Ich habs nicht überprüft, aber täusche ich mich, doer taucht SuSE hier nicht ein einziges mal auf, doer haben die die Sicherheitslöcher nicht ,oder was oder wie???
Stimmt, SuSE taucht nicht auf. Dennoch sind Updates z.T. verfuegbar (fuer die Joe-Bug habe ich noch nichts gefunden, fuer den Rest gibt es was auf unter http://www.suse.de/de/support/download/updates/index.html , auch wenn es hier nicht steht...)
In der Regel verlasse ich mich auf die Ankündigungen, die auf die Mailingliste gehen. Die Webseite zu beobachten, ist mir zu umständlich. In aller Regel wird die Webseite mit reichlich Verspätung aktualisiert, so daß es auch nicht viel Sinn macht, sie zu beobachten.
Auch von TurboLinux und Slackware gab es keine Ankündigungen in den letzten Tagen/Wochen.
Linux ist nicht unsicher. Wenn einzelne Programme Bugs haben, muß man auch mal die Relation sehen. Auf jedem Linux-System ist nur ein Teil der Programme installiert, die Probleme machen können. Viele dieser Probleme gelten auch nur für den Fall, daß es mehr als einen Benutzer auf dem Rechner gibt. Die meisten Linux-Rechner haben aber nur einen Benutzer oder, im Fall von Servern, gar keinen.
Somit ist auf den meisten Linux-Rechnern die Hauptgefahr, daß ein Cracker übers Internet Zugang bekommen könnte. Hiergegen hilft das Abschalten von nicht benötigten Daemonen, Paketfilterung und im Bedarfsfall mal ein Programmupdate. Die Anzahl der Programme, die gegen Angriffe aus dem Internet gesichert werden müssen, ist doch sehr überschaubar.
Jetzt seid doch nicht gleich so bissig. Die Frage ist hier kein Flame, denn sie ist grundsätzlich berechtigt, vielleicht ist die Formulierung "so unsicher" etwas unglücklich.
Wer ist schuld? Klar - der Programmierer des Programms. Kann jemand anderes Schuld sein? Meist nicht. Hat Linus Linux allein programmiert? Nein Lauft unter Linux nur Linux? Nein - fast alles sind Anwendungen/Programme die unter Linux laufen aber nicht von Linus stammen.
Läßt sich Sicherheit selbst mit extremen Aufwand garantieren? Nein! Und warum nicht? Weil 1. jeder Programmierer nur Mensch ist und 2. die Realität grundsätzlich unendlich Komplex ist und die Abschätzungsmöglichkeit von Fällen bei einem Programmierer nur endlich. Was er nicht kennt, kann er auch nicht für möglich halten und ist ein Sicherheitslücke.
Kann denn nun ein OS für Sicherheit sorgen? Pauschal nein, denn ein OS dient nur dazu eine Infrastruktur bereitzustellen und kann auch eine Rahmensicherheit gewähren, die muß aber auch richtig in den Anwendungen hinterlegt werden und das machen wiederrum die Programmierer.
Sicherheit muß erarbeitet werden, in der Realität mit all ihrer Komplexität.
Und hier hat Open Source einen riesen Vorteil, weil jeder den Source auf die/in der Realität testen kann und damit die beschränkte Sichtweite des Programmierers erweitert.
Closed Source wird sogesehen nie von freiwilligen "Testern" überprüft werden können, sondern wenn dann nur von "böswilligen" ausgetestet, bis ein Lücke gefunden ist, die diese dann auch gerne sofort nutzen.
Sprich: Die Wahrscheinlichkeit, daß ein böswilliger zuerst eine Lücke in einer Open Source Umgebung findet, ist erheblich geringer als bei Closed Source.
-> Open Source ist sicherer als Closed Source und ist damit nicht "so unsicher" :-)
Das Pufferüberläufe, die eines der ältesten bekannten Bugs sind, immer noch stattfinden, liegt daran das die meisten Papnasen im OpenSource bereich immer noch in so einer antiquierten Sprache wie C oder die verschlimmerung C++ arbeiten.
Meistens weil OS Programmierer eigentlich sehr schlechte Programmierer sind.
