2) Ubuntu hat so viele Sicherheitslücken, dass man selbst gegen gewöhnliche Dritte keine Sicherheit hat. Bei Win 10 siehe oben bezüglich der Verantwortung von MS.
Das Ubuntu unsicher ist, ist ja überprüfbar. Und da finden wir die Antwort, ja, das stimmt sogar.
Bei Windows 10, wie luxorius vorschlägt, hängt es natürlich von Microsoft ab. Da ist die Erwartungshaltung als Nutzer, dass die ihre Sicherheitslücken ordentlich patchen. Ob sie es machen, weiß keiner, aber wir wollen MS ja keine Schlamperei unterstellen, weswegen wir davon ausgehen dürfen.
Bei Debian, da hat er allerdings nicht mehr recht.
Ja, guck in den Debian-Bugtracker. Da gibts zwar Zuständige, die sich dann aber auch nicht kümmern.
Bei Ubuntu gibts wenigstens alle 6 Monate 'ne neue Version der Software, während bei Debian stable alles fröhlich vor sich hin rottet. Von den Sicherheitsproblemen, die die Debianer vor lauter Unversiertheit selbst reißen, mal ganz abgesehen.
Auch davon zeigt Dir google mittlerweile eine ganze Menge auf.
Aber bei Deiner verblendeten Fanboy-Sicht dürften solche Argumente natürlich nicht zählen. Ich hol mir schonmal Popcorn.
Das sind notierte Bugs, keine unnotierten. Auf erstere kann man sich einstellen, auf letztere nicht.
Da gibts zwar Zuständige, die sich dann aber auch nicht kümmern.
Und beim nächsten mal fliegt dann halt das Paket raus oder der Maintainer wird ausgetauscht. Aber wenn das so ein aktues Problem ist, wie du es sagst, dann hat mein Poster ja sogar auch da recht. Dann würde das bedeuten, dass Windows auch da sicherer ist.
Bei Ubuntu gibts wenigstens alle 6 Monate 'ne neue Version der Software, während bei Debian stable alles fröhlich vor sich hin rottet.
Testing ist recht aktuell. Und was da Ubuntu als neue Version abliefert ist nicht stable, sondern nur eine Kopie aus Testing. Entsprechend verbuggt ist es dann auch.
Insofern ist dein Vergleich Unsinn.
Ich hol mir schonmal Popcorn.
Dann tue mal viel Salz drauf, könnte ja sein, dass du Wasser heulen musst und den Salzverlust ausgleichen musst.
Es geht hier um Security-Updates und Du bringst testing ins Spiel? War es nicht so, dass ausgerechnet testing überhaupt keinen Securityupdates unterliegt und zudem auch noch die längere Pufferfrist für Pakete aus unstable hat?
unstable hat auch schon kein Sicherheitskonzept, erhält außerhalb des Freezes aber immerhin Pakete aus Upstream, wenn der Maintainer denn gerade mal Bock hat oder es keine anderen Showstopper (wie z.B. Transitions) gibt.
Kurzum: abseits von stable ist Debian sicherheitsmäßig sowieso eher nicht zu empfehlen.
Nichts desto trotz bin ich der Meinung (und davon mache ich mich selbst auch nicht frei), dass mit dem Wissen um Sicherheitslücken eine Überempfindlichkeit einher geht. Das Vorliegen von Sicherheitslücken erzeugt sofort Schnappatmung, oft ohne das ein genauerer Blick darauf geworfen wird, welches Bedrohungsszenario denn tatsächlich vorliegt und ob es im gegebenen Fall überhaupt zum Tragen käme.
Der ganze Kack, den die IT in 60 Jahren angehäuft hat, ohne sich um Sicherheit zu scheren, ist mittlerweile nicht mehr in den Griff zu bekommen, und Debian macht da nicht wirklich eine Ausnahme:
Ich denke es ist klar, was damit gemeint ist. Und ja, da kann man dann entsprechend handeln.
Bei Ubuntu hat man diese Möglichkeit nicht.
Gerade der Link von Anonymous zeigt doch, dass man sich alle notierten Sicherheitslücken und die betroffenen Pakete ansehen kann. Etwas vergleichbares für Ubuntu kenne ich nicht. Deren Bugtracker fasst alles zusammen, Sicherheitslücken von normalen Bugs sind da nicht auf die schnelle zu trennen. Was aber noch schlimmer ist, ist der Fakt, dass die Datenbank unvollständig ist.
In Debian gelangen die Daten wenigstens schnell auf den Security Tracker, wenn es mit einem Paket ein Problem gibt.
Ja, aber was bringt es, wenn die gelistet sind? Theoretisch kann man dann auf die Verwendung verzichten, rein praktisch sind oft so zentrale Komponenten betroffen, dass ich schon das ganze Betriebssystem wechseln müsste, um der Schwachstelle zu entgehen. (und selbst das reicht manchmal nicht aus).
Ich vermute, das nur 'ne handvoll Leute das so konsequent umsetzt, wie Du es hier propagierst. Die bewundere ich, allen ernstes.
Mir wäre mein Komfort allerdings wichtiger. Bislang bin ich damit gut gefahren. Und ja, vielleicht wars nur Glück.
Man sollte vielleicht auch noch beachten, dass diese Tracker-Liste zu großen Teilen den aktuellen Stand der Upstream-Software wiedergibt. Oder glaubt jemand, dass die erwähnten Kernel-Bugs nur in Debian existieren?
Wesentlich für den Endnutzer ist, dass an täglich benutzter Browser- und Email-Software in Debian und Ubuntu nur Firefox und Thunderbird regelmäßig mit Sicherheits-Patches versorgt werden. Dazu kommt noch Chromium in Debian (nicht in Ubuntu) bis zu einem meist kurz nach der Stable-Phase endenden EOL-Statement.
Von der restlichen Webbrowser- und Email-Software in Debian und Ubuntu muss man gemäß Debian-Release-Notes davon ausgehen, dass es meist keine Sicherheitsupdates gibt, wenn eine Rückportierung nicht "feasible" ist. Und das ist meist der Fall.
Wie sicher ein Debian oder Ubuntu tatsächlich ist, entscheidet somit der Nutzer höchstselbst.
Übrigens, ich würde es für sinnvoll halten, wenn man über den Paketmanager eine kurze Auflistung, wie viele der gerade installierten Pakete derzeit im Security tracker eine gemeldete, aber noch nicht gestopfte Sicherheitslücke haben, aufzeigen würde.
apt upgrade könnte dann nach der Installation dann bspw. ausgeben, dass von den derzeit auf dem System installierten Pakete noch z.B. 13 eine bekannte Sicherheitslücke haben, für die es noch keinen fix gibt.
Dadurch könnte der Nutzer sich diese Pakete ausgeben lassen und entsprechend der Bedrohungslage entsprechende Entscheidungen treffen. Wenn es ein Dienst ist, diesen z.B. deaktivieren. Und falls es ein IRC Client ist, diesen vorübergehend nicht nutzen und stattdessen eine Alternative wählen.
Außerdem gerät so das Dilemma mehr in das Bewusstsein der Nutzer und vielleicht führt dies dann dazu, dass der ein oder andere sich dann dazu berufen fühlt, die Sicherheitslücke zu schließen und Debian einen Fix zukommen zu lassen. Der ein oder andere wird das sicher tun. In den Security Tracker schauen dagegen nicht so viele Leute rein, außer halt die, die es wirklich ganz genau wissen müssen oder bei Debian aktiv mit entwickeln.
Mit Deiner Darstellung magst Du ja theoretisch recht haben, aber ich vermute, in der Praxis interessiert 99,95% der Unterschied nicht (sie nutzen, was ihnen gegeben ist und verzichten nicht auf Programme, nur weil diese dokumentierte Sicherheitslücken in einem Bugtracker haben). Zudem halte ich viele Bedrohungsszenarien in im Securitytracker gelisteten Programmen für derart theoretisch, dass die Gefahr eher maginal ist.
Von den Programmen mit direktem Kontakt zum Internet mal abgesehen dürften die meisten "Sicherheitsprobleme" um ein vielfaches harmloser sein als die schwachen SSH-Schlüssel, die Debian auf den Markt geworfen hat. DAS war mal ein echtes Sicherheitsrisiko, das vieles von dem getoppt hat, was ich bislang gesehen habe.
Btw, ein Programm zum Abgleich der installierten Programme mit dem Securitytracker existiert bei Gentoo. Sowas könnte bei keiner Distribution schaden. Ubuntu hat ubuntu-support-status, was hat Debian?
Laut Beschreibung zeigt es aber nur installierte Pakete an, die keinen Support mehr erhalten, oder? Es ist also kein Abgleich mit dem Security Tracker bezüglich auch der noch unterstützten Pakete.
