Login
Newsletter
Werbung

Thema: Amarok will drohendes Malware-Problem lösen

49 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von joerg am Di, 15. Dezember 2009 um 19:42 #
So muss sich ein Neuling der sich etwas selbst schreibt und es weil es so gut funktioniert vielen anderen zur Verfügung stellen will auch noch mit Versionsverwaltungssystemen herumschlagen.
  • 0
    Von kamome am Di, 15. Dezember 2009 um 19:57 #
    Die momentane Situation stellt ein Problem dar, die von viel zu vielen viel zu lange ignoriert worden ist - hier ist ein Lösungsvorschlag (und kein schlechter wie ich finde; eigentlich sollte man nur mit beglaubigten Zertifikaten signierte Beiträge akzeptieren (dann könnte ich Deinen Einwand jedoch etwas verstehen)).
    Was wäre denn Deiner Meinung nach eine bessere Lösung des Problems?
    Wer eine Erweiterung für ein Stück Software schreibt, wird es ja wohl gerade noch schaffen, sich mit einem Versionsverwaltungswerkzeug "auseinanderzusetzen", schließlich gibt es auch Webschnittstellen (Du musst ja keinen eigenen Server aufsetzen).
    • 0
      Von joerg am Mi, 16. Dezember 2009 um 10:21 #
      Eine bessere Lösung habe ich auch nicht parat, das Problem ist existent und es sollte gelöst werden, keine Frage
      0
      Von nico am Mi, 16. Dezember 2009 um 11:32 #
      auch eine versionsverwaltung hilft da nichts und wer soll den berg arbeit übernehmen die vielen hobbyskripte zu sichten?

      das problem hat man doch auch bei jeder distribution, sobald man etwas ausserhalb der offiziellen quellen braucht muss man in den sauren apfel beissen und fremde repos einbinden. sicher kann man auch verzichten, nur ist das nicht immer möglich.

      das leben ist eben voller risiken, typischer ruf aus der vollkasko gesellschaft.

      • 0
        Von Aron Homberg am Sa, 19. Dezember 2009 um 15:08 #
        Wie wär es mit heuristischen Erkennungsmustern für verschiedene Sprachen. Beim commit wird ein post-commit Hook aufgerufen welcher für die gegebene Sprache den Quellcode nach typisch kritischen funktions/methodenaufrufen scannt. Z.b "shell_exec". Nun wird auf Basis der heuristischen Treffer eine Gefahrengewichtung errechnet. Übersteigt die Gewichtung einen Grenzwert, wird der Maintainer per E-Mail bzw die Reviewer des Projekts informiert. Der commit wird zurückgehalten, bis ein Reviewer zustimmt. Der Autor wird darüber ebenfalls informiert.

        LG,
        Aron

    0
    Von Arnomane am Di, 15. Dezember 2009 um 20:01 #
    Wer ein nützliches Script, Plugin, Programm oder Datensammlung verfasst wird auch direkt mit Dolphin oder Konqueror via SVN-Schnittstelle grafisch die Daten auf den zentralen Server ins SVN hochladen können (er müsste höchstens evtl. das KIO-Plugin für SVN installieren). Und wenn er es ganz dekadent möchte kann er das Ganze auch direkt vom Server in sagen wir mal Kate oder KDevelop editieren und einfach auf speichern klicken... KIO -seit KDE 2.0- sei dank. :-)

    Nix Kommandozeile, nix neues Tool lernen. :-)

    Diese doch sehr kleine Hürde ist auch vollkommen beabsichtigt, siehe Kretschmanns Punkt zu "Crapware".

    • 0
      Von Bernd 2010 am Di, 15. Dezember 2009 um 21:09 #
      Sehe ich auch so. Der geringe zusätzliche Aufwand bringt meiner Meinung nach wesentlich mehr Vorteile als Nachteile mit sich. Das signieren könnte man ja als letzte Stufe noch oben draufsetzen. Das geht mir Secure Get Hot New Stuff sogar ganz transparent ohne viel Aufwand.
    0
    Von tty am Di, 15. Dezember 2009 um 20:06 #
    Es geht nicht anders.
    Ansonsten dauert es nicht lange und Linux hat im Hinblick auf "Malware" einen genauso schlechten Ruf weg wie Windows.
    • 0
      Von vicbrother am Mi, 16. Dezember 2009 um 15:08 #
      Man könnte auch einen Incoming-Bereich aufmachen wo ungeprüfte Dateien landen die dann bes. gekennzeichnet werden bis einige Benutzer diese reviewt haben. Das würde die Versionsverwaltungsproblematik entspannen.
    0
    Von Micha am Di, 15. Dezember 2009 um 21:02 #
    Schon mal mit ein Versionsverwaltungssystem gearbeitet? Der Mehraufwand ist in weniger als einer Stunde gegessen, und spart danach unter Umständen das x-fache an Zeit.
    • 0
      Von Hans W. urst am Di, 15. Dezember 2009 um 21:37 #
      Das hängt vom verwendeten VCS ab, und git gehört nicht zu den einfachen.
      • 0
        Von Arnomane am Di, 15. Dezember 2009 um 23:11 #
        Deswegen schlägt Kretschmann ja auch explizit SVN und nicht irgendeine neue Mode vor. Zumal man nur EINEN zentralen Sammelpunkt braucht.
        • 0
          Von Hans W. urst am Mi, 16. Dezember 2009 um 14:23 #
          Ja - aber das steht nur auf der verlinkten Seite, die ich zugegebener maßen erst nach meinem Post gelesen habe. Da Amarok selbst aber auf git aufsetzt liegt der Verdacht schon nahe, oder?

          Aber meine Aussage war auch eher generell gemünzt. Git hab ich nur genannt, da amarok das eben verwendet (und ich es auch ein klein wenig kenne).

        0
        Von Erik am Mi, 16. Dezember 2009 um 02:14 #
        Mal qgit probiert? Und ansonsten stellt sich mir die Frage, was an "git checkout", "git commit", "git add" usw. anders sein soll als bei seinen Subversion-Pendants. Nur weil git mehr kann muss das nicht heissen, dass man damit zwingend auch komplexere Dinge tun muss.


        lg
        Erik

        • 0
          Von Tom am Mi, 16. Dezember 2009 um 09:37 #
          Das Problem ist, dass Git eine andere Philosophie verfolgt als SVN. Die Kommandos sind nur scheinbar ähnlich.
          • 0
            Von Erik am Mi, 16. Dezember 2009 um 10:29 #
            Sie machen exakt das Gleiche. Nochmal: Du kannst Git auf das herunterbrechen, was SVN kann. Dann ist es genauso einfach zu bedienen wie SVN.


            lg
            Erik

            • 0
              Von Mac am Mi, 16. Dezember 2009 um 12:21 #
              Du hast keine Ahnung oder schimmer noch: erzählst absichtlich Schrott.
              • 0
                Von vicbrother am Mi, 16. Dezember 2009 um 12:53 #
                0
                Von Erik am Mi, 16. Dezember 2009 um 14:00 #
                Ich glaube eher, dass Du keine Ahnung hast, bzw. nicht in der Lage bist, Aussagen nachzuvollziehen. Aber schlüsseln wir es für Dich noch einmal auf:

                • "git checkout" und "svn checkout" checken jeweils einen Branch aus dem Repository aus
                • "git commit" und "svn commit" schieben lokale Änderungen in das Repository (mit dem Unterschied, dass man bei "git commit" ein explizites "-a" angeben muss, um den gesamten Working Tree zu berücksichtigen)
                • "git add" und "svn add" fügen lokale Files dem Index hinzu

                Das Git und Subversion andere Ansätze bei der Verteilung von Repositories verfolgen ist klar, spielt für die Aussage, die ich treffen wollte, dass die "täglichen Befehle" für einfache Arbeitsabläufe, die sich in der Regel auf wenig mehr Befehle als die oben genannten beschränken, identisch sind, keinerlei Rolle.


                lg
                Erik

          0
          Von Hans W. urst am Mi, 16. Dezember 2009 um 14:30 #
          Ja, habe ich. Meist um die Änderungen bei einem bestimmten Projekt zu verfolgen.

          Git ist fundamental anders als Subversion und die genannten Kommandos wirken auch auf eine komplett andere Weise. Wenn würde ich sagen, dass die Mercurial Kommandos noch am ehesten mit svn Kommandos gleichzusetzen sind.

          • 0
            Von Erik am Mi, 16. Dezember 2009 um 14:53 #
            > Git ist fundamental anders als Subversion
            Das bestreitet niemand.

