gefragt:

Denkt ihr das diese Diskussion dazu dienlich ist eventuellen Umsteigern 
den Umstieg schmackhaft zu machen?

Oder fällt das eher unter aktive Vermeidungsstrategie?
Ich selbst bin ja auch seit Ewigkeiten ein ›pure-Debian‹ Verfechter, 
aber beim Umstieg von Windows gilt doch: So ziemlich jede 
*Mainstream*-Distribution ist erst mal recht gut geeignet.

Nano schrieb:
> Nop schrieb:
>> Nehmen wir mal an, ich hätte letztes Jahr auf meinem Laptop Debian
>> Cinnamon installieren wollen, mit non-free. Das ist ein Renoir-Laptop,
>> der mindestens Kernel 5.8 haben möchte. Wie hätte ich ein dafür
>> passendes Buster-Image gefunden - angesichts der Tatsache, daß Buster
>> mit 4.19 daherkam?
>
> Es ist möglich einen neueren Kernel aus den Backports zu installieren.
> Du musst dazu lediglich in eine Konsole kommen und ein paar Zeilen
> eingeben und die sources.list Datei um einen Eintrag erweitern.

Im Prinzip empfiehlst Du gerade nichts anderes als ein PPA. Obendrein 
hast Du uns doch vor Kurzem noch erklärt, daß ein Debian für Einsteiger 
genauso komfortabel und einfach sei wie Ubuntu... und jetzt sollen sie 
einen Kernel (hä?) aus den Backports (hääääää?) installieren. 
Jaeeisklaa, Dein Ernst?

Nano schrieb:
> Nur wird Manjaro nie stable werden, also nicht stable im Sinne eines
> Debians.

Also ist Dein Vorwurf gegenüber Manjaro, daß es nicht Debian ist. Äh... 
wow.

> Man kann die Integration von Kernel Backports sicherlich noch verbessern
> und bspw. direkt im Installer einbauen. Ich bin da zuversichtlich, dass
> das eines Tages auch wirklich gemacht wird.

Überspitzt gesagt, sagst Du da gerade: "benutzen Sie Debian, in Zukunft 
läuft es auch auf Ihrer Hardware und irgendwann wird es sogar wirklich 
gut". ;-)

Nur_ein_Typ schrieb:

> weil Debian eben immer noch eine Distribution ist, die sich an erfahrene
> Anwender richtet

Man vergleiche nur mal die Foren von Debian und Mint. Debian kann doch 
geradezu dankbar sein, daß die Leute, die in den Mint-Foren nach Hilfe 
fragen, nicht in den Debian-Foren aufschlagen. Da liegen Welten 
zwischen.

Der Antritt von Mint ist es, Linux für Laien zugänglich zu machen. Das 
sind nämlich 98% der Anwender. Deswegen ist die OOTB-Erfahrung so 
entscheidend, denn was nicht OOTB geht, geht für diese Zielgruppe 
überhaupt nicht.

Und nein, diese Leute wollen und werden nicht "Linux lernen". Wir leben 
in einer hochspezialisierten Gesellschaft, in der jeder ein Laie auf 
fast allen Gebieten ist. Nur ITler überbewerten ihr kleines Tellerchen 
dramatisch, wollen zugleich aber an Gütern und Dienstleistungen anderer 
teilhaben.

Ich warte nur darauf, daß ein Zahnarzt mal einem solchen ITler den 
Bohrer hinhält und sagt: "hier haste die Sourcen - wenn Du zu doof bist, 
leb' halt mit Zahnschmerzen."

Nop schrieb:
> "Security" ist nicht alles, sondern "Availability" ist mindestens ebenso
> wichtig. Etwas, daß Security-Geeks leider oftmals übersehen.

Ebenso wie "Accessibility" und "Usability" -- und "Functionality", wie 
Du schön an "Software-" und "Update-Manager" von Mint im Vergleich mit 
"Synaptic" erklärtest.

Nur_ein_Typ schrieb:

> hast Du uns doch vor Kurzem noch erklärt, daß ein Debian für Einsteiger
> genauso komfortabel und einfach sei wie Ubuntu... und jetzt sollen sie
> einen Kernel (hä?) aus den Backports (hääääää?) installieren.
> Jaeeisklaa, Dein Ernst?

Hier zum Vergleich, wie das beim gescholtenen Mint ging: Man zieht sich 
das Edge-Iso mit dem aktuelleren Kernel (damals 5.8, heute 5.11 statt 
des LTS 5.4), installiert, und der Kram läuft auch mit Renoir-Laptops.

Alternativ funktioniert auch der 5.4, nur mit lahmarschiger Graphik. 
Dann klickt man im Startmenü auf den Update-Manager, klickt zu den 
Linux-Kerneln, klickt auf den 5.8 (bzw. heute 5.11), klickt 
"installieren", und man bootet neu. Das ist bereits schwierig, aber 
machbar.

rbx schrieb:
> Notepad fehlt definitiv, Notepad++ eigentlich auch

KDE-Anwender kennen den zu KDE gehörenden Editor "Kate", der in etwa die 
Funktionen von Notepad++ hat (jedenfalls als ich Notepad++ zuletzt 
gesehen habe). Heißt aber für GNOME-User natürlich, daß diverse QT- und 
KDE-Libs installiert und zur Laufzeit auch geladen werden müssen...

> Ein Linux Handbuch zum Nachschlagen ist auch ganz gut, auch wenn das
> Internet noch nicht ausgefallen ist.

Für Debian-, Ubuntu- und Mint-Nutzer gibt es dazu online das "Debian 
GNU/Linux Anwenderhandbuch" und das "Debian GNU/Linux 
Administrationshandbuch", ansonsten empfehle ich Einsteigern auch 
anderer Distributionen immer wieder gerne das Buch "Linux -- 
Installation, Konfiguration, Anwendung" von Dr. Michael Kofler.

Nur_ein_Typ schrieb:

> Ebenso wie "Accessibility" und "Usability" -- und "Functionality"

Ja, das ist ein Kernproblem bei dem Vorschlag, über CLI einen 
Kernel-Backport zu installieren. CLI ist toll, wenn man was 
automatisieren will, oder wenn man schon genau weiß, was man tun will. 
Was aber fehlt, ist "Discoverability", ein elementarer Punkt bei GUIs, 
wenn sie gut gemacht sind.

> Du schön an "Software-" und "Update-Manager" von Mint im Vergleich mit
> "Synaptic" erklärtest.

Ja, wenn ein Laie tausende von nichtssagenden Paketen in Synaptic sieht 
und nicht weiß, wonach er suchen soll, ist er am Ende. Mit dem 
Software-Manager ist bislang noch jeder "meiner" User auf Anhieb 
klargekommen, und der treffendste Kommentar war "ah, ein Appstore". 
Kennen die Leute von Smartphones und finden sich sofort zurecht.

Zudem nimmt der Mint-Installer die Leute regelrecht an die Hand und 
führt sie auch durch die Schritte NACH der Installation. 
Haupt-Akzentfarbe des Desktops auswählen, Light/Darkmode, Panel-Layout, 
Timeshift aufsetzen, Treiber nachladen (z.B. Nvidia), Update-Manager mit 
Mirrors einstellen, und ein paar weitere Sachen. Bei jedem Punkt ist 
erklärt, wozu das gut ist.

Nicht einfach nur "so, Linux ist installiert, schönen Tag noch". Ein 
Novize fühlt sich dadurch nicht "lost".

Nano schrieb:
> blob schrieb:
>> Das ist für mich von erheblicher Relevanz ob ein Problem theoretisch
>> oder real existiert.
>
> Für dich persönlich vielleicht, aber für Sicherheitsfragen wählt man
> einen generellen Ansatz.

Ein inhärenter und wichtiger Bestandteil dieses generellen Ansatzes ist 
natürlich die Risikoanalyse und -Bewertung. Deswegen sind diese Punkte 
auch inhärente Bestandteile jedes professionellen Security-Frameworks. 
Insofern ist es schon ein riesengroßer Unterschied, ob ein theoretisches 
Sicherheitsrisiko praktisch relevant ist.

Nano schrieb:
> Momentan habe ich auf meinem Debian stable, abgesehen von Anki, nichts
> installiert, wovon ich jetzt dringend die allerneuste Version haben
> müsste.
> Und Anki gibt's als aktuellen tarball direkt von den Entwicklern für
> Debian.

Na dann kann  darf  muß es für den Rest der Welt ja genauso sein, weil 
Du der Einzig Wahre Maßstab Für Den Rest Der Welt (EWMFDRDR ©) 
bist. Als EWMFDRDR obliegt Dir die Aufgabe, für alle Linux-Nutzer dieser 
Welt festzulegen, welche Software sie benutzen und aus welcher Quelle 
und in welcher Version sie diese installieren dürfen. ;-)

Norbert schrieb:
> Nur mal so aus der Hüfte gefragt:
>
> Denkt ihr das diese Diskussion dazu dienlich ist eventuellen Umsteigern
> den Umstieg schmackhaft zu machen?

Nein, darauf hatte ich ja auch schon ausdrücklich hingewiesen.

> Oder fällt das eher unter aktive Vermeidungsstrategie?
> Ich selbst bin ja auch seit Ewigkeiten ein ›pure-Debian‹ Verfechter,
> aber beim Umstieg von Windows gilt doch: So ziemlich jede
> *Mainstream*-Distribution ist erst mal recht gut geeignet.

Ja, zweifellos!

>So ziemlich jede
> *Mainstream*-Distribution ist erst mal recht gut geeignet.


NÖ.

Gerade was Mint Cinnamon angeht, macht der Desktop und die VISUELLE 
Anpassung an Windows ein das Leben viel einfacher.