Debian ist durch den Verzicht der Übernahme von Upstreamaktualisierungen intrinsisch unsicher. Dass sich aus allen Upstreamänderungen reine Sicherheitsaktualisierungen zurückführen ließen, ist eine Mär. Zudem fehlt es für die Bereitstellung von Dicherheitspatches an Manpower. Es ist ja auch eine denkbar undankbare und spaßferne Aufgabe.
Würde Upstream bei jedem Open Source Projekt Long Term Support Versionen bereitstellen, dann könnt man die Verantwortung auf Upstream verschieben und eine Distribution überwiegend aus solchen LTS Versionen bauen.
Von Verfluchtnochmal_5987109 am Sa, 20. April 2019 um 18:19 #
Einen Scheissdreck könnte man wenn Debian aus einem dummen Prinzip ohne Sinn und Verstand auch keine reinen Bugfix point releases von upstream übernimmt weil man darauf besteht dass sich die Version nicht ändert und sich lieber einen Wolf patcht weil man es ja besser als der eigentliche Entwickler weiss
Und der Entwickler scheißt auf die mindest Version der Bibliothek, die er verwendet und setzt in den Makefiles die neuste voraus. So kann das natürlich nichts werden, mit dem einbinden in ein stable Debian. Debian ist in dem Fall aber nicht schuld.
Und die neusten Features muss man auch nicht in eine stable Distribution nehmen, wer weiß was, da alles dann plötzlich nicht mehr geht.
nehmt besser Debian.
Win 10 ist viel viel besser.
Im Bezug auf die Sicherheit gegenüber Ubuntu stimmt das sogar.
In keinem Fall kann die vorinstallierte Spy- und Malware von Window 10 sicherer sein als Ubuntu.
Das kommt doch ganz auf die Frage "sicher gegenüber wem?" an.
Dann bitte Ich Sie in folgenden Fällen um Nachtrag:
1)
2)
Der Satz bezog sich auf Win 10.
2)
Ubuntu hat so viele Sicherheitslücken, dass man selbst gegen gewöhnliche Dritte keine Sicherheit hat.
Bei Win 10 siehe oben bezüglich der Verantwortung von MS.
Um ihre Behauptung zu untermauern wäre eine Angabe von Quellen für den geneigten Leser hilfreich.
Ich kann auch nicht sagen "Trump ist ein Doddl" ohne Beweise zu liefern.
Oh Wait, hat er ja selbst schon mehrfach gemacht!
wurde Amerika sicherer durch Trump ?
Nein !
Wird jemals Window sicher sein ?
...
Guten Abend
Und da finden wir die Antwort, ja, das stimmt sogar.
Bei Windows 10, wie luxorius vorschlägt, hängt es natürlich von Microsoft ab. Da ist die Erwartungshaltung als Nutzer, dass die ihre Sicherheitslücken ordentlich patchen. Ob sie es machen, weiß keiner, aber wir wollen MS ja keine Schlamperei unterstellen, weswegen wir davon ausgehen dürfen.
Bei Debian, da hat er allerdings nicht mehr recht.
Hahahahahahahahahahaa, NEIN!
Doch.
Guck mal in universe und multiverse, Unwissender.
Ja, guck in den Debian-Bugtracker. Da gibts zwar Zuständige, die sich dann aber auch nicht kümmern.
Bei Ubuntu gibts wenigstens alle 6 Monate 'ne neue Version der Software, während bei Debian stable alles fröhlich vor sich hin rottet. Von den Sicherheitsproblemen, die die Debianer vor lauter Unversiertheit selbst reißen, mal ganz abgesehen.
Auch davon zeigt Dir google mittlerweile eine ganze Menge auf.
Aber bei Deiner verblendeten Fanboy-Sicht dürften solche Argumente natürlich nicht zählen. Ich hol mir schonmal Popcorn.
Das sind notierte Bugs, keine unnotierten.
Und beim nächsten mal fliegt dann halt das Paket raus oder der Maintainer wird ausgetauscht.Auf erstere kann man sich einstellen, auf letztere nicht.
Aber wenn das so ein aktues Problem ist, wie du es sagst, dann hat mein Poster ja sogar auch da recht. Dann würde das bedeuten, dass Windows auch da sicherer ist. Testing ist recht aktuell.
