Re: Stable unsicher?

To: debian-user-german@lists.debian.org
Subject: Re: Stable unsicher?
From: Michelle Konzack <linux4michelle@freenet.de>
Date: Sun, 18 Apr 2004 11:25:49 +0200
Message-id: <[🔎] 20040418092548.GD580@freenet.de>
In-reply-to: <[🔎] 200404181035.38664.jluehr@gmx.net>
References: <[🔎] 005c01c4239b$9c57cf80$6501a8c0@faramir> <[🔎] 200404172213.45384.jluehr@gmx.net> <[🔎] c5s5pr$vo3$1@sea.gmane.org> <[🔎] 200404181035.38664.jluehr@gmx.net>

Moin, 

Am 2004-04-18 10:35:38, schrieb Jan Lühr:
>ja hallo erstmal,...

>> Sollte vielleicht, aber ist das praktikabel? Ich sehe die Linux-Nutzung
>> aus reiner Anwendersicht. Man ist nicht ganz unerfahren in der
>> IT-Umgebung, sucht sich das passende OS für seine Ansprüche - und wählt
>> Debian stable. Das allerdings *neben* seinem full-time-Job unbd *hinter*
>> seinem Privatleben. Da bleibt nicht allzu viel Zeit übrig.

Keine Zeit für sicherheit ?
Da kannste auch bei Windows bleiben...

>Ehm... sicher. Die Frage ist nur: Wieiviel ist praktikabel. Wenn ich mir die 
>Systemsicherheit ansehe, so ist ein veralteter mozilla zwar ein Problem aber 
>kein Grundsätzliches.

Ebend. Und wer EIN BISCHEN die debian-user-german ließt, 
der weis das er hervorragende mozilla-backports bekommen kann.

>Btw, der mozilla ist ein Einzelfall. Kaum irgendwelche Pakete in Woody haben 
>einen RC-Bug mit einem gesetzten security-flag.

Alle gravierenden Bugs wurden in kürzester Zeit behoben.
(Gibt zwar noch ein paar andere Ausnahmen, aber da erreiche 
ich weder den Upstream noch den Debianmaintainer)

>> Ich behaupte mal, nur diese Liste mehr oder wenig vollständig zu
>> verfolgen, ist dem 0-8-15-User (schon aus Zeitgründen) kaum zuzumuten.

Es reicht, die Subjects zu überfliegen.

>Ok, aber der 0-8-15 Nuzter wird mit stable auch kaum Glücklich werden. Dieser 
>Nutzer schiebt sich alle 4-6 Monate die neueste Knoppix aus der c't auf seine 
>Platte und fertig ist.

Kommt darauf an, was für einen Nutzer du hast. 
Habe gestern meine Debian-Woody-Live-CD fertig bekommen...
Bin seitdem am testen.

Verwende kein iso9660 sondern ext2 ;-)
Krieg mal erst openoffice.org1.1, mozilla und x-window-system 
auf 650 MBytes. 

>> Ich versuche es immerhin noch. Aber zu mehr ist einfach keine Zeit! Als
>> sicherheitsbewusster Anwender habe ich ja Debian stable gewählt und
>> fühlte mich da bisher recht sicher. 
>
>Genau das ist das Problem. Es heißt Debian stable - und auch wenn es mir 
>Margenkrämpfe bereitet, zitiere ich mal meine Polemik: 
>"ick the package out of stable, testing
>and unstable!

Was bedeutet, das Du STABLE installierst und wenn irgendwas aus TESTING 
oder UNSTABLE hervorragend funktioniert, mußt Du entscheiden, ob Du es 
haben willst oder nicht. 

>Being in stable implicies security, which is NOT provided."
>in einem anderen Thread

Bedingt richtig...

>"Well, I pointed out that there is not real alternative. Imho the current
>release policy doesn't support the creation of a secure distribution.
>"

Das ist ebenfals bedingt richtig.

Glücklicherweise gibt es genug Maintainer die regelmäßig Updates 
von Backports liefern. Ich selber muß pro Woche rund 4-8 Pakete 
neu kompilieren weil irgendweilche Fehler in TESTING und UNSTABLE 
behoben wurden...

Ich will nicht sagen das es zwischen TESTING und STABLE einen 
neuen Zweig geben soll, aber von allen Paketen werden ja auch keine 
Backports benötigt, sprich, Server wie <http://www.backports.org/>
sind vollkommend ausreichend, soweit die Backporter nicht zuviele 
libs aus TESTING/UNSTABLE hinterherziehen (z.B. libfreetype6)

>Das Problem ist einfach, dass es Debian stable ist und stabil hier auch für 
>Sicherheitslöcher gilt. Ja, es gibt Alternativen (http://www.openwall.com)

Glücklicherweise...

>Wie kommst du auf diese Idee? Gravierende, ungepatchete Sicherheitslöcher gibt 
>es viele, entdeckte kaum welche, und gefixte auch viele.

Aber fast alles was gefunden wurde ist auch behoben worden.

>Das debian-Security team macht einen guten Job, jedoch nicht gut genug im 
>relese-cyclen von 3-4 Jahren auszugleichen.

Wieso 3-4 Jahre ? ich habe 03/1999 mit SLINK (2.1r2) angefangen 
und wir stehen vor WOODY 3.0r3. Ich sehe da keine 3-4 Jahre !

Habe die WOODY 3.0r0 im Juni 2002 gekauft und SARGE soll ja diese 
Jahr auch noch rauskommen. Also sind es rund 2 Jahre.

>Solche release-cyclen machen keinen Sinn, wenn sie dazu führen, dass man keine 
>patches mehr aus dem upstream fischen kann - Wie bei mozilla gesehen. Von 
>daher zählt Debian _stable_ für mich zu den  unsichersten, ernstzunehmenden 
>Linux Distributinen überhaupt - wohl aber zu den stabilsten.

Du hängste es jetzt am Mozilla auf !
Denn kann man überall als Backport herunterladen. 
Ich habe auch die Binaries von 1.7 installiert gehabt...
Also was da an Fehlern behoben werden... 
Mittlerweile habe ich die 5te oder 6te version davon...

Wenn $USER aber Mozilla 1.6 verwendet bekommt er auch die 
lezten security updates... 
Ich jedenfals hole mir die lezten Updates von backports.org.

>Nicht immer bedeutet älter auch ausgereifter. 

Auch richtig...

Greetings
Michelle

-- 
Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/

Reply to:

Follow-Ups:
- Re: Stable unsicher?
  - From: Jan Lühr <jluehr@gmx.net>

References:
- Stable unsicher?
  - From: "Wilhelm Kutting" <w.kutting@gmx.de>
- Re: Stable unsicher?
  - From: Jan Lühr <jluehr@gmx.net>
- Re: Stable unsicher?
  - From: Rüdiger Noack <ernohl@yahoo.de>
- Re: Stable unsicher?
  - From: Jan Lühr <jluehr@gmx.net>

Prev by Date: Re: webCDwriter
Next by Date: Re: test
Previous by thread: Re: Stable unsicher?
Next by thread: Re: Stable unsicher?
Index(es):
- Date
- Thread