Einerseits: klar hat die NSA SELinux entwickelt das wussten alle schon immer und SELinux ist Zeile für Zeile frei und offen und ging durch den Reviewprozess der Kernelentwicklung.
Daran gibt es gar nichts auszusetzen.
Andererseits: mit fdroid hast Du völlig Recht. Seit ich das entdeckt habe, hat sich mein Android ziemlich wesentlich verbesssert. Die Apps da sind nicht nur frei, sondern zuweilen auch excellent. Der And Player ist zum Beispiel der beste Musikplayer, den ich unter Android gesehen habe.
Kann mir jemand eine gute Anleitung nennen, wie man CM installiert (LG Optimus Speed)? Ich möchte das Original von LG aber bei bedarf wieder herstellen können.
Läuft unter CM auch Google Play?
Frage hier mal so doof herum, da ich mich damit nicht auskenne und mich da einarbeiten will.
Ich lese das Prolinux Forum schon wirklich lange, poste allerdings selten ;o) Nur auf diesen - sorry - Schwachsinn muss ich was antworten. Dass das hier besprochene Selinux bestandteil des Kernels ist, sollte allgemein bekannt sein. Das diese Selinux Module wie der Kernel auch, unter der GPL stehen, sollte auch bekannt sein. Somit der komplette Selinux Code komplett! einsehbar ist. Wenn du meinst, die NSA könnte Code, wie auch immer in den Linux Kernel schleusen, glaubst du entweder alle Kernel Maintainer sind blind oder dumm. Abgesehen davon, hat die NSA an Selinux mitgearbeitet, betreut wird dieser Code aber von einem RedHat Mitarbeiter. Aber bloss alles nachschreien (schreiben ;o) wo NSA drinn steht,... Aber ja - hast wahrscheinlich recht - du bist mit einem IPhone wahrscheinlich besser aufgehoben. IOS ist (soweit ich weiss) closed source, aber Apple käme sicher nie auf die Idee,....
So würde ich es dennoch nicht sehen. In vielen Projekten, die von sehr guten Maintainern gepflegt wurden, ob iptables oder unter anderem auch der Kernel selbst, gab es schwerwiegende Lücken, die über Jahre hinweg nicht als solche erkannt wurden. Weil es sich dabei eben nicht um Primitivlücken aus dem Lehrbuch handelt.
Ich möchte jetzt nicht unterstellen, dass diese böswillig eingeschleust waren. Wer schonmal selbst C programmiert hat, weiß dass manche Lücken gar nicht anders gefunden werden können außer durch dumme Zuffälle. Da können die Maintainer noch so elitär sein.
Bsp: Es gibt Algorithmen, die auf ein bestimmtes Pattern von Anfragen mit einem bestimmten Pattern antworten. Dieses Antwortpattern kann auch kryptografisch kompromittiert sein, d.h. heimliche Antworten an die Anfragenden zurückschicken, ohne dass es statistisch signifikant nachgewiesen werden kann.
Keine Daten sind sicher, auch nicht in freien OpenSource Programmen, dort wo man den Wald vor lauter Bäumen nicht sieht.
Der gesamte TCP-IP Stack ist vergiftet und voller backdoors
glaubst du wirklich so eine effiziente ehemals fuers Militaer entwickelte Technik wuerde der Welt zur Verfuegung gestellt werden, wenn die vom US-Militaer keine Moeglichkeit haetten ihn zu kontrollieren ?
Wie naiv muss man sein ?
1000000000 Zeilen an Quellcode geben mir keine Sicherheit
Ich möchte jetzt nicht unterstellen, dass diese böswillig eingeschleust waren. Wer schonmal selbst C programmiert hat, weiß dass manche Lücken gar nicht anders gefunden werden können außer durch dumme Zufälle. Da können die Maintainer noch so elitär sein.
Der Verein hat ein Jahresbudget von 10 Mrd Dollar, steht in der Wikipedia. Da werden sicherlich ein paar hunderttausend Dollar "drin" sein, um den Linux-Kernel oder weit verbreitete Userland-Software zu unterwandern.
Vielleicht nicht gerade SELinux, das wäre vielleicht zu auffällig, aber warum sollten sie sich das entgehen lassen, unter privaten Identitäten Commits zum Kernel oder anderer freien Software einzureichen, in denen schwer zu entdeckende, exploitbare Bugs stecken.
Habe zwar keine nennenswerte Ahnung von C, aber zumindest so viel, dass ich ahne, wie leicht man in C schwer zu entdeckende Fehler bauen kann.
Wer sogar Spezialunterseeboote betreibt, um unter Wasser Glasfaserkabel anzuzapfen, wird sich wohl kaum solch preiswerte "Gestaltungsmöglichkeiten" entgehen lassen.
Und selbst wenn ein paar von den Versuchen auffallen und der jeweilige Committer dann "verbrannt" ist - die NSA hat genug Leute.
Wenn du meinst, die NSA könnte Code, wie auch immer in den Linux Kernel schleusen, glaubst du entweder alle Kernel Maintainer sind blind oder dumm.
Du musst doch nix reinschleusen, aber wenn du so ein riesen Ding mit tausenden von Zeilen in den Kernel bringst und da gezielt Schwachstellen eingebaut hast, die nicht offensichtlich sind, wer will das dann bei ner Durchsicht erkennen. So ein Feature ist ja in der Regel neu und damit werden erstmal Entwickler, die das nicht entwickelt haben Probleme haben einige Dinge zu verstehen, die haben nicht das Ganze Hintergrundwissen. Man kann den Code lesen und auch verstehen, aber warum manche Dinge umgesetzt sind wie sie umgesetzt sind, muss man die Idee dahinter kennen.
Es ist ja immer so, dass ein Algorithmus in der Regel sicher ist, aber ein kleiner Fehler bei der Implementierung den Anlgo anfällig macht für bestimmte Attacken. Das gabs zu hauf in vielen Crypto Implementationen. Wenn du jetzt ein fähiges Team hinstellst und die überlegen lässt, wie du nen Algoritmus schwach implementierst, dann wird das nicht einfach so erkannt werden.
Da kann ich ja beruhigt schlafen. Von einem NS-A ... sorry ... N-SA-Mann entwickelt.
Kuemmert euch lieber um eine Alternative zum vermuellten Playstore oder helft bei f-droid mit. https://f-droid.org/
Viele Apps bringen Unsicherheit ins System ... konsequent auf OSS umzusteigen sollte ein Anfang sein
Sogar hier werden diese App-Junkies Deiner Argumentation schwerlich folgen können, so viel ist sicher.
Einerseits: klar hat die NSA SELinux entwickelt das wussten alle schon immer und SELinux ist Zeile für Zeile frei und offen und ging durch den Reviewprozess der Kernelentwicklung.
Daran gibt es gar nichts auszusetzen.
Andererseits: mit fdroid hast Du völlig Recht. Seit ich das entdeckt habe, hat sich mein Android ziemlich wesentlich verbesssert. Die Apps da sind nicht nur frei, sondern zuweilen auch excellent. Der And Player ist zum Beispiel der beste Musikplayer, den ich unter Android gesehen habe.
Kann mir jemand eine gute Anleitung nennen, wie man CM installiert (LG Optimus Speed)?
Ich möchte das Original von LG aber bei bedarf wieder herstellen können.
Läuft unter CM auch Google Play?
Frage hier mal so doof herum, da ich mich damit nicht auskenne und mich da einarbeiten will.
Hier sollten alle Deine Fragen bezüglich CM beantwortet werden.
http://www.android-hilfe.de/lg-p990-optimus-speed-forum/
LoLLLLLLLLLLLLLLLL ich kauf mir sofort ein IPhone von Apple, da hat die NSA keine Software drauf!
Ich lese das Prolinux Forum schon wirklich lange, poste allerdings selten ;o)
Nur auf diesen - sorry - Schwachsinn muss ich was antworten.
Dass das hier besprochene Selinux bestandteil des Kernels ist, sollte allgemein bekannt sein.
Das diese Selinux Module wie der Kernel auch, unter der GPL stehen, sollte auch bekannt sein.
Somit der komplette Selinux Code komplett! einsehbar ist.
Wenn du meinst, die NSA könnte Code, wie auch immer in den Linux Kernel schleusen, glaubst du entweder alle Kernel Maintainer sind blind oder dumm.
Abgesehen davon, hat die NSA an Selinux mitgearbeitet, betreut wird dieser Code aber von einem RedHat Mitarbeiter.
Aber bloss alles nachschreien (schreiben ;o) wo NSA drinn steht,...
Aber ja - hast wahrscheinlich recht - du bist mit einem IPhone wahrscheinlich besser aufgehoben.
IOS ist (soweit ich weiss) closed source, aber Apple käme sicher nie auf die Idee,....