Und was da Ubuntu als neue Version abliefert ist nicht stable, sondern nur eine Kopie aus Testing.
Entsprechend verbuggt ist es dann auch.
Insofern ist dein Vergleich Unsinn.
Dann tue mal viel Salz drauf, könnte ja sein, dass du Wasser heulen musst und den Salzverlust ausgleichen musst.Es geht hier um Security-Updates und Du bringst testing ins Spiel? War es nicht so, dass ausgerechnet testing überhaupt keinen Securityupdates unterliegt und zudem auch noch die längere Pufferfrist für Pakete aus unstable hat?
unstable hat auch schon kein Sicherheitskonzept, erhält außerhalb des Freezes aber immerhin Pakete aus Upstream, wenn der Maintainer denn gerade mal Bock hat oder es keine anderen Showstopper (wie z.B. Transitions) gibt.
Kurzum: abseits von stable ist Debian sicherheitsmäßig sowieso eher nicht zu empfehlen.
Nichts desto trotz bin ich der Meinung (und davon mache ich mich selbst auch nicht frei), dass mit dem Wissen um Sicherheitslücken eine Überempfindlichkeit einher geht. Das Vorliegen von Sicherheitslücken erzeugt sofort Schnappatmung, oft ohne das ein genauerer Blick darauf geworfen wird, welches Bedrohungsszenario denn tatsächlich vorliegt und ob es im gegebenen Fall überhaupt zum Tragen käme.
Der ganze Kack, den die IT in 60 Jahren angehäuft hat, ohne sich um Sicherheit zu scheren, ist mittlerweile nicht mehr in den Griff zu bekommen, und Debian macht da nicht wirklich eine Ausnahme:
https://security-tracker.debian.org/tracker/status/release/stable
Ja, aber bei Debian sind es notierte Bugs.
Ich kann also Paket A, D und X deinstallieren oder deaktivieren oder entsprechende andere Maßnahmen durchführen.
Bei Ubuntu erfährt man nicht einmal, dass die Pakete seit Monaten schon anfällig sind.
Notierte Bugs ... ich kann nicht mehr. :)
Hast du ein besseres Wort zu später Stunde?
Ich denke es ist klar, was damit gemeint ist.
Und ja, da kann man dann entsprechend handeln.
Bei Ubuntu hat man diese Möglichkeit nicht.
Gerade der Link von Anonymous zeigt doch, dass man sich alle notierten Sicherheitslücken und die betroffenen Pakete ansehen kann.
Etwas vergleichbares für Ubuntu kenne ich nicht.
Deren Bugtracker fasst alles zusammen, Sicherheitslücken von normalen Bugs sind da nicht auf die schnelle zu trennen.
Was aber noch schlimmer ist, ist der Fakt, dass die Datenbank unvollständig ist.
In Debian gelangen die Daten wenigstens schnell auf den Security Tracker, wenn es mit einem Paket ein Problem gibt.
Ja, aber was bringt es, wenn die gelistet sind? Theoretisch kann man dann auf die Verwendung verzichten, rein praktisch sind oft so zentrale Komponenten betroffen, dass ich schon das ganze Betriebssystem wechseln müsste, um der Schwachstelle zu entgehen. (und selbst das reicht manchmal nicht aus).
Ich vermute, das nur 'ne handvoll Leute das so konsequent umsetzt, wie Du es hier propagierst. Die bewundere ich, allen ernstes.
Mir wäre mein Komfort allerdings wichtiger. Bislang bin ich damit gut gefahren. Und ja, vielleicht wars nur Glück.
Man sollte vielleicht auch noch beachten, dass diese Tracker-Liste zu großen Teilen den aktuellen Stand der Upstream-Software wiedergibt.
Oder glaubt jemand, dass die erwähnten Kernel-Bugs nur in Debian existieren?
Wesentlich für den Endnutzer ist, dass an täglich benutzter Browser- und Email-Software in Debian und Ubuntu nur Firefox und Thunderbird regelmäßig mit Sicherheits-Patches versorgt werden. Dazu kommt noch Chromium in Debian (nicht in Ubuntu) bis zu einem meist kurz nach der Stable-Phase endenden EOL-Statement.
Von der restlichen Webbrowser- und Email-Software in Debian und Ubuntu muss man gemäß Debian-Release-Notes davon ausgehen, dass es meist keine Sicherheitsupdates gibt, wenn eine Rückportierung nicht "feasible" ist. Und das ist meist der Fall.