Ich habe anodazumal mal Suse 7.3 (mit vielen CD's dabei) gekauft für 
sehr kleines Geld. Das habe ich auf einen Testrechner installiert und 
trotz brauchbarer Hardware-Erkennung (Windows machte mehr Stress zu der 
Zeit, wie auch heute) ganz schnell wieder gelöscht.

Grund : Einfach nicht ähnlich bedienbar.

Als ich mich wieder für Linux entschieden habe, war genau dieses Design 
von Cinnamon das was mich angesprochen und "überredet" hat.

Und ich behaupte frech, das genau DAS die Strategie der Entwickler 
ist/war.

Und nun kommt etwas was euch wundern wird.

Sicherheitslücken interessieren mich nur nebenbei. Ich bin schon so 
lange im EDV-Bereich das ich eins gelernt habe.  Es gibt sie, entweder 
weil der Programmierer ein Fehler gemacht hat, oder als 
Marketing-Strategie k.a. .

Man muss damit leben bis sie (wenn überhaupt) beseitigt werden.   MS hat 
1000ende von Sicherheitslücken. Im Text steht dann "Diese 
Sicherheitslücke wurde als 'nicht kritisch' eingstuft". Was im Klartext 
bedeutet ; "Wie wisse es aber es juckt uns nicht".

Und Grundsätzlich läuft das ganze eh auf ein Vertrauen auf den/die 
Entwickler zurück.

Die Sicherheitslücken stören mich nicht wirklich bei WIN-10 / 11.

Die Rumschnüffelei ist es, die mir gewaltig auf die Nerven geht. Und da 
hat Linux ein gewaltigen Vorteil aktuell noch. Und ich denke/vermute das 
den Entwicklern die Privatsphäre auch wichtig ist.

Aber vielleicht habe ich auch nur schöne blaue Augen. ;)

Nop schrieb:
> Nur_ein_Typ schrieb:
>
>> weil Debian eben immer noch eine Distribution ist, die sich an erfahrene
>> Anwender richtet
>
> Man vergleiche nur mal die Foren von Debian und Mint. Debian kann doch
> geradezu dankbar sein, daß die Leute, die in den Mint-Foren nach Hilfe
> fragen, nicht in den Debian-Foren aufschlagen. Da liegen Welten
> zwischen.

Da bin ich ganz bei Dir. Das kann man aber nicht nur in den Foren der 
jeweiligen Distributionen (bei Ubuntu ist es genauso) sehen, sondern muß 
sich dann nochmals vergegenwärtigen, daß Ubuntu und Mint ja schon eine 
Menge dafür tun, Komplexität durch kleine und große Helferlein 
"wegzuoptimieren" und dadurch den Einsteigern eine bessere 
Benutzererfahrung zu bieten.

> Der Antritt von Mint ist es, Linux für Laien zugänglich zu machen. Das
> sind nämlich 98% der Anwender. Deswegen ist die OOTB-Erfahrung so
> entscheidend, denn was nicht OOTB geht, geht für diese Zielgruppe
> überhaupt nicht.

Richtig. Es nutzt überhaupt niemandem und zuallerletzt dem Anwender 
etwas, wenn er gleich und ohne jede Linux-Erfahrung auf die weltbeste 
aller Linux-Distributionen setzt und sich gleich wieder abwendet, weil 
er damit nicht klar kommt.

> Und nein, diese Leute wollen und werden nicht "Linux lernen". Wir leben
> in einer hochspezialisierten Gesellschaft, in der jeder ein Laie auf
> fast allen Gebieten ist. Nur ITler überbewerten ihr kleines Tellerchen
> dramatisch, wollen zugleich aber an Gütern und Dienstleistungen anderer
> teilhaben.

Ja, nein, vielleicht... ich glaube, solche Sichtweisen folgen einem 
ziemlich breit angelegten Muster. Bis heute vermarktet sich Software 
nicht zuletzt auch über die Werbeaussage "professionell", und wer -- wie 
ich -- schon etliche Leute erlebt hat, die für das Editieren ihrer 
Urlaubsfotos und -Videos unbedingt "Profi-Software" wie Photoshop und 
Premiere "brauchen" und dann nicht so richtig gut damit klar kommen...

Irgendwie glaubt jeder, daß er sich mit Computern, Betriebssystemen und 
Software auskennen würde. "Aber es stand doch in der PC-Welt"... vor 
nicht allzu langer Zeit gab es hier einen Anwender, der gerne Linux 
benutzen wollte, aber wiederholt schier ausgeflippt ist, als wir ihm 
erklärt haben, daß Linux nun einmal anders ist als sein altbekanntes 
Windows, er seine bekannten Windows-Tricks nicht mehr benutzen müsse 
oder könne und er, wenn er es sinnvoll nutzen wolle, Linux eben genauso 
wie weiland Windows würde erlernen müssen. Aus den wütenden Antworten 
ließ sich die Haltung herauslesen "ich habe jetzt 20 Jahre 
Windows-Erfahrung und kenne mich mit Computern sehr gut aus, und wenn 
ich mit dieser Expertise nicht mit Linux klarkomme, dann muß natürlich 
Linux daran schuld sein".

Insofern hast Du zwar vollkommen Recht, aber die Problematik ist viel 
breiter und verbreiteter angelegt als Du geschrieben hast. Sie betrifft 
auch nicht nur die IT-Experten, sondern die Laien leider genauso...

> Ich warte nur darauf, daß ein Zahnarzt mal einem solchen ITler den
> Bohrer hinhält und sagt: "hier haste die Sourcen - wenn Du zu doof bist,
> leb' halt mit Zahnschmerzen."

Najaaa... ich erinnere mich an einen australischen Anästhäsisten, der 
sich über die damals verfügbaren Scheduler im Linux-Kernel geärgert und 
deswegen kurzerhand erst C gelernt und dann einen eigenen Scheduler 
implementiert und in den Kernel eingebracht hat. Aber Con Kolivas war 
und ist sicherlich eher eine Ausnahme. ;-)

Nop schrieb:
> Hier zum Vergleich, wie das beim gescholtenen Mint ging: Man zieht sich
> das Edge-Iso mit dem aktuelleren Kernel (damals 5.8, heute 5.11 statt
> des LTS 5.4), installiert, und der Kram läuft auch mit Renoir-Laptops.
>
> Alternativ funktioniert auch der 5.4, nur mit lahmarschiger Graphik.
> Dann klickt man im Startmenü auf den Update-Manager, klickt zu den
> Linux-Kerneln, klickt auf den 5.8 (bzw. heute 5.11), klickt
> "installieren", und man bootet neu. Das ist bereits schwierig, aber
> machbar.

Ja, wäre unter dem ebenso gescholtenen Ubuntu dasselbe gewesen. Ein 
unbedarfter Anwender, der aus Unkenntnis oder Unsicherheit nicht den Weg 
über den Update-Manager gegangen wäre, genau unter Ubuntu wie unter Mint 
zwar anfänglich eine lahme, aber immerhin wenigstens eine 
funktionierende Grafik gehabt. Und da Ubuntu und Mint eine andere 
Release-Policy verfolgen als Debian, hätte er über die ganz normalen 
Updates heute einen Kernel 5.11 installiert und wäre so in den Genuß 
einer nicht nur sauber funktionierenden, sondern obendrein auch noch 
schnellen Grafik gekommen. Ganz ohne irgendwelche Klickereien, 
Basteleien, Backports, Pakete aus Debian testing, unstable oder 
irgendwelchen mehr oder weniger dubiosen Drittquellen.

Insofern ist Dein Beispiel wirklich gut, denn es zeigt das Kernproblem 
mit Nones Argumentation für Debian. Stellen wir uns kurz vor, Du wärst 
nicht der erfahrene Fachmann, der Du bist, sondern ein Anfänger, der 
seine ersten Schritten mit einem Debian unternimmt und Deine Hardware 
hat. Der wäre dann auf die Debian-Website gegangen und hätte sich die 
aktuelle "stable"-Version heruntergeladen, und sie ausprobiert... oh, 
verdammt, der Bildschirm bleibt schwarz?!!11!einself!!

Ich ganz persönlich würde mal vermuten: 99,9 Prozent aller 
Linux-Einsteiger hätten nicht etwa nachgelesen und herausgefunden, daß 
man doch nur im Textmodus auf dieser komischen Kommandozeile die 
Backports in seine Apt-Sourcen eintragen muß, und dann einen für seine 
Hardware passenden Kernel installieren könnte. Und von denen, die das 
nachgelesen und herausgefunden hätten, hätten weitere 80 Prozent sich 
sofort mit Grausen abgewandt. Die übrigen Mutigen wären daran 
gescheitert und im schlimmsten Fall hätten sie einen 
kaputtkonfigurierten Paketmanager und / oder ein System, das gar nicht 
mehr bootet.

Über die Zahlen läßt sich vielleicht streiten, aber nicht über das 
Ergebnis: die meisten dieser Interessierten hätte Debian sehr nachhaltig 
abgeschreckt, während Ubuntu und Mint zumindest out-of-the-box 
funktioniert und den Anwender mit einem hübschen, aufgeräumten und 
modernen Desktop erfreut hätten. Unter Debian hätte die Linux-Community 
also sofort einen Interessenten verloren (womöglich würde er dann hier 
sogar über dieses "blöde Linux" herumstänkern wie unser Cybtroll), 
während Ubuntu und Mint diesen Benutzer vielleicht nicht mit der 
perfekten Lösung, aber dennoch zumindest nicht von Vorneherein 
nachhaltig verschreckt hätten.

