Scusate il post lungo, e non prendetelo come una flame, assolutamente. Cerco solo di spiegare il mio parere di affezionato alla debian che per� ritiene che troppo lavoro venga sprecato per mantenere pacchetti che non ne avrebbero alcun bisogno - e in definitiva per tentare di avere una distribuzione all-purpose, e quindi anche desktop che tale non �.
Luca Bruno wrote: >> Attualmente ubuntu e sarge sono molto simili come pacchetti, non c'� >> una vera differenza (cio�, quelli di ubuntu sono un po' pi� aggiornati >> a meno che kde 3.4 non sia entrato in sarge in mia "assenza") :) > > kde 3.4 non entrer� MAI in sarge, per una ben precisa ragione: > meglio passare un mese a correggere tutti i buchi e sistemare ogni > piccola cosa, che non a correre dietro agli upstream e rappezzare i loro > errori. > Se proprio non puoi vivere senza PACCHETTOFIGO rilasciato 5 secondi fa, > viaggia�su�sid�e�experimental. > Cosa significa "non entrer� MAI in sarge"? Esattamente quello che c'� scritto. Che adesso kde3.4 � nuovo e magari uno non si fida (ma poi di cosa?) Per� se sarge durer� pi� di un anno, non si tratter� di non aver incluso un software all'ultima moda, ma piuttosto di essere diventato obsoleto. Fra un anno kde 3.3 sar� probabilmente legacy oppure unsupported, dal punto di vista dell'upstream. E debian continuer� ad averlo, a backportare le patch, in buona sostanza a sprecare lavoro. Ne vuoi una dimostrazione lampante? Prova a riportare un bug di gnome 1.2 a woody. Glie ne frega qualcosa secondo te? E' da pi� di un anno che non serve pi� a nulla usare gnome 1.2 Ti rendi conto che i due desktop di woody sono kde 2, che bene o male funziona, e _gnome 1_, che � non solo obsoleto, ma anche "sbagliato" a detta degli stessi autori? Cosa ci vedi di pi� "sicuro" in gnome 1 rispetto a gnome 2? >> Dopo sei mesi da quando sarge sar� dichiarata stabile, la differenza >> sar� che ubuntu avr� i pacchetti aggiornati upstream, mentre debian >> avr� i pacchetti con backport. > > E non guarda profondamente alla sicurezza, come le release stabili di > debian (d'altronde altrimenti perch� chiamarle stable, che implica anche > sicure). > Beh non mi aspetto francamente che mozilla 1.0 sia pi� sicuro di firefox 1.0 - � di due anni fa, il codice non � pi� mantenuto. Tra l'altro, non so se l'hai notato, ma i programmi desktop in linux del problema "sicurezza" non ne soffrono neanche lontanamente. Non ci sono virus o worm che infettino i desktop degli utenti tramite l'email o altre fesserie del genere. Quindi stare li a tenersi un desktop obsoleto pensando che sia pi� sicuro � una vera e propria pippa mentale. Se il discorso per i server � molto diverso,� pur vero che si stava parlando di nuovi utenti che approcciano GNU/linux per uso domestico. E secondo me consigliargli woody non ha il bench� minimo senso. Si troveranno di fronte a programmi obsoleti che nessuno sa come rendere un po' pi� vivibili. > E in questi tre anni quante volte la stable della debian ha dato noie > sulla stabilit� e sicurezza? Sulla stabilit�, tutte le volte che konqueror 2.2 o mozilla 1.0 sono crashati su un sito a casaccio, o non gli � partito il flash. Quella di un desktop woody non � stabilit�, stabilit� � un desktop con un mese di uptime, dove fai il logout solo se ti serve, dove il browser lo apri per navigare e lo chiudi quando hai finito, e nel frattempo i siti, quelli che rispettano gli standard, li vedi come dice lo standard - cosa che si ottiene applicando man mano _tutti_ i bugfix, non solo quelli collegati a problemi di sicurezza. Konqueror da woody ad oggi (diciamo a sei mesi fa, se no mi dite che ormai sarge � in freeze, quando il discorso invece resta assolutamente identico da un anno a questa parte) ha fatto passi da gigante, ma "debian stabile" non ne ha giovato. Sulla sicurezza, woody ha dato "noie" tutte le volte che c'� stato un backport dall'upstream. Ma poi quali sarebbero le "noie" sulla sicurezza di una macchina GNU/linux usata come desktop? Zero - casomai sei vulnerabile ad attacchi di cracker lameroni o roba cos�. E li un firewall preconfigurato ci sta benissimo. > Certo due anni non sono un tempo ottimale di rilascio, ma ormai da un > po' di tempo si sconsiglia una woody su desktop... > Eh. Appunto. Quindi cosa si consiglia? Una sana testing? Che differenza c'� in termini di sicurezza tra una ubuntu e una debian testing? Secondo me, o meglio secondo la mia esperienza di utente simultaneo di sarge e ubuntu, ubuntu ha aggiornamenti di sicurezza molto pi� puntuali di sarge. E anche fedora - effettivamente uso quotidianamente tre computer con tre distribuzioni diverse, non me ne ero reso conto, sono ormai fuso :) E il perch� � scritto proprio sul sito debian. La sarge � "testing". > Quando rilasci per 11 architetture diverse, vieni usato come base per > molte altre distro, e vieni installato su workstation, server, > stand-alon e computer vari, e difficile trovare un firewall che vada > bene per tutti. Ok, va bene. Ma le architetture desktop sono due. A che pro consigliare debian per i desktop, anzich� una distribuzione derivata, specializzata per i desktop, e quindi pi� completa _per un uso desktop_ > *La sicurezza non si misura certo in firewall grezzi > nell'installazione*. Beh, non scadiamo nei luoghi comuni. Un firewall attivato � sicuramente meglio che non mettere nulla. Poi un conto � se questo tuo criterio lo applichi ad un sistema aziendale da 100 pc dove vuoi proteggerti da tante cose diverse. Un altro conto � se lo applichi ad un sistema gnu/linux usato come desktop, nel qual caso, IMHO, il livello sufficiente di sicurezza � proprio un firewall ben chiuso, soprattutto considerando che non ci sono virus in giro per questo sistema, ma al pi� qualche worm che si propaga sfruttando appunto servizi non protetti. E gli howto sulla sicurezza li puoi anche leggere mentre il firewall � stato attivato :) > E se proprio ti interessa selinux, ti consiglio di seguire almeno > debian-devel per vedere tutti i casini di ABI che pu� dare. Infine, > selinux dopo i DOVUTI test entrer� in etch, cos� come kde 3.4 e Gnome > 2.10. > Fatto sta che altre distribuzioni si decidono a risolverli, questi casini. Ora, non rigiriamo la frittata. Mi dici (non solo tu, � una cosa che dicono moltissime persone) che debian � sicura perch� � stratestata, ti faccio notare che altre distribuzioni (che comunque il testing lo fanno ugualmente) prendono anche provvedimenti attivi per la sicurezza, e mi dici che questi provvedimenti sono poco importanti? Guarda che a me debian piace molto, se faccio questi discorsi � perch� cerco di aiutare chi si avvicina a debian per la prima volta, e viene secondo me fuorviato da una marea di consigli come "se vuoi la stabilit� installi woody" --> "l'utente installa woody e non riesce a navigare sul sito della media world, per� � convinto di avere una distribuzione sicura per definizione e poi si stupisce quando prova nmap per la prima volta" "se vuoi pacchetti aggiornati installi sid" --> "l'utente non ha nessuno dei vantaggi di debian eccetto apt e la quantit� di pacchetti, cose che potrebbe avere anche su ubuntu o fedora, per� magari pensa anche di usare una distribuzione pi� sicura di una fedora con un firewall preconfigurato, solo perch� c'� scritto debian all'avvio". >> L'attuale "debian stabile" per l'uso desktop non solo non � indicata, >> ma � sconsigliabile. Si pu� consigliare una sarge, ma allora perch� >> non ubuntu, che oltre ad essere testata meglio ha anche un bel destkop >> di base, e soprattutto sar� automaticamente aggiornata ogni sei mesi >> ad una altra versione testata? > > Perch� non puoi sapere se tra sei mesi ci sar� un casino incredibile tra > nuovi rilasci, conflitti e dipendenze incrociate varie. A quel punto che > fai: rilasci il casino o vieni meno alla tua parola? > Io preferisco un po' pi� di testing... > Beh. Non � che ubuntu sia obbligata a rilasciare l'ultima versione di tutti e duemila i pacchetti che include. I mantainer scelgono quelli pi� appropriati, per� ogni sei mesi hanno l'occasione di fare gli aggiornamenti del caso. > Ma gli upstream non hanno il problema di avere un sistema coerente e > testato nell'insieme. L'importante non � solo avere un programma > stabile; l'importante � avere un sistema che stia in piedi !!! Si, per quello ci sono le distribuzioni. Oh, fermiamoci un attimo: fedora e ubuntu, bont� loro, sono entrambe coerenti e testate nell'insieme. Fedora include kde 3.4, ma gnome 2.8. Quindi non � vero che si fidano ciecamente dell'upstream. Per� francamente fra il desktop di fedora e quello di "debian stabile", � meglio quello di fedora da tutti i punti di vista. Ubuntu include gnome 2.10, ma hanno fatto delle modifiche loro. Infatti gnome 2.10 su ubuntu � il pi� stabile gnome2 che ho provato! E questo prova che anche mettendo i pacchetti all'ultima versione si possono fare modifiche e correzioni senza dover buttare gi� i pacchetti a casaccio. > Se � un bug grave e di sicurezza DEVI ASSOLUTAMENTE segnalarlo. Certo > che se � un'inezia � molto probabile che sia gi� stata corretta. > D'altronde la stessa cosa ti direbbe l'upstream, ossia aggiorna > all'ultimo CVS e guarda se va! > E tutti i bug diversi da quelli di sicurezza, compresi quelli di stabilit�? Ti rendi conto che su un desktop contano moltissimo? Vincenzo -- Please note that I do not read the e-mail address used in the from field but I read vincenzo_ml at yahoo dot it Attenzione: non leggo l'indirizzo di posta usato nel campo from, ma leggo vincenzo_ml at yahoo dot it