Modernere Sprachen haben das Problem nicht.
Das bei Symlinks, DLL's oder execute Operationen Sicherheitslücken auftreten können ist systembedingt und erfordert eine sehr genaue Analyse und die Frage der sinnhaftigkeit.
Von BufferOverflow am Fr, 24. November 2000 um 17:39 #
>und womit schreibst du deine programme???
Ich nehme mal an, er benutzt Delphi...LOL
Und das geile an den "modernen" Sprachen sind meist universale Variablentypen. Man muss sich nen Scheiss drum kuemmern, mit was die nachher gefuettert werden. Hat meist hohen Speicherverbrauch und nicht minder Anfaelligkeit zur Folge.
Moechte mal gerne wissen, welche Sprachen (ausser C/C++, ASM, etc) man ueberhaupt fuer eine OS-Programmierung nutzen kann, denn das OS soll ja normalerweise die wenigsten Ressourcen fressen. Viel Spass beim OS-Programmieren mit Deinen "modernen" Sprachen. :-)
jetzt mal ganz im ernst, was gibt es denn fuer "moderne" sprachen? ich kenne da nur z.b. perl und phyton, die beide nicht gerade universell einsetzbar sind java muss ich wohl nicht kommentieren. was gibt es noch, dass einigermassen an die performance und moeglichkeiten von c rankommt?
> dann zeige mal wie du ohne die > "os-programmierer" deine programme > schreibst.
Für OS ist das okay, aber die Fehler sind ja in Anwendungsprogrammen zu finden.
> und womit schreibst du deine programme??? > "MODERNE SPRACHEN", dass ich nicht lache > wat denn? MS-lattenzaun? > JAVA???
Also ich benutze zur Zeit Haskell und Eiffel. Beide sind oftmals leider nur in der Lehre zu finden obwohl sie sich sehr gut für grosse Progamme eignen.
Und schon mal etwas von ADA oder Smalltalk gehört ihr ignoranten Massenware Vertreter ?
> was bitte schoen ist eine DLL ???
Sicherlich eine allgemeinere Formulierung als shared library.
haskell.. eifel.. ada.. smalltalk.. nie gehoert um ehrlich zu sein. hoechstens mal so nebenher... wie soll ich denn etwas ignorieren, worueber ich nichts weiss. du kannst uns ja etwas ueber diese sprachen erzaehlen, mich wuerds jedenfalls interessieren.
sind auch OS vor nichts mehr sicher ;) Zum Glück hat Sun JavaOS ( oder wie hiess es noch mal ?) 'eingestampft' (immerhin 90 % Java (und je 5% C und ASM)
Da weit über 99% aller Microprozessoren "imperativ" arbeiten, verschont uns vor einem Haskell-OS.
Habe auch noch keine CD von Suse. Es ist wahrscheinlich eine Auftragsbestätigung und keine Rechnung was du bekommen haßt, daß ist ein großer Unterschied.
wenn Du's nicht erwarten kannst, KDE 2.0 zu installieren, hier ein Tip:
Der Zeitschrift 'linux-user' liegt eine CD bei, auf der Sourcen und Binär-Pakete für - SuSE 6.4/7.0 - Debian 2.2 - Red Hat 6.2/7.0 - Mandrake 7.x - Caldera OpenLinux 2.4 vorhanden sind.
Ich habe KDE 2.0 bei mir auf SuSE 6.4 installiert und bin zufrieden damit. Es mußten lediglich ein paar Anpassung gemacht werden. Wie man erfolgreich KDE 2.0 zum Laufen bringt steht bei:
Bist Du sicher, dass sie Dich in NBG reinlassen? Die NürnbergerInnen sind nämlich ein sehr seltsames Volk! Wenn nichts hilft, beschimpfe den Club, oder noch besser, bewirf sie mit Lebkuchen :)
jetzt bin ich verwundert, ich hab ein SuSE- Buch, da steht drin, daß die aus Fürth sind? Na gut, ich bin nicht aus der Ecke, vielleicht ist das das Gleiche. Aber in der Schule hab ich gelernt (vor langer, langer Zeit) das es zwischen Nürnberg und Fürth eine ganz bekannte Eisenbahnstrecke gab. Also ist das *logisch denke* doch nicht das Gleiche. Schönes Wochenende
Sehr richtig! Fth und Nbg sind weder dasselbe noch dasgleiche. Beides kreisfreie Städte mit Fth ca. 111111 Einwohner und Nbg 0,5 Mio Tauchsieder :).
