Login
Newsletter
Werbung

Thema: KDE definiert neue Ziele für die nächsten Jahre

47 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Tom Arnold am Mo, 9. September 2019 um 12:03 #

Schon bei den Snowden Enthüllungen habe ich gedacht: "Warum bietet mir kaum ein Linux _volle_ Kontrolle über meine Daten??" und jetzt, gefühlt Jahrzente später, ist immer noch nichts passiert.

Warum gibt es bei KDE keine in den Desktop integrierte und einfach zu bedienende Firewall, die genau zeigt welche Programm wohin kommuniziert und mir die Möglichkeit gibt diesen Datenflüssen den Hahn abzudrehen oder sie durch Tor/ein VPN zu schicken etc. Sowas gut integriert ist eine wirkliche Marktlücke. Stattdessen wird wieder nur Apple, MS und Google hinterhergerannt. Total arm das Ganze!
In der Außendarstellung tun Apple und Google im Moment mehr für die Privatsphäre als alle Linuxdesktops zusammen. Das ist bedenklich.
Natürlich könnte ich hinsetzen und sowas selbst entwickeln, aber dafür fehlt mir leider das Know How und die Zeit ..

  • 1
    Von throgh am Mo, 9. September 2019 um 12:18 #

    Volle Kontrolle über deine Daten? Die hast du doch bereits sofern du dich willentlich einarbeitest. Und was hindert dich bitte daran beispielsweise Privoxy zusammen mit Tor zu verwenden?

    Aber zunächst einmal bei der grundlegenden Fragestellung verblieben: Was ist denn ein "Linux"? Du möchtest also den blanken Kernel nutzen, ohne weitere Anwendungen? Kannst du machen, aber irgendwie habe ich den Eindruck, dass du dich nur wenn sehr oberflächlich damit beschäftigt hast und eine Lösung auf GUI-Ebene erwartest. Was soll dir also "Linux" anbieten?

    Auf der Ebene von Distributionen gibt es beispielsweise Qubes OS oder wie wäre es mit einer dezidierten Appliance? Die Desktopumgebungen haben sich auch nicht zum Ziel gesetzt irgendein Angebot in dieser Richtung zu definieren. Das musst du dir schon selbst konfigurieren und dazu gibt es reichlich Möglichkeiten!

    • 1
      Von Tom Arnold am Mo, 9. September 2019 um 12:30 #

      Das war klar, dass Qubes OS wieder als Gegenbeispiel genannt wird. Aber das habe ich mal probiert und das erfüllt "einfach" und bequem in keinster Weise.
      Ich will einfach die Kontrolle darüber welches Programm eine Netzverbindung aufbauen darf oder meine Location oder oder versendet. Darüber hat man im Moment nicht wirklich einfach die Kontrolle unter alles DEs. Ich möchte gefragt werden wenn ein Programm ins Netz möchte und über welche Netzwerkschnittstelle und sowas sollte schon ins DE einbaut sein, damit das komfortabel ist. Das ist aber bei allen Linux Desktops komplette Fehlanzeige, vielleicht auch weil die meisten User darin offensichtlich (siehe deine Antwort) keinen Sinn drin sehen...

      • 1
        Von throgh am Mo, 9. September 2019 um 13:00 #

        Die Suche nach "komfortabel" und "bequem" bezahlt Mensch aber deutlichst höher: Du hast doch eben Möglichkeiten und entsprechend ist eine solche Möglichkeit, welche du dir hier wünschst, dann auch die allseits fehleranfällige "Dekstop-Firewall", richtig?

        Ich hatte doch bereits erste Alternativen benannt und ergänze gerne noch:

        - Kombination von Prioxy und Tor für den Einsatz im Webbrowser?
        - Verwendung eines entsprechenden Router mit OpenWRT, welchen man selbst ergänzen und erweitern kann? Oder auch IP-Fire?
        - iptables und GUFW?

        Und du möchtest das auf der Ebene der Desktopumgebung eingesetzt wissen? Dabei wäre doch weit vorher bereits Bedarf: Warum willst du erst Daten quasi Einlass gewähren und sie nicht direkt blockieren, also nur selektieren?

