<SPAM?> Re: [wos] wos3: Inhalte

[Erik Moeller]

Am Don, 2003-03-27 um 17.19 schrieb Florian Cramer:

Ich weiß nicht genau, was das mit WOS zu tun hat, aber:

> Den Vogel aber schießt der ptrace-Bug ab, der in allen aktuellen
> Linux-Kernels von 2.2.0 (mit Ausnahme des neuen 2.2.25) bis zum
> aktuellen 2.4.20 steckt. Dieser Fehler ermöglicht es jedem lokalen
> Benutzer, root-Rechte auf dem System zu erhalten. Einen fertig
> kompilierbaren, laienfreundlichen Exploit dafür gibt es auch schon.
> Es gibt aber, nach über einer Woche, immer noch keinen korrigierten
> 2.4.x-Kernel - eine unfaßbare Fahrlässigkeit, die für mich den
> 2.4.x-Maintainer Marcelo Tossati endgültig diskreditiert.

Das ist in der Tat übel, hier wird die Verantwortlichkeit mal wieder auf
die Distributoren abgewälzt. Immerhin hat Red Hat mit up2date sehr
schnell reagiert. Das ist gleichzeitig auch die verbreitetste Distro. 

> Zugegebenermaßen ist die Fehlerliste in dieser Woche besonders
> schlimm; dennoch: jeder Desktop-Linuxer dürfte von einem der
> o.g. Bugs betroffen sein, und vom ptrace-Bug mit nahezu 99prozentiger
> Wahrscheinlichkeit.  Wäre Linux das Standard-Desktopbetriebssystem der
> Massen, brächen jetzt lustige Zeiten an. Die o.g. Bugs in Evolution und
> mutt würden ausreichen, um Linux-Kisten massenhaft mit E-Mail-Würmern
> zu attackieren.

Das stelle ich mir schwierig vor, da die verwendete Software von System
zu System so dramatisch unterschiedlich ist. Der Linux-Desktop ist keine
Monokultur, die Diversifizierung ist weitaus größer als bei anderen OS.
Schon deshalb ist eine auf OSS basierende Infrastruktur prinzipiell
sicherer: Jeder verwendet was anderes. Für Wurm-Autoren ein Alptraum.

Davon abgesehen muss jede Software-Infrastruktur regelmäßig aktualisiert
werden, möglichst transparent für den Anwender und gesichert über
digitale Signaturen. Bei Debian (noch keine Sigs) und Red Hat geschieht
das bereits, bei SuSE mit Einschränkungen. Eine Distro, wo der Anwender
selbst Kernel-Patches einspielen muss, ist m.E. nicht für den
Massenmarkt ernstzunehmen.

> Exakt, aber womöglich 1 1/2 Jahre zu warten, bis ein Treiber für eine
> neue Hardware stabil in den Kernel integriert ist, verträgt sich nicht
> mit den Erwartungen an ein Mainstream-PC-Betriebssystem. 

Henne/Ei - Linux muss erst Mainstream werden, bevor es die neusten
Treiber bekommt.

> Im sog. Consumer-Markt hat ein Betriebssystem keine andere Rolle, als
> aktuelle Hardware und Hardware-Gadgets möglichst unkompliziert in
> Betrieb zu nehmen und in Verbindung mit aktueller Software nutzbar
> zu machen. Diese Rolle erfüllt Windows, daher rühren auch seine
> Instabilitäten, und diese Instabilitäten würden sich eins zu eins auf
> GNU/Linux übertragen, wenn man an letzteres dieselben Anforderungen
> stellen würde. 

Nee, die Instabilität/Unsicherheit von Windows rührt aus mangelhafter
Separation der verschiedenen Zugriffsebenen (unter Linux kann ich meinen
X-Server neu starten und weiterarbeiten), aus dem "Root"-Problem und aus
einer massiven (gewollten) Software-Monokultur. Teilweise werden
Sicherheitslücken auch gar nicht gefixt, insbesondere für ältere
Programmversionen, während in der OSS-Welt oft Backports vorgenommen
werden.