Die erste Eisenbahn in Deutschland - der Adler - fuhr zwischen Nbg und Fth am 7. Dez. 1835 !
(Das waren nur 6 km, woraus ersichtlich ist, das beide Städte sehr nah beieinander liegen und nun seit langer Zeit angeinanderstossen ( geographisch und sonst auch ;)
SuSE hatte seinen Sitz in den Anfangsjahren in der Kleeblattstadt und ist dann nach Nbg umgezogen ( VerräterInnen !! )
Jetzt muss ich doch noch meinen Senf dazugeben: zum Thema Buffer Overflow: http://www.heise.de/newsticker/data/vza-24.11.00-001/
Ausserdem wird Microsoft wegen Outlook verklagt, da der Iloveyou Virus (und die somit entstanden Schäden) vermeidbar gewesen wären (schliesslich waren die Sicherheitsmängel Microsoft schon länger bekannt)...
Für alle die sich nen Rechner kaufen wollen (ist jetzt in der Vorweihnachtszeit nix besonderes): http://winstop.uni-paderborn.de/geld-zurueck/index.html
Danke für den Hinweis auf die Artikel. Bei PC-Spezialist hat man die Möglichkeit ca. 200 DM zu sparen, die der Hersteller für die OEM-Version abführen muss, wenn man auf das Windows verzichtet: Sprich der Rechner wird satte 200 DM billiger, wenn man auf den Mist verzichtet. Schade, dass sich andere Hersteller so schwer tun. Liegt wohl auch daran, dass PC-Spezialist die Rechner aus Einzelteilen erst zusammen- schraubt und auf Festplatten, die en Gro bestellt werden, ist zum Glück kein Windows aufgespielt.
ich habe neben LINUX auch noch Win98 auf dem Rechner, weil einige Programm halt nur mit Win laufen. Ich habe aber immer so ein komisches zucken. Dann habe ich WinMe aufgespielt. Das Zucken wurde immer schlimmer. Erst als ich wieder auf Linux war, wurde ich geheilt. Ich freue mich schon darauf, wenn ich eines Tages ganz auf Win verzichten kann oder das die Emus (wie Wine) irgenwann mal mehr können als Notepad.
Dennoch sind Updates z.T. verfuegbar (fuer die Joe-Bug habe ich noch nichts gefunden, fuer den Rest gibt es was auf unter http://www.suse.de/de/support/download/updates/index.html
, auch wenn es hier nicht steht...)
Auch von TurboLinux und Slackware gab es keine Ankündigungen in den letzten Tagen/Wochen.
Somit ist auf den meisten Linux-Rechnern die Hauptgefahr, daß ein Cracker übers Internet Zugang bekommen könnte. Hiergegen hilft das Abschalten von nicht benötigten Daemonen, Paketfilterung und im Bedarfsfall mal ein Programmupdate. Die Anzahl der Programme, die gegen Angriffe aus dem Internet gesichert werden müssen, ist doch sehr überschaubar.
Wer ist schuld?
Klar - der Programmierer des Programms. Kann jemand anderes Schuld sein? Meist nicht.
Hat Linus Linux allein programmiert? Nein
Lauft unter Linux nur Linux? Nein - fast alles sind Anwendungen/Programme die unter Linux laufen aber nicht von Linus stammen.
Läßt sich Sicherheit selbst mit extremen Aufwand garantieren? Nein!
Und warum nicht? Weil 1. jeder Programmierer nur Mensch ist und 2. die Realität grundsätzlich unendlich Komplex ist und die Abschätzungsmöglichkeit von Fällen bei einem Programmierer nur endlich. Was er nicht kennt, kann er auch nicht für möglich halten und ist ein Sicherheitslücke.