        • 1
          Von Ghul am Mo, 9. September 2019 um 19:53 #

          Ich hatte doch bereits erste Alternativen benannt und ergänze gerne noch:

          Du hast keine Alternativen genannt, sondern nur Hacks.

          Also Bastellösungen um mit viel Gebastel, das gewünscht irgendwie doch hinzukriegen.

          Der TS hat allerdings Recht und anstatt ihn zu unterstützen, greifst du ihn mit Hacks an, weil du dein Linux verletzt fühlst.
          Das ist übrigens eines der wesentlichen Phänomene in der Open Source Community, man ist nicht offen für neues, sondern verteidigt den Ist Zustand des bestehenden, als hätte man zur Blasphemie aufgerufen.
          Du musst umdenken und du solltest lernen umzudenken.

        1
        Von Axel VOSS am Mo, 9. September 2019 um 13:15 #

        Du bist nicht in der Lage eine Firewall zu installieren und auch eine entsprechende Konfiguration vorzunehmen, aber möchtest durch eine geeignete Software gefragt werden ob sie ins Netz darf? Du willst also sagen, dass du in der Lage bist zu beurteilen ob eine Anwendung sich korrekt verhält oder nicht, naja. Kleine Empfehlung - Firewalld und URW können entsprechend eingerichtete Profile nutzen, man muss sich da halt nur mit beschäftigen. Ein Programm kann nur etwas versenden, wenn auch der entsprechende Port dafür offen ist und welche Ports offen sind bzw. durch welches Programm diesen nutzt, dafür gibt es genügend Software.

        Gegenfrage:

        Du erlaubst einer Software per Mausklick das Sie ins Netz darf, dann kommt ein Update und die Software verhält sich beim Umgang mit deinen persönlichen Daten anders, wie willst du das bemerken?

        Mal so am Rande, die Analyse von Netzwerkverkehr machst du nicht einfach mal so, wer so etwas behauptet ist schlicht unseriös. Sicherheit ist im übrigen zur Zeit nicht bequem, unter keinem Betriebssystem, du suchst etwas, was unter Windows XP als Schadensbegrenzer eingeführt worden ist, der Rest ist Geschichte. Sicherheit ist immer mehrschichtig und benötigt leider sehr viel Fachwissen.

        • 1
          Von Andy_m4 am Mo, 9. September 2019 um 14:09 #

          aber möchtest durch eine geeignete Software gefragt werden ob sie ins Netz darf? Du willst also sagen, dass du in der Lage bist zu beurteilen ob eine Anwendung sich korrekt verhält oder nicht, naja.
          Naja. Ich glaub, das selbst ein unbedarfter Nutzer versteht, das ein Browser ins Internet gehen können muss aber es schon eher Zweifel gibt, wenn plötzlich das "Schreibprogramm" ins Internet will.
          Auf solcher Ebene sind da also selbst vom Laien durchaus schon Entscheidungsfähigkeiten da.

          Man kann jetzt einwenden, das das alles nicht perfekt ist. Richtig. Aber perfekt kriegst Du eh nicht hin. Und es ist immer noch besser, wenn der Nutzer eine weniger effektive Sicherheitsmaßnahme umsetzt als gar keine.

          Was man allenfalls dazu sagen kann ist, das sich der Anwender bewusst sein muss, das die Sicherheitsmaßnahme eher suboptimal ist, damit du nicht den Effekt hast, das sich der Nutzer in falscher Sicherheit wiegt.

          Ein Programm kann nur etwas versenden, wenn auch der entsprechende Port dafür offen ist
          Na lokal darf ein Programm immer einen Port für eine IP-Verbindung aufmachen.
          Klar kannst Du auch hier per-Programm-Filterregeln aufstellen, aber standardmäßig wird das von den diversen Firewall-Skripten nicht gemacht.

          1
          Von Ghul am Mo, 9. September 2019 um 20:03 #

          Hallo Axel Voss, dein Name passt übrigens zu deinem Geschreibsel.

          Kleine Empfehlung - Firewalld und URW können entsprechend eingerichtete Profile nutzen, man muss sich da halt nur mit beschäftigen.

          Das Problem ist hier doch, dass Firewall Regeln an Ports gebunden werden und die Erlaubnis zur Nutzung dieser Ports nicht an die ausführbaren Executables gebunden wird.

          Insofern hilft die beste Firewallregel nichts, wenn sich ein Programm einfach irgendeinen beliebigen Port schnappen kann, der gerade geht und rauswählen lässt.

          Was es hier also bezüglich der Firewall fehlt ist mehr Intelligenz auf der Ebene zwischen der TCP/UDP Schicht und der Anwendungsschicht.
          Und da hat der TS nun einmal Recht.

          Du erlaubst einer Software per Mausklick das Sie ins Netz darf, dann kommt ein Update und die Software verhält sich beim Umgang mit deinen persönlichen Daten anders, wie willst du das bemerken?

          Ich beweise dir, das dies jetzt ein 0 Argument ist.

          Beweisführung:

          Du könntest auch einen Autounfall haben, das Auto schleudert dich auf einen Baum und ein Ast befindet sich in der Flugbahn, der durchbohrt dir den Hintern, so dass er am Auge wieder herauskommt, aber das ist nicht deine Todesursache, sondern der Ast macht durch die kinetische Energie an seinem Ende noch einmal eine Biegung durch Nachbars Katze die auf dem Baum sitzt, die Katze schlägt darauf mit der Pfote auf deinen Kopf und das führt zu inneren Blutungen im Gehirn und wegen denen stirbst du dann.

          Fazit:
          Auf Biegen und Brechen sich was ausdenken, ist keine niveauvolle sinnvolle Antwort, zumal dir die normalen Firewallregeln, die du mit 1000 Stunden Herzblut und 50 h Hirnschmalz bei Vollmond in mühseliger Kleinarbeit zusammengepuzzelt hast, bei so etwas auch nicht helfen.

          Also ein 0 Argument.

          D.h. natürlich kann so etwas vorkommen, aber dagegen hilft weder die normale FW Regel noch eine dauerhafte Freischaltung von Anwendungen für den Zugriff auf bestimmte Ports.
          Es ist einfach eine windschiefe Argumentation um doch irgendwie dagegen gröhlen zu können.

        1
        Von Tamaskan am Mo, 9. September 2019 um 13:26 #

        Du könntest bei Fedora Silverblue fündig werden. Das ist noch in der Entwicklung, aber es setzt stark auf SELinux und Flatpak für die Anwendungen, das heißt jede Anwendung läuft erst mal in einem Container und muss sich Berechtigungen beim Benutzer einholen z.B für Netzwerk oder um die Webcam einzuschalten. Dann erscheint auch ein entsprechender GUI-Dialog.

      0
      Von Andy_m4 am Mo, 9. September 2019 um 14:00 #

      beispielsweise Qubes OS
      QubesOS ist nett, dürfte aber viele Benutzer mit seinem Domänenkonzept schlicht überfordern.
      Auf der Implementierungsseite ist QubesOS mit seinen ganzen VMs auch recht komplex und da Komplexität der natürliche Feind von Sicherheit ist, sehe ich das etwas zwiegespalten.

      • 1
        Von throgh am Mo, 9. September 2019 um 14:08 #

        Ändert aber nun einmal wenig daran, dass es durchaus Möglichkeiten gibt und die Forderung nach einer einfachen, bequemen und allumfassenden Lösung nicht funktioniert. Das Gegenteil: Am Schluss entsteht ein deutlich verzerrtes Bildnis in Sachen "Sicherheit".

    1
    Von 1ras am Mo, 9. September 2019 um 14:06 #

    Das ist der komplett falsche Ansatz.

    Das von dir beschriebene ist sinnvoll als Workaround für ein System welches man nicht im Griff hat, wie z.B. Android. Nicht umsonst gibt es dort auch entsprechende Angebote.

    Von einem Open Source System erwarte ich hingegen, dass es mit exakt garnichts kommuniziert, so lange ich es nicht explizit gesagt habe.

