Von DuuuuDoooooooh am Do, 18. November 2010 um 09:20 #
raus mit dem Zeugs... und über 3rd Party repos einbinden.
Wie es ja auch schon mit MP3, AdobeFlash und Pipapoooo geschieht !
Wieso ein Risiko eingehen für ein Tool, dass wohl nur 0.0001% aller User je mal benutzen ? Redhat ist im Amiland zuhause und dadurch auch Angreifbar durch Heerscharen von Anwälten. Dass sie da einwenig "vorsichtiger" sind, kann ich 100%ig verstehen.
Und wer wirklich "Security Audits" machen will, der ist auch im Stande sich das Zeugs entweder selber zusammenzukompilieren oder aber ein 3rd Party Repo einzubinden.
So what ? Raus mit dem bedenklichen Zeugs. Meinetwegen auch mit nmap und co.
Ich bau mir das Zeugs schon selber, wenn ich's denn brauche
Sehe ich nicht so. Es muss sehr genau untersucht und dann das Risiko abgewogen werden, ob durch das Hinzufügen bestimmter Programme eine Distribution rechtlich angreifbar wird.
Vorauseilender Gehorsam hat in einer Distribution nichts verloren, sonst fallen bald auch Tools wie nmap, wireshark oder ping diesem Bestreben zum Opfer.
FULL-ACK, danach wären dann grep, comm und eigentlich die bash auch betroffen, damit kann man sich ja auch Wortlisten bauen. Ach was sage ich, das Teufelszeug von Perl, Ruby etc auch gleich entsorgen, wenn ich so etwas brauche entwickel ich mir meine eigene Sprache, nur womit?
Man sollte hier jedoch den Unterschied von Prüf- zu Einbruchstools beachten.
SQLNinja scheint, nach Angabe auf der Homepage, nicht nur zu versuchen in Umgebungen mit MS SQL Server einzudringen, es verändert dann auch den Zielserver und sorgt für einen permanenten Zugriff. Ein Testtool wäre mit dem erfolgreichen Versuch zufrieden gewesen, den zum Sicherheitstest muss man das betroffene System nicht dauerhaft manipulieren, die reine Prüfung der Sicherheitslücken würde genügen.
Das ist schon richtig, nur die Webseite schreibt auch, dass es für Penetrationstests eingesetzt werden soll und auch der Artikel erwähnt die legale Einsatzmöglichkeit.
Diese Funktionen will ich der Software auch nicht absprechen, nur wenn sie nicht Missverstanden werden will, sollte sie auf weitergehende Funktionen verzichten. Die dauerhafte öffnung eines Backdoors ist keine Funktion, die ein Penetrationstest braucht. Und bei fremden Servern auch nicht legal.
Dein Argument bzgl. "Amiland" ist (soweit mir bekannt) hinfällig. Redhat will sich vor Klagen außerhalb der U.S.A absichern, bzw. baut der Ausschluss des Programms darauf auf. Andererseits muss ein amerikanisches Unternehmen Gesetze auch in Ländern einhalten, in welchen sie nicht ihren Sitz hat, jedoch dort zum Beispiel ihre Produkte vermarktet (Beispiel Microsoft und ihr IE).
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 18. Nov 2010 um 11:10.
Die Vorgabe kam von der Red Hat-Rechtsabteilung und Fedora ist brav gefolgt. Viel nachgedacht wurde darüber im vorhinein nicht.
Die Befürchtungen drehten sich darum, dass Fedora jetzt anfangen würde, "Sicherheitssoftware" aus der Distribution herauszuwerfen, also z.B. auch nmap oder netcat.
Wie dem auch sei: Mit seiner umfassenden Multimediakastration ist Fedora für die meisten Linuxnutzer kaum verwendbar, zumal die entsprechenden Repos bei Fedora nicht mit wenigen Mausklicks (so wie bei OpenSuse) bequem per GUI ohne jede Tipparbeit eingebunden werden können.
Etwa Gnash zur Nutzung zu empfehlen, ohne die benötigten GStreamer-Codecs wie gstreamer-plugins-ffmpeg mitzuliefern, ist komplett sinnlos. Es ist so sinnlos, dass man auf die Auslieferung von Gnash verzichten sollte, um nicht die Reputation des Gnash-Projektes zu beschädigen. Ähnlich verhält es sich mit Xine.
OpenSuse integriert sogar ein Repo (über seine Community-Repositories-Funktion in Yast), mit dessen Hilfe man sich verschlüsselte Film-DVDs anschauen kann. Wurde Novell bisher in den USA verklagt? Nein?
Fedora übertreibt leider. Aus der Sicht Red Hats ist das natürlich vernünftig. Für was sollte man hier auch nur irgendein noch so kleines Risiko eingehen? Dann lieber vorauseilender Gehorsam.
Von DuuuDoooooooh am Do, 18. November 2010 um 15:13 #
Die Vorgabe kam von der Red Hat-Rechtsabteilung und Fedora ist brav gefolgt.