Kann denn nun ein OS für Sicherheit sorgen? Pauschal nein, denn ein OS dient nur dazu eine Infrastruktur bereitzustellen und kann auch eine Rahmensicherheit gewähren, die muß aber auch richtig in den Anwendungen hinterlegt werden und das machen wiederrum die Programmierer.
Sicherheit muß erarbeitet werden, in der Realität mit all ihrer Komplexität.
Und hier hat Open Source einen riesen Vorteil, weil jeder den Source auf die/in der Realität testen kann und damit die beschränkte Sichtweite des Programmierers erweitert.
Closed Source wird sogesehen nie von freiwilligen "Testern" überprüft werden können, sondern wenn dann nur von "böswilligen" ausgetestet, bis ein Lücke gefunden ist, die diese dann auch gerne sofort nutzen.
Sprich: Die Wahrscheinlichkeit, daß ein böswilliger zuerst eine Lücke in einer Open Source Umgebung findet, ist erheblich geringer als bei Closed Source.
-> Open Source ist sicherer als Closed Source und ist damit nicht "so unsicher" :-)
Philipp
Meistens weil OS Programmierer eigentlich sehr schlechte Programmierer sind.
Modernere Sprachen haben das Problem nicht.
Das bei Symlinks, DLL's oder execute Operationen Sicherheitslücken auftreten können ist systembedingt und erfordert eine sehr genaue Analyse und die Frage der sinnhaftigkeit.
dann zeige mal wie du ohne die "os-programmierer" deine programme
schreibst.
und womit schreibst du deine programme???
"MODERNE SPRACHEN", dass ich nicht lache :-)
wat denn? MS-lattenzaun?
JAVA???
was bitte schoen ist eine DLL ???
;-))
smile
Ich nehme mal an, er benutzt Delphi...LOL
Und das geile an den "modernen" Sprachen sind meist universale Variablentypen. Man muss sich nen Scheiss drum kuemmern, mit was die nachher gefuettert werden. Hat meist hohen Speicherverbrauch und nicht minder Anfaelligkeit zur Folge.
Moechte mal gerne wissen, welche Sprachen (ausser C/C++, ASM, etc) man ueberhaupt fuer eine OS-Programmierung nutzen kann, denn das OS soll ja normalerweise die wenigsten Ressourcen fressen. Viel Spass beim OS-Programmieren mit Deinen "modernen" Sprachen.
:-)
was gibt es noch, dass einigermassen an die performance und moeglichkeiten von c rankommt?
Also, wenns nur um Performance geht und die Entwicklungszeit ueberhaupt nix ausmacht, wuerde ich sagen, dass ASM Dein Freund ist.
> dann zeige mal wie du ohne die
> "os-programmierer" deine programme
> schreibst.
Für OS ist das okay, aber die Fehler sind ja in Anwendungsprogrammen zu finden.
> und womit schreibst du deine programme???
> "MODERNE SPRACHEN", dass ich nicht lache
> wat denn? MS-lattenzaun?
> JAVA???
Also ich benutze zur Zeit Haskell und Eiffel. Beide sind oftmals leider nur in der Lehre zu finden obwohl sie sich sehr gut für grosse Progamme eignen.
Und schon mal etwas von ADA oder Smalltalk gehört ihr ignoranten Massenware Vertreter ?
> was bitte schoen ist eine DLL ???
Sicherlich eine allgemeinere Formulierung als shared library.
wie soll ich denn etwas ignorieren, worueber ich nichts weiss.
du kannst uns ja etwas ueber diese sprachen erzaehlen, mich wuerds jedenfalls interessieren.
Zum Glück hat Sun JavaOS ( oder wie hiess es noch mal ?) 'eingestampft'
(immerhin 90 % Java (und je 5% C und ASM)
Da weit über 99% aller Microprozessoren "imperativ" arbeiten, verschont uns vor einem Haskell-OS.
Über ADA liesse sich reden :)
Mosh
Hat jemand von euch schon KDE2 von SuSE bekommen-falls bestellt?