> Mit anderen Worten: GNU/Linux ist nicht vom Design her
> überlegen (zumindest nicht dramatisch), sondern, weil es eine
> technisch versiertere Nutzerschaft hat.

Teile des Linux-Designs sind überlegen, andere Vorteile resultieren aus
der Open-Source-Kultur. Die Nachteilte gegenüber Windows resultieren
derzeit vor allem daraus, dass Microsoft die OEMs fest im Griff hat und
damit den Betriebssystem-Standard diktieren kann. Ein idealer Ansatz für
Kartellbehörden, die aber bisher Bill&Steve aus der Hand fressen.

> Eine gewisse Form des "Trusted Computing" wird es wohl bald auch für
> Freie Software geben müssen. Daß man für viele Betriebssysteme (wie z.B.
> Debian und die freien BSDs) unsignierte Softwarepakete und Patches von
> Mirror-Servern herunterzieht und unter root-Konten installiert, ist nicht
> mehr zeitgemäß.

Debian arbeitet an gpg-Integration. Debian ist aber das schwerfälligste
aller Distro-Projekte -- total dezentral und nicht hinreichend
kollaborativ. Erinnert mich an Gnutella.

> Richtig, aber auch OpenOffice ist kein Programm, mit dem man gerne
> und freiwillig viel arbeitet (ich zumindest kenne niemanden, der das
> tut), und es nützt eben dort nichts, wo Microsoft Office-Formate
> als Dateiaustauschformate eingesetzt werden und deshalb hohe
> Formatkompatibilität ein K.o.-Kriterium ist.

OpenOffice ist in meiner Praxis bisher an keinem Word-Dokument
gescheitert, selbst megabyte-große Präsentationen und hochkomplexe Dokus
wurden weitgehend akkurat wiedergegeben. Hauptproblem für den
Firmeneinsatz ist die fehlende Makro-Unterstützung. OOo/SO hat aber eine
realistische Chance, in den nächsten Jahren den Durchbruch zu schaffen.

> Und deshalb muß die Reform nicht von der installierten Software, sondern
> von den Dateiformaten ausgehen. Es muß überhaupt erst ein Bewußtsein
> dafür geschaffen werden, daß Dateiformate unabhängig von bestimmten
> Software-Frontends existieren, Software also ein Mittel ist, um Daten in
> austauschbaren, offenen Formaten zu bearbeiten und über offene
> Protokolle auszutauschen.

Das wird nicht passieren, solange MS die Formate kontrolliert. Und das
wird sich erst ändern, wenn MS nicht mehr das OS kontrolliert oder freie
Software unter Windoof selbst zum Einsatz kommt.

Was die Sicherheits-Architektur angeht, darf man eines nicht vergessen:
Linux (der Kernel) ist austauschbar. Wenn GNU/Hurd fertig und besser
ist, kann man praktisch alle Anwendungen ohne großen Aufwand
rüberportieren (teilweise geschieht das schon jetzt). Windows dagegen
ist eine Lock-In-Plattform: Nicht nur die Formate sind proprietär,
sondern auch die Bibliotheken, weshalb Apps extrem schwer zu portieren
sind. Schau mal bei SourceForge nach OSS-Windows-Apps -- selbst sehr
große Projekte werden kaum nach Linux portiert. Dagegen gibt es für
Tausende OSS-Apps gleich fertige Binaries für viele Plattformen. Auch
das ist ein massiver Pluspunkt der OSS-Infrastruktur.

MfG
EMÖ
-- 
Scientific Reviewer, Freelancer, Humanist -- Berlin / Germany
Phone: +49 (0)30 45491008 -- Web: http://www.humanist.de/erik
Editor of: http://www.violence.de, http://www.infoanarchy.org
    Save the Public Domain: http://action.infoanarchy.org

"Morality is of the highest importance-but for us, not for God."
	- Albert Einstein