Dasselbe gilt auch für Nones Einlassungen zu Sicherheit und Stabilität, 
sobald hier jemand Jehova... äh, nein, Ubuntu sagt. Dies vor allem auch 
deswegen, weil Linux' exzellenter Ruf als das sicherere System ja für 
viele Interessierte ein wichtiger Grund für ihr Interesse ist. Da kommt 
also einer und interessiert sich für ein anderes System, weil es 
sicherer sein soll -- und prompt läuft ihm hier im Forum jemand über den 
Weg, der im Brustton der Überzeugung und unter Vorspiegelung der 
maximaler Expertise alle Linux-Distributionen außer Debian für 
vollkommen schlecht weil unsicher und geradezu gefährlich bezeichnet...

Nop schrieb:
> Nur_ein_Typ schrieb:
>
>> Ebenso wie "Accessibility" und "Usability" -- und "Functionality"
>
> Ja, das ist ein Kernproblem bei dem Vorschlag, über CLI einen
> Kernel-Backport zu installieren. CLI ist toll, wenn man was
> automatisieren will, oder wenn man schon genau weiß, was man tun will.

CLI ist noch viel ganz viele andere Sachen toll, wo es hier gerade 
weiter oben um Dateimanager ging. Ich persönlich benutze nämlich gar 
keinen Dateimanager für mein Dateimanagement, sondern die CLI. Damit bin 
ich wesentlich schneller und flexibler als jeder Dateimanager, aaaber: 
ich hab' > 30 Jahre UNIX-Erfahrung und kann das deswegen auch ziemlich 
gut, käme aber niemals auch nur im Entferntesten auf die Idee, mich als 
Maßstab für andere oder gar für einen Einsteiger zu sehen. ;-)

Schlaumaier schrieb:
>> So ziemlich jede
>> *Mainstream*-Distribution ist erst mal recht gut geeignet.
>
> NÖ.

Naja doch, stimmt schon. Aber, wie Du richtig sagst:

> Gerade was Mint Cinnamon angeht, macht der Desktop und die VISUELLE
> Anpassung an Windows ein das Leben viel einfacher.
>
> Ich habe anodazumal mal Suse 7.3 (mit vielen CD's dabei) gekauft für
> sehr kleines Geld. Das habe ich auf einen Testrechner installiert und
> trotz brauchbarer Hardware-Erkennung (Windows machte mehr Stress zu der
> Zeit, wie auch heute) ganz schnell wieder gelöscht.
>
> Grund : Einfach nicht ähnlich bedienbar.

... der Anwender muß am Ende halt damit zurecht kommen, und dabei haben 
Ubuntu und Mint gerade bei Einsteigern sicherlich Vorteile gegenüber 
Debian. Kunststück, das ist ja das erklärte Ziel dieser Projekte. Die 
SuSE-Leute hatten das übrigens früh begriffen und deswegen ihre 
Konfigurationssoftware "YaST" entwickelt, um den ersten Kontakt mit so 
einem Linux für Einsteiger möglichst schmerzfrei zu gestalten.

Ich mochte SuSE Linux 7.3 und auch schon die Vorgänger sehr gerne, das 
war eine enorm angenehme und komfortable Angelegenheit, wenn man von der 
DLD kam... auch schon, als SuSE noch gar keine richtigen Versionsnummern 
hatte und mit Jahr, Monat und Tag des Abzuges von ihrem FTP-Server 
versioniert wurde.

Als Novell dann die SuSE übernahm und als allererstes die vorhandene, 
schnell und gut funktionierende Software durch einen imperformanten 
Müllhaufen namens zypper ersetzt hat, der ungefähr eine Stunde brauchte 
um mir dann zu sagen, daß es keine aktuelleren Softwarepakete auf dem 
Server gab als meine installierten, war bei mir Schluß mit der SuSE. 
Zuerst habe ich dann Debian ausprobiert, auch weil ich das von meinen 
Servern schon gut kannte. Aber aufgrund von Ärger innerhalb des Projekts 
mit einem Maintainerwechsel etc. hat es Debian damals über einen langen 
Zeitraum nicht geschafft, eine neue Major Version hinzubekommen. Als die 
dann endlich kam, waren die darin enthaltenen Pakete des KDE-Desktops 
hoffnungslos veraltet, nicht zuletzt auch aufgrund von Verquickungen 
einiger Entwickler und Maintainer des Debian- und des Gnome-Projekts.

Damit war Debian auf dem Desktop für mich zunächst einmal tot, und ich 
bin daher zu Kbuntu gewechselt. Obwohl das Debian-Projekt seine 
damaligen Probleme mittlerweile längst überwunden und ich mir die 
Distribution auch immer wieder einmal auf dem Desktop angeschaut habe, 
konnte ich bis jetzt noch keinen wirklichen Grund dafür finden, Kubuntu 
zu verlassen und zu Debian zu wechseln. Vielleicht passiert das ja 
irgendwann einmal, womöglich weil die Ubuntu-Jungs mal wieder so eine 
"graniose" neue Idee haben. Aber bisher bin ich glücklich mit Ubuntu -- 
auch wenn es mir im Grunde  egal ist, was untendrunter läuft, solange es 
unixoid ist.

Nur_ein_Typ schrieb:
> In ein paar Monaten kommt Ubuntu 22.04, und es wird die aktuellen
> Versionen von Mumble und allerlei anderen Paketen enthalten, während
> Debian Stable dann immer noch dieselben Versionen pflegt.

Es zählen nur die LTS Versionen.
Die anderen sind die Spiel- und Testwiese von Canonical.

Nano schrieb:
> Nur_ein_Typ schrieb:
>> In ein paar Monaten kommt Ubuntu 22.04, und es wird die aktuellen
>> Versionen von Mumble und allerlei anderen Paketen enthalten, während
>> Debian Stable dann immer noch dieselben Versionen pflegt.
>
> Es zählen nur die LTS Versionen.
> Die anderen sind die Spiel- und Testwiese von Canonical.

Meine Güte, jetzt hör' doch bitte endlich auf, so einen hahnebüchenen 
Unsinn zu erzählen. Das tut ja schon beim Lesen weh.

Nur_ein_Typ schrieb:
> Mir ist da die Funktion bzw. die Kommunikation zwischen Mumble-Client
> und -Server noch nicht ganz klar, zumal ja in vielen, wenn nicht den
> meisten Infrastrukturen ohnehin ein Gateway / Router mit SNAT dazwischen
> sitzen dürfte. Ist das wirklich so, daß Mumble einen von extern
> ansprechbaren Port auf dem Gateway öffnen kann, und wenn ja: wie soll
> das gehen? Dazu müßte der Admin des Gateway / Router doch ein DNAT
> (Portforwarding) einrichten. Wenn nicht, dann kommuniziert der Client --
> als Client! -- doch ohnehin nur mit dem Server.

Wie schon gesagt, es kommt darauf an, wie die die Mumbleclients 
miteinander verbunden werden.

Solange der Traffic nur über den Server läuft, man also ein klassisches 
Client-Server Modell hat, kann nur der Server den Client hinter der FW 
erreichen. Ein präparierter Server wäre also eine Gefahr für einen 
unsicheren Clienten.
Inwiefern ein anderer Client eine Payload über den Server schicken kann, 
weiß ich nicht. Das wäre theoretisch eine weitere Angriffsfläche und 
käme bspw. in Betracht, wenn der Server Pakete einfach weiterleitet, 
aber nicht nach Sinn und Zweck filtert.

Wenn es aber so ist, dass der Server nur die Client IPs miteinander 
austauscht, so dass diese sich per Peer2Peer verbinden können, dann 
können die Clients auch direkt dem anderen Client schaden.
Damit Peer2Peer Verbindungen funktionieren, muss der Nutzer seine FW im 
Router natürlich entsprechend einstellen, was er tun wird, damit er die 
entsprechende Software nutzen kann.



> Wenn ich den Blogeintrag von Positive Security zu dem von Dir erwähnten
> Fehler so überfliegt, dann scheint diese Sicherheitslücke nur dann
> ausgenutzt werden zu können, sofern der Benutzer seinen Client mit einem
> böswilligen Server verbindet und dieser Server dann einen böswilligen
> Link an den Client ausliefert, den der Nutzer dann außerdem noch aktiv
> anklicken muß.

Ja, jede Sicherheitslücke kann anders ausgestaltet sein, da kommt es 
dann auf die Details an.


>> Da müsste man dann lediglich noch prüfen, ob die Verbindung mit den
>> anderen Clients ausschließlich über den Server laufen oder ob der Server
>> die Clients dann lediglich miteinander vermittelt und die Clients dann
>> direkt miteinander kommunizieren.
>
> Wie gesagt: wie sollte das gehen, wenn da ein SNAT dazwischen ist? Dann
> können die Clients gar nicht direkt miteinander kommunizieren.

Bei Peer2Peer Software muss die FW entsprechend eingerichtet sein um die 
Kommunikation durchzulassen, was man als Nutzer dann auch tut, um die 
P2P Software nutzen zu können.

Es gibt bspw. manche Computerspiele, die nach dem Peer2Peer Modell 
arbeiten.

> Das ist halt ein grundsätzliches und allgemeines Problem von Software,
> die mit Daten aus nichtvertrauenswürdigen Quellen arbeitet, also eins
> von netzwerkfähiger Software und ein besonderes Problem von Software,
> die als Netzwerkserver arbeitet.

Richtig.
Wobei als Peer2Peer arbeitende Clients immer auch Server sind.

Bei Mumble gehe ich aber davon aus, dass es sich allerdings um ein 
klassisches Client-Server Modell handelt.

>> Habe ich auch nicht behauptet. Nur sollte man sich der Sicherheitsfragen
>> mit solchen Antworten bewusst sein.
>> Diese Art von Software gehört regelmäßig mit Sicherheitspatches
>> versorgt.
>
> Natürlich, keine Frage. Aber genau das geschieht ja, sowohl bei Debian,
> als auch bei Ubuntu

Nein, gerade das passiert bei Ubuntu für die entsprechenden Repos ja 
nicht.
Die LTS Version wird ca. 5 Jahre supported, dies gilt aber nicht für die 
multiverse und universe Pakete.
D.h. Mumble bleibt da, wenn sich kein freiwilliger aus der Community 
meldet, also weiterhin ungepatched mit der gegebenen Sicherheitslücke, 
die sich entsprechend ausnutzen ließe.