Habe die Ehre
Johanson
So würde ich es dennoch nicht sehen. In vielen Projekten, die von sehr guten Maintainern gepflegt wurden, ob iptables oder unter anderem auch der Kernel selbst, gab es schwerwiegende Lücken, die über Jahre hinweg nicht als solche erkannt wurden. Weil es sich dabei eben nicht um Primitivlücken aus dem Lehrbuch handelt.
Ich möchte jetzt nicht unterstellen, dass diese böswillig eingeschleust waren. Wer schonmal selbst C programmiert hat, weiß dass manche Lücken gar nicht anders gefunden werden können außer durch dumme Zuffälle. Da können die Maintainer noch so elitär sein.
Bsp:
Es gibt Algorithmen, die auf ein bestimmtes Pattern von Anfragen mit einem bestimmten Pattern antworten. Dieses Antwortpattern kann auch kryptografisch kompromittiert sein, d.h. heimliche Antworten an die Anfragenden zurückschicken, ohne dass es statistisch signifikant nachgewiesen werden kann.
Keine Daten sind sicher, auch nicht in freien OpenSource Programmen, dort wo man den Wald vor lauter Bäumen nicht sieht.
Der gesamte TCP-IP Stack ist vergiftet und voller backdoors
glaubst du wirklich so eine effiziente ehemals fuers Militaer entwickelte Technik wuerde der Welt zur Verfuegung gestellt werden, wenn die vom US-Militaer keine Moeglichkeit haetten ihn zu kontrollieren ?
Wie naiv muss man sein ?
1000000000 Zeilen an Quellcode geben mir keine Sicherheit
Netzstecker raus und sicher ist die Kiste
Ich möchte jetzt nicht unterstellen, dass diese böswillig eingeschleust waren. Wer schonmal selbst C programmiert hat, weiß dass manche Lücken gar nicht anders gefunden werden können außer durch dumme Zufälle. Da können die Maintainer noch so elitär sein.
Der Verein hat ein Jahresbudget von 10 Mrd Dollar, steht in der Wikipedia. Da werden sicherlich ein paar hunderttausend Dollar "drin" sein, um den Linux-Kernel oder weit verbreitete Userland-Software zu unterwandern.
Vielleicht nicht gerade SELinux, das wäre vielleicht zu auffällig, aber warum sollten sie sich das entgehen lassen, unter privaten Identitäten Commits zum Kernel oder anderer freien Software einzureichen, in denen schwer zu entdeckende, exploitbare Bugs stecken.
Habe zwar keine nennenswerte Ahnung von C, aber zumindest so viel, dass ich ahne, wie leicht man in C schwer zu entdeckende Fehler bauen kann.
Wer sogar Spezialunterseeboote betreibt, um unter Wasser Glasfaserkabel anzuzapfen, wird sich wohl kaum solch preiswerte "Gestaltungsmöglichkeiten" entgehen lassen.
Und selbst wenn ein paar von den Versuchen auffallen und der jeweilige Committer dann "verbrannt" ist - die NSA hat genug Leute.
Wenn du meinst, die NSA könnte Code, wie auch immer in den Linux Kernel schleusen, glaubst du entweder alle Kernel Maintainer sind blind oder dumm.
Du musst doch nix reinschleusen, aber wenn du so ein riesen Ding mit tausenden von Zeilen in den Kernel bringst und da gezielt Schwachstellen eingebaut hast, die nicht offensichtlich sind, wer will das dann bei ner Durchsicht erkennen. So ein Feature ist ja in der Regel neu und damit werden erstmal Entwickler, die das nicht entwickelt haben Probleme haben einige Dinge zu verstehen, die haben nicht das Ganze Hintergrundwissen. Man kann den Code lesen und auch verstehen, aber warum manche Dinge umgesetzt sind wie sie umgesetzt sind, muss man die Idee dahinter kennen.
Es ist ja immer so, dass ein Algorithmus in der Regel sicher ist, aber ein kleiner Fehler bei der Implementierung den Anlgo anfällig macht für bestimmte Attacken. Das gabs zu hauf in vielen Crypto Implementationen. Wenn du jetzt ein fähiges Team hinstellst und die überlegen lässt, wie du nen Algoritmus schwach implementierst, dann wird das nicht einfach so erkannt werden.
Doch haben sie. Apple arbeitet mit der NSA zusammen. DU entkommst der NSA nicht!