Ist ja wohl Klar
Die Befürchtungen drehten sich darum, dass Fedora jetzt anfangen würde, "Sicherheitssoftware" aus der Distribution herauszuwerfen, also z.B. auch nmap oder netcat.
nmap und netcat scannen, SQLninja ist ein "SQL Server injection & takeover tool". Das ist ein Himmelweiter Unterschied. Und "SQL Server injection & takeover tool" ist die offizielle Bezeichnung aus der offiziellen Website von SQLninja.
Wie dem auch sei: Mit seiner umfassenden Multimediakastration ist Fedora für die meisten Linuxnutzer kaum verwendbar, zumal die entsprechenden Repos bei Fedora nicht mit wenigen Mausklicks (so wie bei OpenSuse) bequem per GUI ohne jede Tipparbeit eingebunden werden können.
Fedora hat genügend Anhänger. Und wer nicht einen Link anklicken, oder ein Howto lesen kann ist sowieso falsch bei Fedora.
Fedora übertreibt leider. Aus der Sicht Red Hats ist das natürlich vernünftig.
emmm... überspitzt gesagt: Fedora == Redhat. 3 von 8 im FESCo sind von Redhat bezahlt. Aus den Fedora Versionen entstehen später RHEL Distris. Das Fedora von heute ist das Redhat von übermorgen. Deshalb ist auch verständlich, dass Redhat überaus vorsichtig ist. Und zum Thema xine, gnash und Co... die sind für ein Enterprise Linux eher untergeordnet Interessant. Und wer Fedora (a.k.a RHEL Alpha) einsetzt weiss (wie schon mal angesprochen) auch wie man ein Wiki liest und sich Adobe Flash oder auch SQLninja über andere Quellen einbindet.
"Und zum Thema xine, gnash und Co... die sind für ein Enterprise Linux eher untergeordnet Interessant."
Dann sollte man sie auch weglassen. Nutzern solcher übereifrig "gesetzeskonformer" Distributionen sind Xine und Gnash eher als Software bekannt, die nichts kann und demzufolge fast völlig "kaputt" ist. MPlayer ging das einmal genauso, solange bis die Devs damals SuSE gebeten haben, doch bitte die Verbreitung solcher verschlimmbesserten und kastrierten MPlayer-Versionen zu unterlassen. SuSE kam diesem Wunsch glücklicherweise nach.
raus mit dem Zeugs... und über 3rd Party repos einbinden.
Wie es ja auch schon mit MP3, AdobeFlash und Pipapoooo geschieht !
Wieso ein Risiko eingehen für ein Tool, dass wohl nur 0.0001% aller User je mal benutzen ?
Redhat ist im Amiland zuhause und dadurch auch Angreifbar durch Heerscharen von Anwälten. Dass sie da einwenig "vorsichtiger" sind, kann ich 100%ig verstehen.
Und wer wirklich "Security Audits" machen will, der ist auch im Stande sich das Zeugs entweder selber zusammenzukompilieren oder aber ein 3rd Party Repo einzubinden.
So what ?
Raus mit dem bedenklichen Zeugs. Meinetwegen auch mit nmap und co.
Ich bau mir das Zeugs schon selber, wenn ich's denn brauche
Sehe ich genauso. Alle schreien, aber kaum ein (Desktop-) Nutzer installiert den Kram. Wer die Software braucht, besorgt sie sich halt.
OT:
Sollte Wayland tatsächlich (zum Testen) in Fedora 15 Einzug halten, dann beruhigen sich die aufgebrachten Kinder schon wieder.
Sehe ich nicht so. Es muss sehr genau untersucht und dann das Risiko abgewogen werden, ob durch das Hinzufügen bestimmter Programme eine Distribution rechtlich angreifbar wird.
Vorauseilender Gehorsam hat in einer Distribution nichts verloren, sonst fallen bald auch Tools wie nmap, wireshark oder ping diesem Bestreben zum Opfer.
FULL-ACK,
danach wären dann grep, comm und eigentlich die bash auch betroffen, damit kann man sich
ja auch Wortlisten bauen. Ach was sage ich, das Teufelszeug von Perl, Ruby etc auch gleich
entsorgen, wenn ich so etwas brauche entwickel ich mir meine eigene Sprache, nur womit?
P-M
Es gibt einen Begriff dafür: Paranoia
Man sollte hier jedoch den Unterschied von Prüf- zu Einbruchstools beachten.
SQLNinja scheint, nach Angabe auf der Homepage, nicht nur zu versuchen in Umgebungen mit MS SQL Server einzudringen, es verändert dann auch den Zielserver und sorgt für einen permanenten Zugriff.
Ein Testtool wäre mit dem erfolgreichen Versuch zufrieden gewesen, den zum Sicherheitstest muss man das betroffene System nicht dauerhaft manipulieren, die reine Prüfung der Sicherheitslücken würde genügen.
Das ist schon richtig, nur die Webseite schreibt auch, dass es für Penetrationstests eingesetzt werden soll und auch der Artikel erwähnt die legale Einsatzmöglichkeit.