> -- mal ist Debian schneller, mal Ubuntu, denn...

Debian patched seine Pakete in stable immer, sofern ein aktiver 
Maintainer dafür da ist und das patchen möglich ist.
Ist kein aktiver Maintainer da, wird das entsprechend transparent 
kommuniziert, so dass man sich als Nutzer darauf einstellen und bspw. 
auf eine andere Software ausweichen kann.

Es gibt also zwischen Ubuntu und Debian einen erheblichen Unterschied 
bezüglich der Sicherheitpolitik und Sicherheit der Pakete.

Vergleichbar sind die eigentlich nur dann, wenn man die Auswahl der 
Pakete in Ubuntu auf den main Zweig und was sonst noch so von Canonical 
aktiv supported wird, begrenzt.


>> Der Bug ist übrigens auch in Mumble Version 1.3.0 behoben, allerdings
>> nur in dem Paket von Debian oldstable Buster, nicht in Ubuntu.
>> Bei Debian Buster ist das ein typischer rückportierter
>> Sicherheitspatches, wie es bei guten Distributionen der Fall sein
>> sollte.
>
> Hier war -- angelehnt an Helmut Kohl: die "Gnade der frühen Geburt" --
> Ubuntu sogar schneller als Debian. Ubuntu 21.04 kam am 22. April heraus,
> und jeder Mumble-User, der diese Ubuntu-Version benutzt hat, war ab
> diesem Zeitpunkt "sicher".

Ubuntu 21.04 ist kein LTS Release.
Ubuntu 21.04 ersetzt also nicht Ubuntu 20.04 LTS.
Die Nutzer nutzen also weiterhin Ubuntu 20.04 LTS und das in einer 
unsicheren Form.
Die nächste LTS Version wird es erst mit vorraussichtlich 22.04 LTS 
geben
und dann müssen die Nutzer auf diese umsteigen wollen. Jede LTS wird 
nämlich ca. 5 Jahre supported, also bis 2025.

Siehe:
https://de.wikipedia.org/wiki/Ubuntu#Zeitleiste

Die Nicht LTS Versionen von Ubuntu kannst du problemlos mit Debian 
Testing vergleichen.


> Debian hat den Fix im damaligen Debian 10
> (stable) dagegen erst am 3. Mai gefixt,

Das ist nicht korrekt. Lies die Changelog von Debian 10.
Dieses Paket wurde zeitnah am 30. April 2021 gefixt.
https://metadata.ftp-master.debian.org/changelogs//main/m/mumble/mumble_1.3.0~git20190125.440b173+dfsg-2+deb10u1_changelog

Und ein paar wenige Minuten oder Stunden davor wird der Zeitpunkt 
gewesen sein, wo diese Sicherheitslücke überhaupt bekannt wurde.

> und die neue stabile
> Major-Version Debian 11 war da ja noch nicht veröffentlicht. In diesem
> Fall war also Ubuntu schneller als Debian, objektiv betrachtet.

Nein, was du schreibst ist Unsinn.
Die nicht LTS Versionen von Ubuntu sind mit Debian Testing vergleichbar.
Es sind Testwiesen, keine stabilen Distributionen für den 
Alltagseinsatz.
Dafür sind die LTS Versionen da und die werden bis zu 5 Jahre von den 
Nutzern benutzt, weil so lange der Supportzeitraum für die Pakete in 
main beträgt. Mit extended Support sogar länger.

Nur die LTS Versionen kann man mit Debian stable vergleichen.
Und hier gibt es halt große Unterschiede, wie man mit dem Support für 
Pakete aus bestimmten Repos umgeht.

Ubuntu war also nicht schneller, weil die unterschiedlichen 
Releasezeitpunkte nichts mit Schnelligkeit zu tun haben.
Momentan ist es so, dass sie abwechselnd stattfinden.
Debian bei ungeraden Jahreszahlen und Ubuntu bei geraden.
Und wenn eine Sicherheitslücke im Herbst eines ungeraden Jahres 
stattfinden würde, dann wäre nach deiner Logik Debian schneller, aber so 
rechnet man nicht. Diese Art zu rechnen ist falsch.

Die richtige Art zu zählen geht so:
Es wird upstream, also bspw. bei den Entwicklern eine Sicherheitslücke 
in einer Software gefunden und gefixt.
Nun müssen downstream die Distributionen mit ihren bereits bestehenden 
veröffentlichten LTS bzw. stable Versionen ein Update für ihr Paket 
rausbringen.

Schneller ist hier der, der es zuerst schafft.
Debian hat, wenn wir mal annehmen, ich habe jetzt nicht nachgeguckt, 
dass der Bug am 30 April 2021 um 10:00 Uhr bekannnt wurde, also 
innerhalb von 12 h und 23 min und 25 s gehandelt.

In der damaligen vergleichbaren LTS Version von Ubuntu wurde der Bug 
jedoch gar nicht behandelt. D.h. die Nutzer müssen bis heute noch auf 
den Fix warten. Ubuntu ist hier also schneckenlangsam, sogar unendlich 
langsam.

Allein das ist relevant.
Es ist nicht relevant, wann Ubuntu durch einen neuen Release profitiert, 
denn das ist keine Form von aktiver Sicherheitspolitik einer 
Distribution.

Und übrigens, was deine Ubuntu 21.04 Nicht-LTS, also Ubuntu Testing 
version, betrifft.
Da hat Ubuntu gar nichts gepatched, denn die haben einfach nur den 
gepatchten Zweig von Debian übernommen.

Der Patch kam also durch Debian Zustande.
Siehe der Eintrag in der Changelog von Ubuntu 21.04:

1

mumble (1.3.4-1) unstable; urgency=medium

2

3

  * New upstream bugfix release from 2021-02-10

4

    - Fixes CVE-2021-27229 (Closes: #982904)

5

      Mumble before 1.3.4 allows remote code execution if a victim navigates

6

      to a crafted URL on a server list and clicks on the Open Webpage text

7

    - Fixes packet loss & audio artifacts caused by OCB2 XEXStarAttack

8

      mitigation (upstream issue #4720)

9

  * debian/upstream/signing-key.asc:

10

    - Update signing-key.asc for Mumble 2021 build infrastructure key

11

12

 -- Christopher Knadle <Chris.Knadle@coredump.us>  Mon, 01 Mar 2021 09:29:33 +0000

http://changelogs.ubuntu.com/changelogs/pool/universe/m/mumble/mumble_1.3.4-1/changelog

Man achte hier auf:

1

  * debian/upstream/signing-key.asc:

2

    - Update signing-key.asc for Mumble 2021 build infrastructure key

> Seit dem 14. Oktober ist nun jedoch die neue stabile Version von Ubuntu
> mit wiederum aktualisierter Software erschienen... letzten Endes
> erscheint die Angelegenheit daher im Wesentlichen als Frage der
> Zeitpunkte, wann wer was veröffentlicht.

Falsch. Die Wesentliche Frage ist der Zeitpunkt, wann eine 
Sicherheitslücke zwischen den Releasezeiten der Stable/LTS Releases 
von den Distributionen für den bestehenden letzten LTS/stable Release 
gemacht wird.


Es macht absolut keinen Sinn, mehrere Monate auf den nächsten Release zu 
warten, denn das ist keine Sicherheitspolitik.
Denn in diesen Monaten wäre dein System durch diese Softwarelücke dann 
ja angreifbar.

Nano schrieb:
> Falsch. Die Wesentliche Frage ist der Zeitpunkt, wann eine
> Sicherheitslücke zwischen den Releasezeiten der Stable/LTS Releases
> von den Distributionen für den bestehenden letzten LTS/stable Release
> gemacht wird.

Sry, ich meine natürlich gepatched wird.

rbx schrieb:
> Nano schrieb:
>> und viele andere....
>
> Da hast du dann aber - wenn ich mal mein bisschen BWL-Basis-Wissen -
> auspacke, Entscheidungskosten.

Eine Firma hat immer Entscheidungskosten, wenn sie Werkzeug aussuchen 
muss, mit dem sie arbeiten will.

Ob das jetzt Bohrmaschinen, Texteditoren oder Betriebssysteme sind, ist 
hier völlig egal.



> Und die hat man bei Linux an mehreren Enden, also EntscheidungskostenA x
> EntscheidungskostenB x EntscheidungskostenC usw.

Die hast du bei Windows genauso.
Denn Windows lieferst selbst kaum eigene Software mit.
Sondern da musst du die Zusatzsoftware von Drittfirmen einkaufen.

Also hat du auch hier Entscheidungskosten (für das OS) x 
Entscheidungskosten (für deine IDE) x Entscheidungskosten (für dein 
Office Paket) usw..


> Natürlich muss man sich ein wenig umgewöhnen, und ein wenig Lernen bzw.
> auswendig Lernen, also memorieren.
> Bei Windows ging das immer einfacher, weil Windows ziemlich
> durchstandardisiert ist.

Ich denke da täuschst du dich. Bei Windows sind die meisten 
Computernutzer einfach seit frühstens Win 3.0 gewohnt. Und je nach dem, 
welches dein erstes Windows war, wird ähnliches auch auf dich zutreffen.

Eine Ausnahme bilden die, die Windows nie eingesetzt haben und dann 
plötzlich Windows einsetzen müssen.

