ja hallo erstmal,... Am Samstag, 17. April 2004 22:58 schrieb Rüdiger Noack: > Jan Lühr wrote: > > Am Samstag, 17. April 2004 08:29 schrieb Rüdiger Noack: > >>Jan Lühr wrote: > >>>>http://lists.debian.org/debian-security/2004/debian-security-200403/msg > >>>>00 08 6.html > >>> > >>>Lassen wir das bitte schnell wieder im Archiv verschwinden ;) > >> > >>Ich bin erst durch diesen Link auf die Problematik aufmerksam geworden. > > > > Hmm.. anscheinend scheint hier wirklich ein Problem vorzulegen. Als > > sicherheitsbewusster Mensch sollte mal die Bugreports zu den Programmen > > die man nutzt verfolgen und debian-security ist lesen. > > Wenn also der mozilla aus stable einen rc-Bug hat, sollte man das als > > mündiger, sicherheitsbewusster wissen... > > Sollte vielleicht, aber ist das praktikabel? Ich sehe die Linux-Nutzung > aus reiner Anwendersicht. Man ist nicht ganz unerfahren in der > IT-Umgebung, sucht sich das passende OS für seine Ansprüche - und wählt > Debian stable. Das allerdings *neben* seinem full-time-Job unbd *hinter* > seinem Privatleben. Da bleibt nicht allzu viel Zeit übrig.
Ehm... sicher. Die Frage ist nur: Wieiviel ist praktikabel. Wenn ich mir die Systemsicherheit ansehe, so ist ein veralteter mozilla zwar ein Problem aber kein Grundsätzliches. Durch die hochkochender Volksseele auf dem heise Newsticker sollte auch eine Person, die den Mozilla nicht kennt, aufmerksam geworden sein. Btw, der mozilla ist ein Einzelfall. Kaum irgendwelche Pakete in Woody haben einen RC-Bug mit einem gesetzten security-flag. > Ich behaupte mal, nur diese Liste mehr oder wenig vollständig zu > verfolgen, ist dem 0-8-15-User (schon aus Zeitgründen) kaum zuzumuten. Ok, aber der 0-8-15 Nuzter wird mit stable auch kaum Glücklich werden. Dieser Nutzer schiebt sich alle 4-6 Monate die neueste Knoppix aus der c't auf seine Platte und fertig ist. > Ich versuche es immerhin noch. Aber zu mehr ist einfach keine Zeit! Als > sicherheitsbewusster Anwender habe ich ja Debian stable gewählt und > fühlte mich da bisher recht sicher. Genau das ist das Problem. Es heißt Debian stable - und auch wenn es mir Margenkrämpfe bereitet, zitiere ich mal meine Polemik: "ick the package out of stable, testing and unstable! Being in stable implicies security, which is NOT provided." in einem anderen Thread "Well, I pointed out that there is not real alternative. Imho the current release policy doesn't support the creation of a secure distribution. " Das Problem ist einfach, dass es Debian stable ist und stabil hier auch für Sicherheitslöcher gilt. Ja, es gibt Alternativen (http://www.openwall.com) > Ich konnte mir also einfach keine > gravierenden Sicherheitslücken vostellen, die nicht automatisch durch > regelmäßige Updates geschlossen werden oder auf die ich nicht durch > diese Liste aufmerksam gemacht werde. Wie kommst du auf diese Idee? Gravierende, ungepatchete Sicherheitslöcher gibt es viele, entdeckte kaum welche, und gefixte auch viele. Das debian-Security team macht einen guten Job, jedoch nicht gut genug im relese-cyclen von 3-4 Jahren auszugleichen. Solche release-cyclen machen keinen Sinn, wenn sie dazu führen, dass man keine patches mehr aus dem upstream fischen kann - Wie bei mozilla gesehen. Von daher zählt Debian _stable_ für mich zu den unsichersten, ernstzunehmenden Linux Distributinen überhaupt - wohl aber zu den stabilsten. Nicht immer bedeutet älter auch ausgereifter. > Also eigentlich kein Grund (neben > der Zeit), weitere Informationsquellen regelmäßig in Anspruch zu nehmen. Doch. Die apt-get uprade mentalität ist in etwa die selbe (wenn auch auf einem anderen Niveau, wie dich, sich einen (aktualisierten) Virenscanner und eine PF unter Windows zu installieren. Woher weisst du > Davon abgesehen, dass es IMHO sinnlos ist, die Projekte zu verfolgen, > wenn mann Debian stable benutzt, da diese Pakete so alt sind, dass in > den Projekten davon keine Rede mehr ist. Also müsste man schon sehe, > sehr tief in der Materie stecken, um beurteilen zu können, welche > Relevanz bestimmte Nachrichten für die eigene "alte" Version haben. Um Meldungen auf dem Heise-Newsticker zu verfolgen muss man nicht tief in der Materie sein. Wenn man aber die Augen vor bekanntwerdenden Bugs verschließt, gehört schon Blauäugikeit dazu, sich Scheuklappen aufzusetzen. (Wie gesagt, für die, die das machen ist Knoppix weitaus besser) > > Nebenbei: Der mozilla ist kein Paket, dass ein Debian gehört. Es ist zu > > komplex als das sich das sec-team dran trauen würde und die Entwicker > > geben bezüglich der Binärkompatibilität falsche Versprechungen ab. > > Welcher Browser wäre denn in diesem Sinne die Alternative? Seit dem Apple mitmischt (also seit KDE 3.2) ist der konqueror brauchbar. Keep smiling yanosz