Diese Funktionen will ich der Software auch nicht absprechen, nur wenn sie nicht Missverstanden werden will, sollte sie auf weitergehende Funktionen verzichten. Die dauerhafte öffnung eines Backdoors ist keine Funktion, die ein Penetrationstest braucht. Und bei fremden Servern auch nicht legal.
Dein Argument bzgl. "Amiland" ist (soweit mir bekannt) hinfällig.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 18. Nov 2010 um 11:10.Redhat will sich vor Klagen außerhalb der U.S.A absichern, bzw. baut der Ausschluss des Programms darauf auf.
Andererseits muss ein amerikanisches Unternehmen Gesetze auch in Ländern einhalten, in welchen sie nicht ihren Sitz hat, jedoch dort zum Beispiel ihre Produkte vermarktet (Beispiel Microsoft und ihr IE).
Die Vorgabe kam von der Red Hat-Rechtsabteilung und Fedora ist brav gefolgt.
Viel nachgedacht wurde darüber im vorhinein nicht.
Die Befürchtungen drehten sich darum, dass Fedora jetzt anfangen würde, "Sicherheitssoftware" aus der Distribution herauszuwerfen, also z.B. auch nmap oder netcat.
Wie dem auch sei: Mit seiner umfassenden Multimediakastration ist Fedora für die meisten Linuxnutzer kaum verwendbar, zumal die entsprechenden Repos bei Fedora nicht mit wenigen Mausklicks (so wie bei OpenSuse) bequem per GUI ohne jede Tipparbeit eingebunden werden können.
Etwa Gnash zur Nutzung zu empfehlen, ohne die benötigten GStreamer-Codecs wie gstreamer-plugins-ffmpeg mitzuliefern, ist komplett sinnlos. Es ist so sinnlos, dass man auf die Auslieferung von Gnash verzichten sollte, um nicht die Reputation des Gnash-Projektes zu beschädigen. Ähnlich verhält es sich mit Xine.
OpenSuse integriert sogar ein Repo (über seine Community-Repositories-Funktion in Yast), mit dessen Hilfe man sich verschlüsselte Film-DVDs anschauen kann. Wurde Novell bisher in den USA verklagt? Nein?
Fedora übertreibt leider. Aus der Sicht Red Hats ist das natürlich vernünftig. Für was sollte man hier auch nur irgendein noch so kleines Risiko eingehen? Dann lieber vorauseilender Gehorsam.
Die Vorgabe kam von der Red Hat-Rechtsabteilung und Fedora ist brav gefolgt.
Ist ja wohl Klar
Die Befürchtungen drehten sich darum, dass Fedora jetzt anfangen würde, "Sicherheitssoftware" aus der Distribution herauszuwerfen, also z.B. auch nmap oder netcat.
nmap und netcat scannen, SQLninja ist ein "SQL Server injection & takeover tool". Das ist ein Himmelweiter Unterschied.
Und "SQL Server injection & takeover tool" ist die offizielle Bezeichnung aus der offiziellen Website von SQLninja.
Wie dem auch sei: Mit seiner umfassenden Multimediakastration ist Fedora für die meisten Linuxnutzer kaum verwendbar, zumal die entsprechenden Repos bei Fedora nicht mit wenigen Mausklicks (so wie bei OpenSuse) bequem per GUI ohne jede Tipparbeit eingebunden werden können.
Fedora hat genügend Anhänger. Und wer nicht einen Link anklicken, oder ein Howto lesen kann ist sowieso falsch bei Fedora.
Fedora übertreibt leider. Aus der Sicht Red Hats ist das natürlich vernünftig.
emmm... überspitzt gesagt: Fedora == Redhat. 3 von 8 im FESCo sind von Redhat bezahlt. Aus den Fedora Versionen entstehen später RHEL Distris. Das Fedora von heute ist das Redhat von übermorgen. Deshalb ist auch verständlich, dass Redhat überaus vorsichtig ist. Und zum Thema xine, gnash und Co... die sind für ein Enterprise Linux eher untergeordnet Interessant. Und wer Fedora (a.k.a RHEL Alpha) einsetzt weiss (wie schon mal angesprochen) auch wie man ein Wiki liest und sich Adobe Flash oder auch SQLninja über andere Quellen einbindet.
"Und zum Thema xine, gnash und Co... die sind für ein Enterprise Linux eher untergeordnet Interessant."
Dann sollte man sie auch weglassen.
Nutzern solcher übereifrig "gesetzeskonformer" Distributionen sind Xine und Gnash eher als Software bekannt, die nichts kann und demzufolge fast völlig "kaputt" ist.
MPlayer ging das einmal genauso, solange bis die Devs damals SuSE gebeten haben, doch bitte die Verbreitung solcher verschlimmbesserten und kastrierten MPlayer-Versionen zu unterlassen. SuSE kam diesem Wunsch glücklicherweise nach.
Auch dort finde ich nichts - warum die Aufregung bei Fedora?