    Die einzige Ausnahme von dieser Grundregel sind Programme deren primäre Funktion auf eine bestimmte Kommunikation angewiesen ist, welche aus dem Zweck des Programms eindeutig hervorgeht und dadurch erwartbar ist. Die Kommunikation hat also für die primäre Funktion des Programms zweckgebunden zu sein. Beispielsweise kann man von einem Programm zur Zeitsynchronisation erwarten, dass es mit einem oder mehreren NTP-Servern kommuniziert.

    Dieser Beitrag wurde 1 mal editiert. Zuletzt am 09. Sep 2019 um 14:08.
    1
    Von Ghul am Mo, 9. September 2019 um 20:29 #

    Du hast Recht.

    Leider fehlt es an der entsprechenden Infrastruktur um so etwas umsetzen zu können.

    Was notwendige wäre, wäre eine Firewall, die sowohl die UDP/TCP Ports überwacht, als auch sich an die Executables von Anwendungen binden kann um denen dann Rechte einzuräumen, die sich die Anwendung holen muss.

    Wie das ablaufen könnte, wenn man so etwas richtig implementiert, könnte z.B. so aussehen:

    Die Anwendung stellt beim Kernel und dessen FW Infrastruktur eine Anfrage, und gibt dabei zur Anzeige, über welche Ports sie rauswählen will, und mit welcher IP Adresse sie sich verbinden will oder dass sie fragt nach den Rechten, um einfach auf eingehende IP Anfragen antworten zu dürfen.
    D.h. die Anwendung sagt der FW, was sie machen will und welchen Port sie dafür benötigt usw..
    Die FW prüft darauf eine Rechteliste, ob die Anwendung bzw. das Executable des Programms in der Liste schon drin steht, und ob die Anfragen bezüglich Port, IP Adresse, Protokoll usw. mit dem übereinstimmt, was schon freigegeben wurde.
    Wenn das der Fall ist, wird noch der Hash der Executable überprüft und dann mit dem hinterlegten Wert in der Liste verglichen. Passt dieser, dann wird die Anfrage freigegeben und das Programm darf die Netzwerkverbindung aufbauen.
    Damit das nicht bei jeder Anfrage ewig dauert, gibt's natürlich noch nen temporären Cache, bei dem sich die FW das alles merkt und der Ablauf dann schneller gehen kann.

    Falls die Anwendung nicht in der Liste steht, dann wird ein Nutzerdialog aufgepoppt oder dem Admin in den Logs eine Meldung geschickt, so dass der Admin diese Anfrage auch noch später nutzerweit freigeben kann.
    Der Nutzerdialog fragt mit Adminrechten in einer sichern Umgebung, vergleichbar dem UAC von Windows und eventuell Implementierbar mit Wayland den Nutzer dann um Erlaubnis.
    Der Nutzer kriegt dann den Namen der Anwendung, dessen Executable, Pfad und Hash und die Art der gewünschten Verbindung, also Port Nummer, IP Adresse, evenutell noch das Protokoll, TCP, UDP usw. präsentiert und kann dann auf dauerhaft akzeptieren oder einmalig akzeptieren klicken und das absegnen oder verneinen.
    Wird es verneint, dann landet es in den Logs für den Admin, so dass der so eine Art von Anfrage noch einmal dauerhaft freigeben könnte.

    Das ganze muss allerdings so funktionieren, dass, wenn eine Freigabe erfolgt ist, man noch eine weitere globale Filterkette dazuschalten kann.
    Denn vielleicht will man alle IP Adressen aus China sperren, z.B. wenn es ein Gameserver wäre.


    So könnte man das machen und die Sicherheit dadurch deutlich erhöhen.
    Das Problem ist nun aber, dass es bereits jetzt einen riesen Berg an Software gibt, der davon ausgeht, dass er den Port einfach nutzen kann.
    D.h. diese ganze alte Software könnte dann vielleicht nicht mehr richtig funktionieren.
    Wobei man aber sagen muss, dass Software normalerweise prüft, ob es rauswählen kann und wenn nicht, dann heißt es halt Verbindungsaufbau gescheitert.
    Eine für diese neue Infrastruktur ausgelegte Software könnte aber auch dem Nutzer melden, dass der Verbindungsaufbau gescheitert ist, weil die Rechte dafür fehlen.

    0
    Von Verfluchtnochmal_5987108 am Di, 10. September 2019 um 04:48 #

    Was verflucht nochmal hat der Paketfilter im Desktop zu suchen?

    • 0
      Von Ghul am Di, 10. September 2019 um 05:25 #

      Es ist dein Fehler, weil du ihn absichtlich nicht verstehen möchtest wie er es gemeint hat.

      • 0
        Von Verfluchtnochmal_5987108 am Di, 10. September 2019 um 15:11 #

        Nö, es ist sein Fehler so wenig Wissen zu haben um zu realisieren dass es aktuell schlichtweg keine Infrastruktur gibt die iptables in Kontext zu binaries setzt geschweige denn entsprechende Event handler um eine entsprechende Rückfrage überhaupt zu realisieren, zwischenzeitlich zu droppen und finally eine dauerhafte rule zu setzen

        Also auf Basis was soll denn das kde Projekt seine feuchten Träume umsetzten können?

        • 0
          Von Ghul am Mi, 11. September 2019 um 02:51 #

          Anwender machen grundsätzlich keine Fehler, wenn sie wünsche äußern.

          Es liegt an den Entwicklern zu verstehen, was sie meinen und sich dann zu überlegen, wie man das umsetzen kann.
          Ich habe dir eine Möglichkeit genannt, während du nur auf der Stelle stehst und sagst "geht nicht.".
          Mein Tipp an dich, werde niemals Unternehmer, du hast nicht das Zeug dazu. Beamter würde wahrscheinlich gehen, da hast du deine Vorgesetzten, du musst nicht selber denken und nur machen was man dir aufträgt.

1
Von Josef Hahn am Mo, 9. September 2019 um 12:56 #

> Diese Stärke freier Software soll laut Venerandi künftig besser organisiert werden. Er weist darauf hin, dass Inkonsistenzen nicht nur im Design von Anwendungen, sondern auch in deren Eigenschaften zu finden sind. Tabs zum Beispiel seien beispielsweise bei Falkon, Konsole, Dolphin und Kate jeweils unterschiedlich implementiert [...]

Ja! Es gibt sie noch! Die Leute, die nicht aufgekratzt nach der Integration des nächsten Cloud-Dienstes schreien, sondern was sinnvolles tun! Und ja, Inkonsistenzen bekämpfen ist eine super Sache. Wenn man sie hier in den Kommentaren man benennt, kommt (Überraschung!) eher Stuss... Die Leute wollen dann alle wieder nicht verstehen, was man meint; und überhaupt, bei denen ist alles supi... :)

Aber bitte bitte lasst das kein Euphemismus gewesen sein für "Gnome OS", mit CSD uns allem pi pa po, so die Anwendungen dann außerhalb von KDE so garnicht mehr reinpassen...

  • 0
    Von Andre am Mo, 9. September 2019 um 13:07 #

    >> Er weist darauf hin, dass Inkonsistenzen nicht nur im Design von Anwendungen, sondern auch in deren Eigenschaften zu finden sind. Tabs zum Beispiel seien beispielsweise bei Falkon, Konsole, Dolphin und Kate jeweils unterschiedlich implementiert [...]

    Schön das die Entwickler das nach 15Jahren kritik auch selbst mal bemerken.

    Gleich ein konkreter Vorschlag:
    Systemsteuerung > Bildschirmauflösung ist 0.0 intuitiv, auch sollte man solch ein Fenster so designen das es bei kleiner Auflösung (640x480) noch bedienbar ist.

    Weiterer konkreter Vorschlag zur Verbesserung:
    ALT TAB > Maus auf den linken TAB-Bereich schieben, so das Task X blau unterlegt wird. Dann das Mausrad 1x drehen. Es wird nicht der folge Task markiert, sondern erst ab dann folgende Mausrad Drehungen.

    • 0
      Von Andre am Mo, 9. September 2019 um 14:40 #

      aber bei aller kritik ... ich freue mich - kde/plasma5 macht zunehmend sichtbare positive fortschritte !

      • 0
        Von Bert am Di, 10. September 2019 um 06:05 #

        Dem kann ich uneingeschränkt zustimmen!

        Ich bin Anfang 2017 von KDE 4 auf KDE Plasma 5 gewechselt, und nutze es mit wachsender Begeisterung! Zur Zeit das aktuelle Plasma LTS, das heute einen Upgrade auf Version 5.12.9 bekommt.

      1
      Von Ghul am Mo, 9. September 2019 um 20:42 #

      Gleich ein konkreter Vorschlag:
      Systemsteuerung > Bildschirmauflösung ist 0.0 intuitiv, auch sollte man solch ein Fenster so designen das es bei kleiner Auflösung (640x480) noch bedienbar ist.

      Von mir kommt auch noch ein Verbesserungsvorschlag.

      Die Bildschirmauflösung und der Monitoreinstellungsdialog sollte sich auch direkt vom Desktop aufrufen lassen.
      Denn es kann sein, dass der Bildschirm mit dem Panel ausgeschaltet ist und man so erst gar nicht zur Systemsteuerung kommt um die Auflösung auf dem Zweitmonitor, der an ist, einzustellen.

      Windows macht es da besser.
      Solche Einstellungen sind bei Windows gleich über per Rechtsklick irgendwo über der Arbeitsfläche des Desktops erreichbar. Nur bei KDE ist das nicht so.
      Da braucht man das Panel oder muss den Keyboard Shortcut und Programmname wissen, um die Einstellung vornehmen zu können.

    1
    Von Ghul am Mo, 9. September 2019 um 20:39 #

    Und ja, Inkonsistenzen bekämpfen ist eine super Sache. Wenn man sie hier in den Kommentaren man benennt, kommt (Überraschung!) eher Stuss... Die Leute wollen dann alle wieder nicht verstehen, was man meint; und überhaupt, bei denen ist alles supi...

    Ganz deiner Meinung.

    Das ist eben dieser Fanatismus, den einige Linux User Zutage legen.
    Da kann man mit guter berechtigter Kritik oder einem Verbesserungswunsch kommen und dann fühlen die sich gleich angegriffen, weil sie nicht verstehen, dass es noch besser als der Istzustand sein könnte, wenn sie nur zuhören würden.
    Also der typische Beißreflex.

    • 0
      Von tomkater68 am Di, 10. September 2019 um 09:23 #

      weil sie nicht verstehen, dass es noch besser als der Istzustand sein könnte, wenn sie nur zuhören würden.

      Das verstehen die schon. Die machen das aber in ihrer Freizeit und bekommen dafür keinen einzigen Cent und daher entscheiden die auch völlig zu Recht alleine, woran sie arbeiten und woran nicht. Ihr aber führt euch auf, als ob ihr den freien Entwicklern gegenüber weisungsbefugt wäret und wenn ihr euren Willen nicht bekommt, dann sind die Entwickler fanatisch, arrogant, inkompetent und viele andere unschöne Dinge.

      Wenn euch das alles nicht schnell genug geht oder nicht gut genug ist, dann nehmt es selbst in die Hand. Und wenn ihr das nicht könnt oder wollt, dann nehmt Geld in die Hand und beauftragt einen Entwickler mit der Realisierung. Der tut dann tatsächlich genau das, was ihr wollt. Das ist allemal zielführerender als das kindische 'Ich will, ich will, ich will' Gepolter,

    0
    Von Lufthans am Di, 10. September 2019 um 05:25 #

    Fairerweise muss man aber auch einfach sagen, dass der große Monopolist im Desktop-Bereich so ziemlich das inkonsistenteste OS, das überhaupt existiert, vertreibt. Da kommt man von der Touch-UWP-App, die erstmal 5 Sekunden zum Starten braucht, ganz schnell zu irgendwelchen Einstellungsfenstern, deren Code wahrscheinlich seit 20 Jahren nicht mehr angefasst wurde.

    Also wenn man das als Messlatte hernimmt, dann ist KDE eben doch schon in einer extrem guten Position.

0
Von Atalanttore am Mo, 9. September 2019 um 22:33 #

Die KDE-Entwickler müssten dazu nicht mal einen Fehler beheben. Also sollte es selbst für KDE machbar sein.

Pro-Linux
Gewinnspiel
Neue Nachrichten
Werbung