Nur_ein_Typ schrieb:

> funktionierende Grafik gehabt. Und da Ubuntu und Mint eine andere
> Release-Policy verfolgen als Debian, hätte er über die ganz normalen
> Updates heute einen Kernel 5.11 installiert

Das nun nicht. Wenn Du bei Mint den 5.4-LTS als Kernel hast, dann bleibt 
das auch bei 5.4. Es wird nicht automatisch auf den 5.8er / 5.11er 
HWE-Kernel angehoben. Der Sinn ist, daß der LTS-Kernel "eigentlich" der 
angebotene ist und die aktuelleren HWE-Kernel nur ein Zusatzangebot 
darstellen.

> Ich ganz persönlich würde mal vermuten: 99,9 Prozent aller
> Linux-Einsteiger hätten nicht etwa nachgelesen und herausgefunden, daß
> man doch nur im Textmodus auf dieser komischen Kommandozeile die
> Backports in seine Apt-Sourcen eintragen muß

Richtig. Und auch wenn ich das machen könnte, habe ich keinen Bock dazu, 
denn wenn das schon direkt am Anfang nicht geht, ist meine 
Erwartungshaltung, daß sich das so fortsetzen wird. Dann nehme ich 
lieber eine andere Distro, die fuktioniert. Ist ja nicht so, als würden 
wir an Distro-Knappheit leiden. ;-)

> Dasselbe gilt auch für Nones Einlassungen zu Sicherheit und Stabilität,

Für Server wäre Debian tatsächlich meine erste Wahl. U.a. auch, weil es 
minimalistisch ist, was sich bei Servern in eine geringere 
Angriffsfläche übersetzt. Besser, man fügt das hinzu, was man braucht, 
als daß man wegnimmt, was man nicht braucht. Übersieht man beim 
Hinzufügen etwas, merkt man, daß es nicht geht. Übersieht man beim 
Wegnehmen etwas, merkt man das nicht.


Nur_ein_Typ schrieb:

> Aus den wütenden Antworten ließ sich die Haltung herauslesen
> "ich habe jetzt 20 Jahre Windows-Erfahrung

Das Problem ist, daß es sich dabei um Halblaien handelt, die nur gelernt 
haben, wo sie bei Windows klicken müssen - aber ohne zu begreifen, was 
sie da überhaupt tun. Sonst könnten sie ihr Wissen nämlich 
erheblichenteils transferieren und müßten sich nur beim "wie" umstellen.

Bei "meinen" Endnutzern war das kein Problem, weil sie keine 
Pseudo-Experten sind. Alles sieht etwas anders aus, aber das tut Windows 
auch mit jeder Version. Cinnamon ist schließlich ein stockkonservativer 
Desktop, der gar nicht erst versucht, seine Nutzer mit irgendwelchen 
Desktop-Revolutionen zu beglücken.

> Aber Con Kolivas war und ist sicherlich eher eine Ausnahme. ;-)

Haha, aber cool! :)

Nur_ein_Typ schrieb:
>>>> Nein, siehe oben.
>>>
>>> Doch. Das Mumble-Projekt bietet höchstselbst ein PPA an und pflegt es
>>> natürlich [1].
>>
>> Gut, dann ist es bei Mumble eine Ausnahme.
>
> Tatsächlich ist Mumble da gar keine so große Ausnahme, denn ziemlich
> viele Projekte veröffentlichen ihre aktuellsten Versionen in ihren
> eigenen, offiziellen PPAs, die sie natürlich auch selbst pflegen.

Das kann ich so nicht bestätigen.

Von Anki gibt es gar keinen offiziellen PPA.
https://apps.ankiweb.net/#linux

Von Eclipse auch nicht.
https://www.eclipse.org/downloads/packages/

Von Firefox, Libre Office und viele andere auch nicht.

Die PPAs sind und bleiben eine Ubuntu Geschichte und gibt es oftmals 
höchstens nur dann, wenn von den Entwicklern einer dabei ist, der selbst 
Ubuntu nutzt und dann ein PPA dazu macht.



> Das Kernproblem dabei sind allerdings nicht die PPAs, die sind
> vermutlich sogar die bessere Lösung als viele Alternativen.

Da die PPAs nur für Ubuntu gedacht sind, sind die keineswegs die bessere 
Lösung.
Da sind Flatpak Pakete dann schon deutlich besser, da sie für alle 
Distibutionen sind.


> Schlimmer noch: sogar die Repositories der Distributoren sind nicht
> zwangsläufig sicher, und leider hat gerade die ersten Belege dafür
> geliefert. Es war IIRC 2003, als ein Angreifer in die
> Debian-Infrastruktur einbrechen, und mehrere Server des Debian-Projekts
> erfolgreich kompromittieren konnte, darunter auch den Repository-Server
> "master". Glücklicherweise hat der Angreifer keine Pakete verändert,
> aber es wäre zweifellos ein Kinderspiel für ihn gewesen, das zu tun. Und
> wenn er das getan hätte, dann hätten sich die Debian-Nutzer die Malware
> direkt aus den Repositories ihres Distributors installiert...

Deswegen hat man danach darauf reagiert und GPG Keys und 
Schlüsselsignaturen eingeführt.
So dass man sagen kann, dass die Repositories von Debian heutzutage nach 
dem Stand der Technik sicher sind.

Linux Mint wurde übrigens 2016 kompromittiert:
https://de.wikipedia.org/wiki/Linux_Mint#Linux-Mint-Hack
und
https://www.bitblokes.de/linux-mint-gehackt-iso-dateien-ueberpruefen-moegliche-backdoor/

Die Repositories waren davon nicht betroffen, da hat Linux Mint von den 
Änderungen von Debian profitiert.

Allerdings gab es 2013 bei Linux Mint erhebtliche Sicherhietsprobleme 
bezüglich der Pakete in den Repositories:
https://de.wikipedia.org/wiki/Linux_Mint#mintUpdate

Letzten Endes kommt es darauf an, wie eine Distribution danach damit 
umgeht und ob es aus Fehlern lernt und die Sicherheit verbessert.

Dies ist bei Debian bisher immer der Fall gewesen.

Bei Linux Mint scheint man hier aber andere Ansichten zu haben:

1

Dieses Verhalten schloss auch Sicherheitsaktualisierungen mit ein, wodurch ein mit Standardeinstellungen betriebenes System dauerhaft bekannte Sicherheitslücken aufwies.[112][113] Dies führte im November 2013, ausgelöst durch kritische Beiträge von Entwicklern der Mutterdistribution Ubuntu,[114][115] zu einer Kontroverse um die Sicherheit von Linux Mint.[116][117][118]

2

3

Linux Mint verteidigte dieses Verhalten mit der Begründung, dass die Abwägung von Stabilität und Sicherheit bei Linux Mint „ein zu konfigurierendes Merkmal“ sei und Linux Mint in den Standardeinstellungen den Fokus auf Stabilität statt Sicherheit legen wolle.

Quelle: https://de.wikipedia.org/wiki/Linux_Mint#mintUpdate

Wenn eine Distribution bestehende Sicherheitslücken nicht beheben will 
und das dann auch noch offiziell verteidigt, dann sollte man sich doch 
besser von so einer Distribution trennen. Das ist meine Meinung dazu.




> Allerdings wäre es unsinnig, dabei jetzt mit dem Finger auf das
> Debian-Projekt zu zeigen. So etwas kann jeden Softwarehersteller und
> -Distributor treffen, und so ist Debian da in guter Gesellschaft: 2018
> ist ein Angreifer ins Github-Repository von Gentoo eingebrochen, und in
> Pythons Repository PyPI gab es auch schon Vorfälle mit Paketen, die
> Tippfehler im Paketnamen ausgenutzt haben (typosquatting).

Wie schon gesagt, es kommt darauf an, wie die Distributionen damit 
umgehen.

Debian hat gezeigt, dass es gut damit umgeht.
Linux Mint hat gezeigt, dass es damit nicht gut umgeht.
Siehe oben, da steht es schwarz auf weiß in den Links.


> Insofern gilt für PPAs dasselbe wie für jede andere Softwarequelle:
> trau, schau, wem.

Ich würde sagen eher:
Wer, wie viele, schau und dann gegebenenfalls trau.

Bei PPA ist das wer meist ein Fragezeichen, wenn das irgendso ein 
dahergelaufener ist.
Bei viele ist es oft nur einer, dann gibt's kein Mehraugenprinzip und 
der kann alles einschleusen was er will.
Bei schau ist es immer von einem selber abhängig.

Und das trauen hängt dann vom Rest ab.

> Und das gilt für jede Quelle von Software:
> Quelltext-Archive, Binärpakete, selbstverständlich genauso auch
> Flatpacks, AppImages, Snaps und Docker-Images.

Quelltextarchive kann man einem Code Audit unterziehen.
Binärpakete nicht.

Manchmal wird das auch gemacht. Siehe TrueCrypt.
Und manchmal gibt's keine Code Audits, aber die Nutzer schauen trotzdem 
den Code an. Auch das kommt vor.
Und dann gibt's noch sogar bezahlte Bug Bounty Programme für Open Source 
Software. Die EU hat bspw. so etwas mal vor ca. 2 Jahren finanziert.

Bei Binärpaketen ohne Quellcode hat man diese Chancen alle nicht.
Da hilft bestenfalls nur ein Hashvergleich mit den Hashs auf Virustotal 
und dann vertrauen oder eben nicht vertrauen.

Flatpacks und Snaps und wenn ich mich nicht irre auch Docker Images 
laufen alle in ihrer eigenen Sandbox.
Die Sicherheitsgefahr ist hier also deutlich auf die Sandbox 
eingegrenzt.

AppImages wollte das mit dem Sandbox Verfahren wohl irgendwann mal 
umsetzen, kann es aber noch nicht.

Ich denke aber, der Zug ist für AppImages und die Snaps ohnehin 
abgefahren, denn die Zukunft gehört den Flatpacks, da diese von allen 
relevanten Distris unterstützt werden und darauf funktionieren und somit 
auch die größte Breitenwirkung haben.


> Bevor sich unsere Linux-Hasser jetzt die verkrümmten Fingerchen reiben:
> zur harten Realität gehört auch, daß die übliche Vorgehensweise unter
> Windows, sich für jedes Problem irgendwelche Software aus irgendeiner
> beliebigen Quelle zu installieren und sie nie wieder zu aktualisieren,
> ist natürlich wesentlich gefährlicher.

Ich bin Dualbooter. Ich aktualisiere meine 3rd Party Software unter 
Windows manuell immer regelmäßig.
Und ja, du hast natürlich recht, dass es gefährlich ist, wenn man diese 
nicht aktualisiert. Das gilt insbesondere dann, wenn es Software mit 
Netzwerkfunktionalität ist.
Noch schlimmer ist aber ein Repository, dass den Eindruck erweckt die 
Software regelmäßig upzudaten oder Sicherheitslücken zu beheben und es 
dann aber nicht tut.
Da wiegt sich der Nutzer nämlich in falscher Sicherheit.
Bei Software, die er manuell installiert, weiß er wenigstens, dass es 
nicht gut sein kann, dass er das letzte mal vor n Monaten nachgesehen 
hat, ob es für seine Software einen Patch gibt.


Natürlich wäre ein Repo in Form einer vertrauenswürdigen Distri mitsamt 
signierten Paketen, das einem mit Updates versorgt, die bessere Wahl.
Aber so etwas gibt es mit Key Signatur noch nicht.
Repos ohne Key Signaturen und daher unsicher, gibt es allerdings schon.

Siehe dazu bspw.:
https://en.wikipedia.org/wiki/Ninite
und
https://de.wikipedia.org/wiki/Chocolatey

Ninite ist allerdings für Firmenkunden kostenpflichtig.
Bei Chocolatey weiß ich es nicht.

Unter Windows gib's bei vielen Open Source Installationspaketen aber 
noch ein weiteres Problem.
Nämlich die verwendeten Bibliotheken in den Open Source 
Installationspaketen. Da passiert es dann, dass zwar die Anwendung für 
die das Installationspaket eigentlich da ist, super aktuell ist, aber 
die Entwickler die Bibliotheken nicht updaten.

Das habe ich jetzt schon bei mehreren Installationspaketen für Open 
Source Software unter Windows bemerkt.
Flatpack wird davon übrigens auch betroffen sein, denn es kommt letzten 
Endes auf die Paketersteller an, ob die ihre Arbeit richtig machen.



>>> Allerdings hat Debian aktuell nur deswegen den
>>> Vorteil eines aktuellen Pakets im aktuellen Release, weil dieses Release
>>> gerade einmal zwei Monate alt ist.
>>
>> Ich habe ihm nur gesagt, welche Version im aktuellen Debian enthalten
>> ist, mehr nicht. :p
>
> Ja, dieselbe Version wie im vorherigen und im aktuellen Ubuntu. ;-)

Falsch.
Im vorherigen Debian Stable Release war das 1.3.0 und im aktuellen 1.3.4




>
>>> höchstwahrscheinlich also veraltet
>>
>> Das ist nicht zwingend so.
>> Wenn das Protokoll, dass verwendet wird, um sich mit dem Server zu
>> verbinden, sich nicht ändert, wird man auch die alte Version weiterhin
>> einsetzen können.
>> Man muss dann halt auf die neuen Features verzichten, die eine neue
>> Version dann mit sich bringt.
>
> Für mich, der ich viel Software entwickle, ist das oft ein sehr
> wesentlicher Punkt. Letztlich muß ich dem Mainstream bei der Entwicklung
> ja immer einen kleinen Schritt voraus sein, damit meine Software nicht
> schon bei Veröffentlichung veraltet ist.

Das ist ein fehlerhafter Gedankengang.
Du machst hier nämlich einen großen Fehler, weil du damit vor allem den 
kleinsten gemeinsamen Nenner der unterstützen Systeme deutlich 
verschlechterst.

Würdest du gut abgehangene Libraries verwenden, dann würde die Software 
auf viel mehr Systemen laufen.

Bei kommerziellen Produkten kann das also bedeuten, dass du weniger 
Kunden erreichst, weil die bspw. noch eine alte Version ihres OS 
einsetzen, die du aber nicht unterstützt, weil du den Fehler machst 
deine Software auf die allerneuste Bibliothek aufzubauen.

Das war insbesondere früher bei Windows immer relevant, als die Nutzer 
unterschiedliche Windowsversionen eingesetzt haben.

Wer heute bspw. nur für Windows 10 entwickelt, der verpasst die Nutzer 
von Windows 8.1

Windows 8.1 wird nämlich bis 10.1.2023 noch supported.
Bis dahin wird dies also noch einen Markt mit Kunden darstellen.



>
>>> während das dann aktuelle Ubuntu 22.10 selbstverständlich die dann
>>> aktuelle Version enthalten wird.
>>
>> Und was bringt das?
>> Es reicht wenn 3 Tage nach Release von Ubuntu 22.10 eine
>> Sicherheitslücke in dieser Anwendung bekannt wird.
>
> Ja, sag' ich doch: es kommt jeweils auf den Zeitpunkt der
> Veröffentlichung an.

Nein, relevant ist, wie Distris zwischen den Releasezeitpunkten mit dem 
Support ihrer bestehenden aktuellen LTS/stable Version umgehen.


>
>> Dann wird dieses supernagelneue Ubuntu mit hoher Wahrscheinlichkeit kein
>> Sicherheitsupdate für diese Anwendung bekommen, Debian allerdings schon.
>
> Das Ubuntu bekommt das Sicherheitsupdate doch nur ein bisschen später,
> nämlich wenn das neue supernagelneue Ubuntu herauskommt. So ist das
> Leben, irgendeinen Tod muß man sterben: entweder aktuelle Software mit
> etwas höheren Risiken für Sicherheit und Stabilität (das betrifft
> übrigens auch die Distributionen mit Rolling Releases), oder eben
> tendenziell etwas ältere und besser abgehangene Software, die allerdings
> ebenfalls nicht vor Sicherheitsproblemen gefeit ist.

Du hast immer noch nicht verstanden, dass eine gute Sicherheitspolitik 
bedeutet, dass man Sicherheitslücken bei einer bestehenden Distriversion 
behebt. Oder?

Das ist kein Windows. wo man Sicherheitslücken dadurch behebt, in dem 
man einfach von der 3rd Party Software, die neuste Version installiert.

> Denn wir wollen ja
> nun nicht vergessen, daß auch das Debian-Projekt jahrelang anfällige
> Versionen von Mumble verteilt hat, als das Sicherheitsproblem noch nicht
> bekannt war.

Das ist Blödsinn. Weil das keine Frage ist, wie man mit bekannt 
gewordenen Sicherheitslücken umgeht.
Das es unbekannte Sicherheitslücken geben kann, ist leider ganz normal 
und lässt sich somit auch nicht verhindern.

> Und wir wollen bitte auch nicht vergessen, daß die
> fehlerhafte Version von Debian 10 WEGEN der Release-Policy des
> Debian-Projekts noch ausgeliefert wurde, als Ubuntu schon safe war --

Ubuntu LTS war nicht safe und ist es auch heute nicht.

> nämlich in der zum Glück hier nur kurzen Zeit, als Ubuntu 21.04 bereits
> die neue, fehlerbereinigte Version ausgeliefert hat, während die
> Debian-Paketmaintainer noch am Backport des Securitypatches gearbeitet
> haben.

Ubuntu 21.04 ist keine LTS, sondern eine Testversion.

Nur_ein_Typ schrieb:
>> Canonical stellt nur die Infrastruktur für die PPAs bereit, aber
>> Canonical prüft nicht, was in den PPAs drin ist.
>
> Nunja, die Software muß immer noch mit einem GPG-Schlüssel signiert
> sein.

Dieser GPG Schlüssel ist aber vom PPA Betreiber, er ist nicht von 
Canonical.

>> Wenn es jemand also anlegt, kann er sich einen Account anlegen.
>
> Ja, mit seinem GPG-Schlüssel...

Denn er dann mit anlegt. Ist ja jetzt kein Problem

>
>> Dann eine Anwendung als PPA anbieten.
>> Genug Nutzer sammeln, die seine Anwendung regelmäßig nutzen.
>> Und dann, wenn er genug zusammen hat und seine Reputation gut genug ist,
>> dann baut er die Schadsoftware ein.
>> Die Nutzer haben die Anwendung im Abo, vertrauen ihm und installieren
>> das, in der Regel dann automatisch.
>
> Das stimmt natürlich, aber es hat ÜBRHAUPT GAR NICHTS mit PPAs zu tun.
> Denn das gilt genauso für die Entwickler und Projekte, die
> Paketmaintainer, die Distributoren... für alle, die an einem Prozeß
> beteiligt sind, an dessen Ende eine Software zum Download bereitgestellt
> wird.

PPA = Personal Package Archives

Allein der Name sagt es schon.
Im Worst Case Fall bedeutet das also: 1 Person die auf den Code schaut, 
mit dem sie die Pakete erstellt. Und genau die gleiche Person, die 
potentiell Schadware einbaut.

Und das ist eben bei den Repertoires der Distributionen NICHT so.
Da gibt's nen DIFF Patch aus Upstream und n Leute gucken drauf und der 
Maintainer segnet es dann mit seinem GPG Key ab, wenn der Code in 
Ordnung ist.

Bei den Open Source Projekten selber hat man nen Ruf zu verlieren und 
eigentlich will man ja sein Projekt gut machen.
Und dann gibt's da oft noch mehrere Entwickler, die den Code der anderen 
ansehen und lesen.

Vor Honeypot 1 Mann Projekten oder Honeypot n Mann Projekten bezahlter 
Geheimdienste bist du so natürlich nicht geschützt, da brauchst du dann 
einen unabhängigen Code Audit oder du machst ihn selbst.
Das ist klar.
Irgendwo hat das ganze natürlich auch seine Grenzen.

Aber ein Paket aus einer Distri ist tausendmal besser als ein Paket aus 
einem 1 Mann PPA.


>> Und schon hat er ein Botnetz oder ne Kryptofarm oder sonstwas.
>>
>> Und dann dauert's wieder, je nach Qualifikation der Nutzer einige Zeit,
>> bist das jemand entdeckt.
>> Und erst dann, wenn es jemand entdeckt und der schlau genug ist, das an
>> Canonical zu melden, wird Canonical dieses PPA schließen und den
>> Account, der das PPA angeboten hat, sperren.
>
> Ja, so ist das bei einem Community-Projekt wie Linux: die Entwicklung
> und auch die Security hängen an der Community.

Ob man 1 Mann PPAs als Community bezeichnen kann würde ich bezweifeln.

>
>> Das ist möglich.
>> Es gibt keinen aktiven Code Audit.
>> Niemand durchsucht den Quellcode aktiv.
>
> Debian macht einen aktiven Code-Audit jedes neuen Paketes und jeder
> neuen Version und durchsucht dessen Quellcode aktiv? Ich weiß, daß es da
> ein Projekt gibt, aber dieses Projekt schreibt selbst, daß es "wegen der
> ungeheuren Größe der aktuellen Debian-Veröffentlichung [...] für ein
> kleines Team nicht machbar [ist], alle Pakete einem Audit zu
> unterziehen". Das interpretiere ich nicht so, als daß jedes Paket in
> jeder neuen Version auditiert wird.

Die Diffs werden auditiert.
Und die Diffs sind kleine überschaubare Patches von meist wenigen 
Codezeilen.

Lediglich bei Großprojekten, wie einem Browser oder dem Kernel verlässt 
man sich dann auf die Vielzahl der Entwickler dieses Großprojekts.


>
>> Letzten Endes geht es dir mit deiner Behauptung aber nur darum, einen
>> negativen Frame über Debian zu platzieren, weil du glaubst, dass ich
>> hier einen Distriflameware betreiben würde und ich dein geliebtes Ubuntu
>> oder Mint hassen würde.
>
> Da es Dir mit Deinen Warnungen -- die sich interessanterweise immer nur
> gegen Ubuntu richten und niemals erwähnen, daß jeder andere Weg der
> Softwaredistribution ähnliche prinzipielle Schwierigkeiten aufweist

Nein, siehe oben.
Deine Schlussfolgerunen sind einfach falsch.
Du setzt ein 1 Mann PPA mit einem Paket aus einer Distri gleich, was 
daran liegt, weil du offenbar nicht den Unterschied kennst.


> Das Ende vom Lied ist dann in jeder Hinsicht kontraproduktiv. Einige
> unbedarfte Benutzer mit Interesse an Linux werden verunsichert,
> abgeschreckt, und bleiben einfach bei Windows.

So ist das halt mit Transparenz.
Wenn ich dir die Wahrheit sage, dass die Gummibärchen von XY aus 
Schweineschwarte hergestellt werden und du dann die nicht isst, weil du 
Veganer bist, dann ist das halt so. Aber du hattest wenigstens die 
Transparenz und konntest frei entscheiden ob das etwas für dich ist.

Das ist allemal besser, als wenn man dir sagt, hier hast du gesunde 
Gummibären und man dir das mit der Schweineschwarte verheimlicht.

> Andere nehmen Deine
> plakativen und dramatischen Aussagen für bare Münze und gehen auf eine
> andere Linux-Distribution, etwa Fedora oder SuSE.

Meine Aussage ist nicht dramatisch, sie ist objektiv und sachlich.
Und wenn die Leute daraus lernen, dann ist es doch gut.

Und wenn sie dann zu Fedora oder SuSE gehen, dann ist das doch okay. 
Hauptsache sie verwenden keine unsichere Software mit Sicherheitslücken 
und wiegen sich in falscher Sicherheit, wie es mit der Mint Distribution 
oder Ubuntu dann der Fall gewesen wäre.

> Und dann gibt es
> sicher auch jene, die aufgrund Deiner Empfehlung tatsächlich zu einem
> Debian greifen,

Na umso besser.

> allerdings kurz- oder mittelfristig daran scheitern,

Reine Behauptung.
Wieviele Nutzer, die die non-free Debian Version genommen und 
installiert haben kennst du denn, die dann mit Debian nicht klar kamen, 
obwohl sie Bereitschaft zeigten, sich in Linux einzuarbeiten?


> weil Debian eben immer noch eine Distribution ist, die sich an erfahrene
> Anwender richtet und deswegen die vielen kleinen Helferlein nicht dabei
> hat, mit denen Ubuntu gerade Einsteigern den Einstieg ein bisschen
> einfacher und schmerzloser gestalten.

Dein Software Installer reißt hier nichts raus.

Der Rest ist im großen und ganzen kein Unterschied mehr.
Mit den non-free Installationsmedien hat man das größte Hindernis 
bereits überwunden, nämlich dass die propritäre Firmware oder Treiber 
fehlen und das System dann nicht funktioniert.

Und wenn man das überwunden hat, funktioniert Debian wie eine 1.

Nano schrieb:
> Wie schon gesagt, es kommt darauf an, wie die die Mumbleclients
> miteinander verbunden werden.

Die deutschsprachige Wikipedia behauptet, daß Mumble ein "klassisches 
Client-Server-Protokoll" benutzt. Dann wäre also nix mit NAT Traversal, 
die Clients reden nur mit ihrem Server und nicht direkt untereinander. 
Allerdings scheint Mumble intern eine Implementierung von ZeroC ICE zu 
benutzen, das meines Wissens NAT Traversal kann.

>> Wenn ich den Blogeintrag von Positive Security zu dem von Dir erwähnten
>> Fehler so überfliegt, dann scheint diese Sicherheitslücke nur dann
>> ausgenutzt werden zu können, sofern der Benutzer seinen Client mit einem
>> böswilligen Server verbindet und dieser Server dann einen böswilligen
>> Link an den Client ausliefert, den der Nutzer dann außerdem noch aktiv
>> anklicken muß.
>
> Ja, jede Sicherheitslücke kann anders ausgestaltet sein, da kommt es
> dann auf die Details an.

Genau darauf wollte ich hinaus, denn das ist selbstverständlich 
essentiell für jede seriöse Risikoanalyse und -Bewertung. Wenn ich die 
mir vorliegenden Informationen betrachte, ist diese "Sicherheitslücke" 
nur dann relevant, wenn:

a) der Benutzer sich mit einem böswilligen Murmur-Server verbindet,
b) der Murmur-Server dem Client einen böswilligen Link zusendet,
c) der Benutzer des Clients diesen Link auch anklickt.

In dem Blogeintrag von Positive Security (den ich allerdings mangels 
Interesse lediglich überflogen habe) steht IIRC dann auch, daß der 
Benutzer des Clients den böswilligen Link sogar zweimal anklicken muß. 
Nunja, wenn diese meine Einschätzung zutrifft, ist diese 
Sicherheitslücke sicherlich nicht schön, aber jetzt auch kein 
Weltuntergang. Das darf aber natürlich jeder gerne sehen, wie er mag.

>> Wie gesagt: wie sollte das gehen, wenn da ein SNAT dazwischen ist? Dann
>> können die Clients gar nicht direkt miteinander kommunizieren.
>
> Bei Peer2Peer Software muss die FW entsprechend eingerichtet sein um die
> Kommunikation durchzulassen, was man als Nutzer dann auch tut, um die
> P2P Software nutzen zu können.

Also dann bohrt mein Anwender gezielt und bewußt ein Loch in seinen 
Paketfilter und beschwert sich dann, daß da Monster 'reinkommen?

>> Natürlich, keine Frage. Aber genau das geschieht ja, sowohl bei Debian,
>> als auch bei Ubuntu
>
> Nein, gerade das passiert bei Ubuntu für die entsprechenden Repos ja
> nicht.

Doch. Mit dem nächsten stable Release kommt die aktuelle Software, und 
da sind bekannte Fehler (hoffentlich) behoben.

>> -- mal ist Debian schneller, mal Ubuntu, denn...
>
> Debian patched seine Pakete in stable immer, sofern ein aktiver
> Maintainer dafür da ist und das patchen möglich ist.

Äh... entschuldige bitte, aber... "immer"? Nein, sondern nur, 
"sofern"... Wenn kein "sofern", dann kein "immer".

> Ist kein aktiver Maintainer da, wird das entsprechend transparent
> kommuniziert, so dass man sich als Nutzer darauf einstellen und bspw.
> auf eine andere Software ausweichen kann.

Transparent kommuniziert? Also genau so, wie Ubuntu seine Policies 
kommuniziert?

> Es gibt also zwischen Ubuntu und Debian einen erheblichen Unterschied
> bezüglich der Sicherheitpolitik und Sicherheit der Pakete.

Ja, das stimmt, und beide Projekte kommunizieren ihre jeweiligen 
Strategien ganz offen und öffentlich und transparent.

> Ubuntu 21.04 ist kein LTS Release.

Es ist das stabile Release, Punkt.

> Ubuntu 21.04 ersetzt also nicht Ubuntu 20.04 LTS.

Ja, und die LTS-Nutzer wissen natürlich, daß "universe" und "multiverse" 
von der Community und nicht von Canonical gewartet werden -- und daß das 
mal besser, mal weniger gut funktioniert.

