Hallo noch einmal zu dieser Debatte..meine Sicht der Dinge ist die, dass der einfache Desktop-User - ohne Erfahrung in Systemprogrammierung und -Administration / ohne viel Musse, um sich umfangreiche Expertise anzueignen - ueberfordert ist mit der Bedrohungssituation.
Allein zu einem Ueberblick, einer Einschaetzung des bestehenden Bedrohungsszenarios zu kommen, ist eine Ueberforderung. Wer hat den Ueberblick ueber saemtlich potenziellen Sicherheitsluecken (und ich meine nur die im Rahmen gaengiger Anwendungen / einschlaegig genutzter Software) ?
Es gibt heute kaum noch eine dieser Sicherheitsluecken, bei der das konkrete Risiko ihrer Nutzung wirklich zu vernachlaessigen ist.
Dass System- / Serveradministratoren hier am Ball sind - keine Frage, das ist ihr Job. Fraglich ist dabei, ob ihr Know-How den Weg findet zu den Debian End-Usern (ob diese nicht ueberfordert sind von der Komplexitaet der Analyse). Fraglich ausserdem, inwieweit die Risiken der Desktopnutzung dabei Beruecksichtigung finden.
Was ich mir als Loesungsansatz vorstellen / wuenschen wuerde, ist ein Wiki oder Web-Forum mit dem Ansatz, saemtliche Risiken aufzulisten und diese im Einzelfall zu diskutieren. Damit haette der Debian-End-User die Moeglichkeit, sich diesen Ueberblick ueber die Bedrohungslage zu verschaffen und auf den jeweils aktuellen Stand der Diskussion einzusteigen / aktuelle Loesungen umzusetzen.
Ein anderer Weg waere eine Software, die das Risikomanagement uebernimmt und sich jeweils mit Updates zum aktuellen Bedrohungsszenario versorgt. Moeglicherweise gibt es hier schon irgendwas Zielfuehrendes, von dem ich bisher keine Kenntnis habe.
Meine Hauptsorge gilt derzeit Rootkits, Trojanern und aehnlicher Malware, die sich versteckt als daemon / Serverdienst installieren und die Tore nach aussen oeffnen, ohne dass ich davon ueberhaupt erfahre. Sicher gibt es leistungsfaehige Tools fuer die Sicherheit unter Linux / Debian. Die Schwachstelle besteht vielfach in der mangelnden usability / der Benutzerschnittstelle, dem Risiko der falschen / unzureichenden Bedienung z.b. aufgrund eher kryptischer Dokumentation. Darueberhinaus: ohne einen ausgebauten Ueberblick der Bedrohungslage, der kontinuierliche Updates braucht, landet man schnell am unteren Limit.
Ich kann mich im Uebrigen durchaus hineinknien in ein Sicherheitsthema und es gruendlich bearbeiten. Nur fehlt mir dann diese Zeit fuer die eigentliche Arbeit, die ich auf dem Zettel habe. Und nachdem ich EIN Sicherheitsthema gruendlich bearbeitet habe, liegen 12 andere noch vor der Tuer.
Ein einigermassen uebersichtlich organisiertes Wiki / Forum zur Sicherheitsproblematik oder Software zum Risikomanagement wuerde m.E. eine erhebliche Erleichterung bringen, so dass ich mir am Wochenende vielleicht doch noch 1 1/2 Stunden freischaufeln kann zum Grillen am Strand o.dergl.
Gruss / GW Ansgar Burchardt schrieb:
Hallo! Markus Schulz <msc@antzsystem.de> writes:Auf SSL warte ich schon recht lange, verstehe da auch das Problem nicht so recht, die CA könnte Debian sich ja selbst erstellen und das/die Stammzertifikate/kette ja als Paket auch mit ausliefern.http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attack s-on-package-managers.htmlWo wartest du auf SSL? Bei der Kommunikation von apt-get mit dem Mirror? Wenn ja, welche Vorteile soll das bringen? Und für welche Parteien sollte Debian dann Zertifikate ausstellen? An jeden der einen Debian Mirror betreibt (also praktisch an jeden der fragt)? Ich sehe den Nutzen nicht. Veränderungen können ja jetzt schon nicht stattfinden, das einzige Problem wären veraltete Release-Informationen, aber wie soll SSL da helfen? Grüße, Ansgar