Wie sicher ein Debian oder Ubuntu tatsächlich ist, entscheidet somit der Nutzer höchstselbst.
Übrigens, ich würde es für sinnvoll halten, wenn man über den Paketmanager eine kurze Auflistung, wie viele der gerade installierten Pakete derzeit im Security tracker eine gemeldete, aber noch nicht gestopfte Sicherheitslücke haben, aufzeigen würde.
apt upgrade könnte dann nach der Installation dann bspw. ausgeben, dass von den derzeit auf dem System installierten Pakete noch z.B. 13 eine bekannte Sicherheitslücke haben, für die es noch keinen fix gibt.
Dadurch könnte der Nutzer sich diese Pakete ausgeben lassen und entsprechend der Bedrohungslage entsprechende Entscheidungen treffen.
Wenn es ein Dienst ist, diesen z.B. deaktivieren.
Und falls es ein IRC Client ist, diesen vorübergehend nicht nutzen und stattdessen eine Alternative wählen.
Außerdem gerät so das Dilemma mehr in das Bewusstsein der Nutzer und vielleicht führt dies dann dazu, dass der ein oder andere sich dann dazu berufen fühlt, die Sicherheitslücke zu schließen und Debian einen Fix zukommen zu lassen.
Der ein oder andere wird das sicher tun.
In den Security Tracker schauen dagegen nicht so viele Leute rein, außer halt die, die es wirklich ganz genau wissen müssen oder bei Debian aktiv mit entwickeln.
Mit Deiner Darstellung magst Du ja theoretisch recht haben, aber ich vermute, in der Praxis interessiert 99,95% der Unterschied nicht (sie nutzen, was ihnen gegeben ist und verzichten nicht auf Programme, nur weil diese dokumentierte Sicherheitslücken in einem Bugtracker haben). Zudem halte ich viele Bedrohungsszenarien in im Securitytracker gelisteten Programmen für derart theoretisch, dass die Gefahr eher maginal ist.
Von den Programmen mit direktem Kontakt zum Internet mal abgesehen dürften die meisten "Sicherheitsprobleme" um ein vielfaches harmloser sein als die schwachen SSH-Schlüssel, die Debian auf den Markt geworfen hat. DAS war mal ein echtes Sicherheitsrisiko, das vieles von dem getoppt hat, was ich bislang gesehen habe.
Btw, ein Programm zum Abgleich der installierten Programme mit dem Securitytracker existiert bei Gentoo. Sowas könnte bei keiner Distribution schaden. Ubuntu hat ubuntu-support-status, was hat Debian?
debian-security-support
https://packages.debian.org/stretch/debian-security-support
Nett, kannte ich noch gar nicht. Danke für den Hinweis.
Vielleicht noch https://packages.debian.org/stretch/debsecan
Laut Beschreibung zeigt es aber nur installierte Pakete an, die keinen Support mehr erhalten, oder?
Es ist also kein Abgleich mit dem Security Tracker bezüglich auch der noch unterstützten Pakete.
Debian ist durch den Verzicht der Übernahme von Upstreamaktualisierungen intrinsisch unsicher. Dass sich aus allen Upstreamänderungen reine Sicherheitsaktualisierungen zurückführen ließen, ist eine Mär.
Zudem fehlt es für die Bereitstellung von Dicherheitspatches an Manpower. Es ist ja auch eine denkbar undankbare und spaßferne Aufgabe.
Würde Upstream bei jedem Open Source Projekt Long Term Support Versionen bereitstellen, dann könnt man die Verantwortung auf Upstream verschieben und eine Distribution überwiegend aus solchen LTS Versionen bauen.
Einen Scheissdreck könnte man wenn Debian aus einem dummen Prinzip ohne Sinn und Verstand auch keine reinen Bugfix point releases von upstream übernimmt weil man darauf besteht dass sich die Version nicht ändert und sich lieber einen Wolf patcht weil man es ja besser als der eigentliche Entwickler weiss
Und der Entwickler scheißt auf die mindest Version der Bibliothek, die er verwendet und setzt in den Makefiles die neuste voraus.
So kann das natürlich nichts werden, mit dem einbinden in ein stable Debian.
Debian ist in dem Fall aber nicht schuld.
Und die neusten Features muss man auch nicht in eine stable Distribution nehmen, wer weiß was, da alles dann plötzlich nicht mehr geht.