> Die Nicht LTS Versionen von Ubuntu kannst du problemlos mit Debian
> Testing vergleichen.

Das behauptest Du immer wieder gerne, aber es ist nicht so. Ubuntu LTS 
ist vielmehr mit Debian oldstable vergleichbar.

> Das ist nicht korrekt. Lies die Changelog von Debian 10.
> Dieses Paket wurde zeitnah am 30. April 2021 gefixt.

Die Kommunikation der Debian-Mailingliste liest sich anders.

> Und ein paar wenige Minuten oder Stunden davor wird der Zeitpunkt
> gewesen sein, wo diese Sicherheitslücke überhaupt bekannt wurde.

Das CVE wurde zuerst am 16.2.2021 veröffentlicht.

> Die nicht LTS Versionen von Ubuntu sind mit Debian Testing vergleichbar.

Wie gesagt, das behauptest Du immer wieder. Ich habe zwar einen 
Verdacht, warum Du das tust, aber ich möchte Dir nichts unterstellen. 
Trotzdem ist das in der Sache schlicht und ergreifend: falsch. Was Du 
nicht verstehen möchtest oder kannst, ist: die beiden Projekte haben 
unterschiedliche Ziele und deswegen auch unterschiedliche Policies und 
Strategien. Diese werden von beiden Projekten klar kommuniziert, und 
jeder Anwender kann sich darauf einstellen.

> Es sind Testwiesen, keine stabilen Distributionen für den
> Alltagseinsatz.

Lustig, ich benutze zwei Installationen von Ubuntu stable. Im 
Alltagseinsatz.

> Dafür sind die LTS Versionen da

Nein, die Ubuntu LTS-Versionen ursprünglich für Unternehmen gedacht.

> Nur die LTS Versionen kann man mit Debian stable vergleichen.

Das kannst Du so oft behaupten, wie Du magst, aber es wird dadurch 
leider nicht richtiger. Ubuntu LTS ist unter Debian mit der oldstable 
vergleichbar, Debian stable ist mit Ubuntu stable vergleichbar.

> Und wenn eine Sicherheitslücke im Herbst eines ungeraden Jahres
> stattfinden würde, dann wäre nach deiner Logik Debian schneller, aber so
> rechnet man nicht. Diese Art zu rechnen ist falsch.

Ja, deswegen habe ich ja auch nicht so gerechnet, sondern diese 
Rechenweise in meinem Beitrag selbst als unseriös bezeichnet.

> Die richtige Art zu zählen geht so:

Ich werde sicherlich nicht anfangen, mit Dir über "Die Richtige Art Zu 
Zählen" (TM) zu diskutieren.

> Debian hat, wenn wir mal annehmen, ich habe jetzt nicht nachgeguckt,
> dass der Bug am 30 April 2021 um 10:00 Uhr bekannnt wurde, also
> innerhalb von 12 h und 23 min und 25 s gehandelt.

Das CVE zum Problem wurde am 16.2.2021 veröffentlicht.

> Allein das ist relevant.

Das ist allein FÜR DICH relevant. Kleiner Unterschied.

> Und übrigens, was deine Ubuntu 21.04 Nicht-LTS, also Ubuntu Testing
> version, betrifft.

Es gibt kein "Ubuntu Testing". Das, was Du meinst, ist Ubuntu stable. Ob 
es Dir nun paßt oder nicht, das ist so und das bleibt so.

Nano schrieb:
> Nano schrieb:
>> Falsch. Die Wesentliche Frage ist der Zeitpunkt, wann eine
>> Sicherheitslücke zwischen den Releasezeiten der Stable/LTS Releases
>> von den Distributionen für den bestehenden letzten LTS/stable Release
>> gemacht wird.
>
> Sry, ich meine natürlich gepatched wird.

Danke für die Korrektur, aber das hatte ich dann so gerade noch 
verstanden. ;-)

So, ich bin hier erstmal 'raus, hab' einen schönen Abend.

Nur_ein_Typ schrieb:
>>> Letztlich stellst du damit ja das ganze Prinzip der freien Software in
>>> Frage.
>>
>> Nö, in keiner Weise.
>
> Du stellst immerhin alle ALLE(!) Distributionsmechanismen für Software
> in Frage, nicht nur, aber auch die von freier Software.

Nein.
Du machst hier den Fehler dass du PPAs für Distributionsmechanismen 
hältst.
Und das ist halt falsch.
Ebenso ist ein Binärpaket kein Quellcode.
Und auch zum Rest habe ich dir dazu schon sehr viel gesagt, was 
Distributionsmechanismen ausmachen, aber du verstehst es nicht.


>>> Wer sagt dir den das nicht auch im Debian Team schon Schläfer
>>> eingeschleust sind  die nur auf den Befehl aus .. warten ;-)
>>
>> Ich habe doch oben geschrieben, dass es dort ein Mehraugenprinzip gibt.
>> Zumal du absolute Sicherheit nie haben kannst, aber nur einer Person,
>> einem privaten PPA, vertrauen zu wollen ist recht naiv.
>
> Wie gesagt, die meisten PPAs und insbesondere die auf Launchpad werden
> offiziell von den jeweiligen Softwareprojekten betrieben und gepflegt.

Nein, siehe oben.


> Aber sogar das ist an sich egal, denn wenn Du Dir aus irgendeiner
> Nicht-Debian-Quelle egal was herunterlädtst und installierst, gilt
> bezüglich der sicherheitstheoretischen Betrachtungen genau dasselbe wie
> für PPAs.

Nein, siehe oben.

> Ich kenne sogar Projekte und Individuen, die eigene Repositories für
> Debian-Pakete anbieten, und für die gilt in natürlich jeder Hinsicht,
> theoretisch und praktisch, genau dasselbe wie für PPAs,

Bezogen auf die Individuen, ia, in dem Fall ja, wenn es Individuen sind.

Für die Projekte gilt das aber schon wieder nicht mehr, da das oft 
Mehrmannprojekte sind und die Projekte einen Ruf zu verlieren haben.
Das ist nicht der beliebige Schattenmann, der ne Software von nem Open 
Source Projekt nimmt, seinen Malware reinbaut und dann als PPA anbietet.

>  denn im Kern ist
> ein PPA ja nichts anderes als ein ganz stinknormales Debian-Repository.

Siehe oben.

> Aber darüber sagst Du niemals etwas, obwohl die potentiellen Gefahren
> ganz genau dieselben sind,

Nein, sind sie nicht. Siehe oben.

> Du rekurrierst aber immer nur und ganz
> ausschließlich auf die PPAs.

Nein, siehe oben.

>
>>> aber ich denke ich bin nicht der Einzige der ein größeres
>>> Risiko 20 cm, vor dem Monitor sieht.
>>
>> Das Risiko  20 cm vor dem Monitor nutzt genau diese PPAs.
>
> Oder irgendwelche obskuren Quellcodes aus dubiosen Quellen, oder
> inoffizielle Debian-Repositories, oder inoffizielle Debian-Pakete,

Streich das Debian weg, dann sage ich ja, macht er.

> oder
> Docker-Images,

Das ist dank Sandbox schon besser.
Da hätte das Problem vor dem Monitor also schon dazu gelernt.


> Während bei den PPAs, die Du so verteufelst,
> meines Wissens also noch nie etwas passiert ist,

Das weißt du nicht.
Canonical profitiert von den PPA.
Würdest du also nur Canonical ein Problem mit einem PPA melden, dann 
besteht die Möglichkeit, dass sie das nicht an die große Glocke hängen 
und es einfach löschen und den Benutzer sperren.
Oder noch besser, den Benutzer sperren, aber das PPA da lassen und das 
angebotene Binary gegen was sauberes austauschen, so dass die Nutzer 
wenigstens geschützt werden. Später kann es dann eingestellt werden.

Und inzwischen hat Canonical das Problem ja selbst erkannt und schwenkt 
deswegen auf Snaps um.
Die Snap Pakete laufen nämlich in einer Sandbox und kriegen keine root 
Rechte.

Ansonsten kannst du ja mal in deren Bugreport Webseite nachlesen, ob 
schonmal ein böses PPA gemeldet wurde:

https://answers.launchpad.net/launchpad

> gab es schon mehrere
> Fälle, in denen böswillige Software über andere Wege verteilt worden
> ist. Aber über diese anderen Wege redest Du nie.

Weil für über PPAs reden.

>
>> Versteh erst einmal die Grundprinzipien von Computersicherheit.
>> Ich glaube nämlich nicht, dass du das verstanden hast.
>
> Wenn Du erst dies schreibst und danach:
>
>> Z.B. könntest du den Quellcode aus den Debian Sid Paketen nehmen. Nur
>> mal so als Tipp.
>
> ... dann wäre das fast schon lustig, wenn es nicht so traurig wäre.
> Soso, ein womöglich unbedarfter Anwender soll den Quellcode aus Debian
> Sid nehmen und sein Softwarepaket manuell übersetzen und installieren.

Was du nicht begriffen hast.
Die diffs, die nach Debien sid kommen, die werden überprüft.
Da kommt nicht einfach irgendwas rein.

Deswegen ist der Code dort besser als der Quellcode von irgendeinem 
dubiosen PPA oder irgend einem dubiosen Link.


> Klar, das kann man machen, gibt damit aber einen der wesentlichen
> Sicherheitsvorteiles des Paketmanagements auf und halst sich ein Paket
> auf, das er manuell pflegen muß... Wer so etwas empfiehlt, hat von
> Computersicherheit leider auch nicht viel verstanden.

Du bist unredlich.
Denn du hast ja davon gesprochen, dass du Quellcode nehmen willst.
Guck dir den Kontext doch mal an, warum ihr die gesagt habe, dass du 
besser den Quellcode aus Debian Sid nehmen solltest.