Die Rechnung liegt mir schon seit ca.1 Woche vor,nur die CD einschl.Handbuch kommt einfach nicht an.
gruss peter:)
Es ist wahrscheinlich eine Auftragsbestätigung und keine Rechnung was du bekommen haßt, daß ist ein großer
Unterschied.
(X)hast
( )haßt
Auftragsbestätigung. Aber vielleich warten
die Jungs bis KDE 2.1 herauskommt und
wir bekommen das Neue.
Glaubt Ihr das??
Gruss
wenn Du's nicht erwarten kannst, KDE 2.0 zu installieren, hier ein Tip:
Der Zeitschrift 'linux-user' liegt eine CD bei, auf der Sourcen und Binär-Pakete für
- SuSE 6.4/7.0
- Debian 2.2
- Red Hat 6.2/7.0
- Mandrake 7.x
- Caldera OpenLinux 2.4
vorhanden sind.
Ich habe KDE 2.0 bei mir auf SuSE 6.4 installiert und bin zufrieden damit. Es mußten lediglich ein paar Anpassung gemacht werden. Wie man erfolgreich KDE 2.0 zum Laufen bringt steht bei:
http://www.suse.de/de/support/download/kde2/
wd
Vieleicht habe ich ja auch etwas mit den Augen.:)
Der Computerchannel hatte es aber im Angebot.
KDE2 läuft wunderbar.
Also wenn in dieser Woche diese CD von der SuSE GmbH nicht kommt,dann war es wahrscheinlich die letzte Bestellung die ich dort getätigt habe.
Bei uns im Ort steht die besagte CD bereits einige Zeit im Bücherregal einer grossen Bücherei.
Trotzdem danke für den Tipp
gruss peter
soo machen wir das
Die NürnbergerInnen sind nämlich ein sehr seltsames Volk!
Wenn nichts hilft, beschimpfe den Club,
oder noch besser, bewirf sie mit Lebkuchen
:)
Mosh
Fth und Nbg sind weder dasselbe noch dasgleiche.
Beides kreisfreie Städte mit Fth ca. 111111 Einwohner und Nbg 0,5 Mio Tauchsieder :).
Die erste Eisenbahn in Deutschland - der Adler - fuhr zwischen Nbg und Fth am 7. Dez. 1835 !
(Das waren nur 6 km, woraus ersichtlich ist, das beide Städte sehr nah beieinander liegen und nun seit langer Zeit angeinanderstossen ( geographisch und sonst auch ;)
SuSE hatte seinen Sitz in den Anfangsjahren in der Kleeblattstadt und ist dann nach Nbg umgezogen ( VerräterInnen !! )
Mosh
zum Thema Buffer Overflow:
http://www.heise.de/newsticker/data/vza-24.11.00-001/
Ausserdem wird Microsoft wegen Outlook verklagt, da der Iloveyou Virus (und die somit entstanden Schäden) vermeidbar gewesen wären (schliesslich waren die Sicherheitsmängel Microsoft schon länger bekannt)...
Für alle die sich nen Rechner kaufen wollen
(ist jetzt in der Vorweihnachtszeit nix besonderes):
http://winstop.uni-paderborn.de/geld-zurueck/index.html
ca. 200 DM zu sparen, die der Hersteller für die OEM-Version abführen muss, wenn
man auf das Windows verzichtet: Sprich der Rechner wird satte 200 DM billiger, wenn
man auf den Mist verzichtet. Schade, dass sich andere Hersteller so schwer tun. Liegt
wohl auch daran, dass PC-Spezialist die Rechner aus Einzelteilen erst zusammen-
schraubt und auf Festplatten, die en Gro bestellt werden, ist zum Glück kein Windows
aufgespielt.
Gruß Thomas
ich habe neben LINUX auch noch Win98
auf dem Rechner, weil einige Programm
halt nur mit Win laufen. Ich habe aber
immer so ein komisches zucken. Dann
habe ich WinMe aufgespielt. Das Zucken
wurde immer schlimmer. Erst als ich
wieder auf Linux war, wurde ich geheilt.
Ich freue mich schon darauf, wenn ich
eines Tages ganz auf Win verzichten kann
oder das die Emus (wie Wine) irgenwann
mal mehr können als Notepad.