            > die genannten Kommandos wirken auch auf eine komplett andere Weise
            Wenn Du mit git lediglich einen SVN-Workflow nachbilden willst, dann machen sie bei git genau das, was sie bei SVN machen würden. Das von einem "git commit" kein Changeset auf einem externen Repository landet bestreitet ebenfalls niemand. Es landet eben im der Working Copy zugeordneten Repository, konsequenterweise also dem lokalen Clone.


            lg
            Erik

    0
    Von vicbrother am Di, 15. Dezember 2009 um 21:44 #
    Nein, das ist falsch. Du kannst auch weiterhin auf deiner Seite Skripte etc zur Verfügung stellen, nur der Download über das GHNS soll halt geprüft sein. Wer deiner Webseite also vertraut kann nach wie vor dein Skript einsetzen.
    0
    Von haha am Di, 15. Dezember 2009 um 22:22 #
    ein Neuling .. keine Ahnung .. aber gute Software ... was hat doch gleich joerg geraucht?
    • 0
      Von joerg am Mi, 16. Dezember 2009 um 10:25 #
      Was hat gute Software (in Form von es stellt eine stabile Funktion bereit unabhängig davon wie der Code aussieht) mit keine Ahnung (vermutlich bezogen auf ein Versionsverwaltungssystem) zu tun.

      Unabhängig davon, rauchen dürfte für Dich offenbar noch gesetzlich verboten sein

      • 0
        Von frevler am Mi, 16. Dezember 2009 um 17:36 #
        Naja, jemand, der es schafft sich a) die Doku zu Amarok-Erweiterungen zu besorgen, b) eine Erweiterung zu schreiben, sich c) durch eine eventuell auftretende Abhängigkeitshölle zu kämpfen und dann d) das Teil noch fertig zu kompilieren, dem ist wohl auch zuzutrauen, dass er eine Versionsverwaltung elementar bedienen kann.
0
Von rudifaxe am Di, 15. Dezember 2009 um 19:59 #
Der fährt demnächst wohl auf deutschen und anderen Straßen. Das Fahrzeug soll unter die Gpl gestellt werden.... ;-)
0
Von Sebalin am Mi, 16. Dezember 2009 um 14:23 #
Jeder registrierte Benutzer kann auf solchen und ähnlichen Seiten Malware-Pakete hinterlegen - da seine Identität nicht weiter geprüft wird, muss er sich um Konsequenzen kaum Gedanken machen.

Und warum überprüft man dann nicht vorher die Identität des Benutzers? - Ich meine: Ein Forum z.B. ist die eine Sache aber so wichtige Zugangsrechte, wo man so viel Mist bauen kann, das ist schon etwas anderes.

Vor Jahren mußte ich mich sogar bei web.de noch mit meiner Ausweiskopie identifizieren, nur um ein Postfach zu erhalten. - Gut. das ist zwar wirklich nun schon ewig her und wird auch schon lange nicht mehr gemacht aber grundsätzlich war sowas doch eine sehr gute Idee.

Sebalin.

0
Von lala_chen am Mi, 16. Dezember 2009 um 14:23 #
Mit einem generischem Apparmor Profil für solche "Erweiterungs-Skripte" sollte die Sache doch eigentlich gegessen sein. Insofern gibt es für diese Art von Probleme schon lange ein Lösung. --Nur muss die Lösung auch angewendet werden.

Ein "UserApparmour" wäre sicher auch eine nette Idee.
- Ein Programm das der User in seinem Homeverzeichnis Startet hat doch sicher nicht "wild" im Homeverzeichnis rum zu löschen.
- ...

  • 0
    Von Flying Circus am Mi, 16. Dezember 2009 um 15:51 #
    Deine Lösung setzt bei den Symptomen an.
    Die vorgeschlagene bei der Ursache.

    Mal abgsehen davon, daß es auch durchaus eklig werden kann, wenn Schadsoftware in /home Amok läuft. Nicht jeder kennt das Konzept von "Backups", gar regelmäßigen solchen. ;-)

    • 0
      Von lala_chen am Do, 17. Dezember 2009 um 11:34 #
      >Deine Lösung setzt bei den Symptomen an.
      Die vorgeschlagene bei der Ursache.
      Mal abgsehen davon, daß es auch durchaus eklig werden kann, wenn Schadsoftware in /home Amok läuft. Nicht jeder kennt das Konzept von "Backups", gar regelmäßigen solchen.;-)


      Du hast die "vorgeschlagene" Lösung scheinbar nicht verstanden. Sie erschwert nur, unterbindet aber nicht, ist also keine "Lösung" sondern nur ein Teil der Lösung.

      PS: Dein vorschlag "Backups" setzt auch "nur" an dem Sysmptom an. :O

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung