[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]:Zeitschrift: Linuxer sind Kulturverweigerer!

At 12:51 22.05.2000 +0200, Bernd Brodesser you wrote
--------> This was the original Message:
>* Jens Benecke schrieb am 22.Mai.2000:
>> On Sun, May 21, 2000 at 01:47:10PM +0200, Stefan Nobis wrote:
>> > Jens Benecke <jens@pinguin.conetix.de> writes:
>

<geschnippelt>

>> Das letzte was ich mitbekommen habe, (und ich lese u.a. bugtraq) war ein
>> Hack von PAM, der die UID und das Passwort eines jeden sich anmeldenden
>> Users an eine Hotmail-Adresse schickte. Lebenszeit: 2h58min :-) danach war
>> das Teil runter, der Entwickler hatte via PGP&MD5 eine neue Version oben,
>> der FTP server war dicht und alle Mirrors waren updated.
>
>Und alle Anwender haben dann auch das neue Teil gezogen? Das ist doch
>das Problem. Noch nicht mal hier. Da war ein verseuchtes Teil ja nur
>knapp drei Stunden auf dem Server. Vielmehr bei Bugs. Software mit
>Bugs liegen viel länger auf den Servern. Viele User und auch Sysadmins
>ziehen sich diese Teile runter, oder Distributoren pressen es auf CD.
>
>Wenn es denn zu einem Fix kommt, dann holen es doch nur die wenigsten
>ebenfalls herunter. Oder kontrollierst Du all Deine Pakete, ob sich da
>nicht was getan hat?

Das ist richtig und hier in Strasbourg haben ettlich die Debian-CD's 
v2.1 und bringen ihre Kisten zum Updaten zu mir. Da werden plötzlich 
bei einem apg-get update hunderte (!!!) von Packeten upgedatet...

Bin ich froh, das ich einen sich ständig aktualisieren Mirror von SLINK 
und POTATO habe.

Wir habe hier Sachen gefunden, die kein normaler Endanwender wissen kann.

Also bleiben viele Bugs und sicherheitslücken bestehen.

>Ein Angreifer mit Ideen kann es ausnutzen. Vielleicht erkennt er ja
>auch einen Bug, der noch keiner sonst gefunden hat. Das ist bei OSS
>jedenfalls leichter als bei Closed-Source-Software.
>
>> > Damit hat man letztlich also ein viel unsicheres System als bei
>> > closed-source.
>
>Das würde ich so allerdings auch nicht sagen.

;-))
Ich denke, das "Angreifer" bei OSS nicht allzugroße Erfolge nachweisen 
können. Alledings bin ich auch der Meinung, das Linux-Newbies auf 
derartige Sachen strickt hinzuweisen sind !!! Ein Newbie der einfach 
mal Linux installiert, weil in der XX-zeitung stand, das es viel sicherer 
ist ist schon am arsc...

Ich habe bis jetzt noch keinen Linux-Artikel gelesen, in dem stand, das 
der Sicherheitsstandard NUR aufrechterhalten werden kann, wenn man sich 
auch auf den Richtigen Servern laufend informiert.

Wenn ich nur jedes jahr einmal ein Update machen will, kann ich auch 
MS-Produkte verwenden die ja schliesslich auch nur alle 6-12 Monate ein
Servivepack bekommen.

Mir sind allerdings 6-12 Monate entschieden zu lang.
Ich will nicht mehr als einen Monat haben.

>Ja, z.B. das Windows auf dem Heimanwender-Markt viel weiter verbreitet
>ist als Linux oder ein anderes OSS-System.

Und MS-Workstationen werden in den meisten Fällen als Einzelplatzsysteme
installiert, während Besitzer von Linux-Workstationen wesentlich mehr 
daraus machen... inclusive Internet-Anbindungen.

Ich kenne mindestens 50 mal mehr Windows Benutzer die kein Internet 
haben als Linux Anwender... Ettliche der mir bekannten Linuxanwender, 
die noch keinen Internet-Account hatten habe ich zu http://www.fnac.fr/
gebracht, einem Der größten Kaufhausketten in Frankreich, die seit 
leztem Jahr kostenlose E-Mails und Internet-Accounts zum Ortstarif 
anbietet. 

jetzt mach Linux plötzlich spaß !!!

Französiche mailing listen, updates und Software gigabyte weise...
Nur die Telefonrechnung und wartezeit...

Aber dafür gibt es ja Freunde und Bekannte mit CD's und lokalen mirrors...

>> Das erkennen mittlerweile selbst die dt. Politiker: NUR offener Quelltext
>> GARANTIERT dir, daß das Programm was Du einsetzt, auch das tut, was es soll
>> und weder Bugs noch Lücken noch Trojaner enthält.
>
>Ja, das gilt aber nur, wenn man es überprüft. Ich hoffe sehr, daß im
>Verteidigungsministerium Experten sitzen und die Software, die über
>den Start von Atomraketen wacht, sehr, sehr genau überprüft.

Wie was ???
Ist mir da was entgangen ???
ich wußte zwar, das ein ein deutsches Atomwaffen-Forschungsprogramm gab, 
aber das wir mittlerweile Atom-Raketen besitzen...

>> > Ich stelle mir das mal gerade fuer XEmacs vor: Da brauche ich ja Monate,
>> > um ueberhaupt einen Ueberblick zu bekommen.
>> Du, ja.

Ich noch lääääääääänger...

>> > blauaeugig zu behaupten, OSS waere automatisch besser oder sicherer.
>
>> Nicht wenn der Anwender die Vorteile auch nutzt. Klar. Wenn jemand

Kennt er denn die Vorteile alle ???
jemand der eine Linux-Cd in einem xbeliebigen Magazin findet...
s.o.

>> absichtlich einen wu-ftpd von vor zwei Jahren installiert, ist es kein
>> Wunder, wenn er irgendwann geDOSt und dann gehackt wird.

So ein verdammtes Teil war auf eine der CD's die ich hatte.
Mittlerweile rate ich allen von diesen CD's ab.

Und das ist begründet !!!

>Er braucht doch bloß zwei Jahre nichts zu machen. Das reicht doch.
>Ständig neue Software aufspielen birgt auch ein Risiko.

s.o.

>> Solange keiner reinguckt, richtig. Nur ist das leider (GOTTSEIDANK!)
>> überhaupt nicht die Praxis.
>
>Ach Du schaust immer in den Quelltexten?

zur Zeit arbeite ich mich in die C-Programmierung unter Linux ein und 
habe in einem Source-Packet das ich für meine Dos-Applikationen 
verwenden wollte einen Bug gefunden... DURCH ZUFALL !!!

>Es muß doch mal endlich definiert werden, um welche Sicherheit es
>geht. Sicherheit vor eigener Dummheit, vor Naturkatastrophen oder um
>Sicherheit gegenüber Angreifer. Bei letzteren muß man unterscheiden
>zwichen Angreifer von Innen und Angreifer von Außen. Bei beidern
>wiederum zwichen bewußte Angriffe, oder um Dummheiten. Bei bewußte
>Angriffe muß man unterscheiden nach dem Ziel. Soll nur zerstört werden
>oder Code verändert werden oder ausspioniert. Wenn Code veränder
>werden soll, dann muß weiter gefragt werden aus welchen Zweck. Um ein
>Virus zu installieren, oder um zu denunzieren oder was weiß ich.
>Außerdem muß gefragt werden, soll vor Spielkiddies geschützt werden,
>die ja keinen unerheblichen Schaden veranstalten können, sieh ILOVEYOU
>oder soll vor ausländische Dienste geschützt werden, die mit einem
>unglaublichen Potetial von Manpower angreifen.
>
>Je nachdem, um was es sich dreht kommt man zu anderen Lösungen.

Da kann ich NUR zustimmen

>Bernd

Michelle

-- 
Don't cc: me on mailinglists, I'm subscribed, if I write there.
----------------------------------------------------------------------------
Linux rebootet man in drei Fällen: 
Neuer Kernel, neue (Board-)Hardware, Stromausfall....

Aber Windows rebootet man auch in drei Fällen: 
Schutzverletzung, Bluescreen, keinen Bock...

------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     737
Reply to: