Linux Flame

[SchwarzeBeere]

Getreu dem Thema dieser Beitragssammlung: Was interessiert es mich, ob du Gnome blöd findest, OSX ist eh viel besser, als euer Linux-Kram. Genauso wie Closed-Source eben viel besser ist, als OpenSource.

Soll heissen: Hier geht es nicht um dich, sondern darum, dass die allgemeinen Gründe, weswegen viele Menschen Linux/OSS einsetzen, hirnrissige Spinnereien sind, die nicht hinterfragt werden. In einem Flame geht es doch letzten Endes immer nur um polemische und wertende, aber dennoch allgemeine Aussagen, die auf spezifische Systemkonfigurationen und -architekturen bezogen überhaupt keinen Sinn ergeben. Deswegen wird hier auch nicht über die Bugs an sich gesprochen, sondern es wird über die triviale Arroganz vieler Linux/OSS-Community-Mitglieder ("unser IPv6 Stack ist Referenz und der von Windows ist kacka", Linux ist viel besser als Windows!!!11) hergezogen. So ist das nunmal in einem Flame

(Zugegeben.. es gibt hier im Thread wenig Fürsprecher für Linux... )

 

[CDW]

Solange ihr nicht begreift, was Linux ist,

Ja, das ist auch nicht soo einfach - was Linux nun ist, hängt offenbar sehr stark davon ab, ob die Meldung positiv ist:
"Dank dem neuen Installer von Foobuntu lässt sich Linux nun noch viel einfacher installieren", "XYZ Behörde steigt auf Linux um", "Photoshop/Steam wird auf Linux portiert"

oder negativ:
CVE - CVE-2013-4327 - niemand ist gezwungen systemd/Ubuntu nutzen, also kein Linux-spezifisches Problem =)
oder
<1000 weitere Beispiele hier>

Man betrachte einfach das Nichtvorhandensein eines "offiziellen" Dateisystems - es bringt nur Vorteile/Boni:
in Benchmarks kann man behaupten "Linux ist schneller als ... " [Phoronix] Eight-Way BSD & Linux OS Comparison | [Phoronix] Workstation Benchmarks: Windows 7 vs. Linux und im Fehlerfall ist es halt (nur) ein Dateisystem, für welches es einen Kerneltreiber gibt:
Linux Kernel ext4 Local Denial of Service Vulnerability - absolut sinnbefreites Bashing (btw: die Linkbezeichnung wird vom vBulletin automatisch, sofern man es nicht extra unterbindet, aus dem Seitentitel generiert - hier wurde z.B auf securityfocus.com/bid/59 ... verlinkt), denn niemand ist gezwungen Ext4 zu verwenden,
das gleiche gilt für Ext3 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-1848
oder ReiserFS Linux Kernel ReiserFS Security Bypass Vulnerability oder JFS Linux Kernel JFS xattr Namespace Rules Security Bypass Vulnerability =)

Andere OS-Entwickler sind halt viel dämlicher und bieten eine minimale "Base" an *tststs* - da kann man als schlauer Linux(+ zig <Auswahl-aus-zusätzlich-notwendiger-Gnu-Software-drumherum-für-die-zwar-mehere-Alternativen-gibt-meist-aber-nur-1-2-wirklich-nutzbare-dabei-sind>)-Nutzer dann schön schreiben:
Windoofs (da ActiveX == Windoofs) Vuln
Windoofs total unsicher und wieder eine Lücke (da IE von M$ ist und M$ == Windows
OS X Code Execution (da WebKit == Apple == OS X)

Oder:
FreeBSD ftp vulnerability found
Mit Linux wäre das z.B nicht passiert weil Linux eigentlich nur ein winzig kleiner Kernel mit (relativ vielen) optionalen Modulen ist weil Linux cool ist =)


PS:

Bei einem wirklich gut gemachten Flame, kein Problem.

ein gut gemachter (und zwar für _alle_ Seiten) Flame kommt in der Realität ebenso häufig vor, wie der klassische, klischeehafte Linux-Nerd - angeblich gibt es die zu Hauf, aber niemand kennt einen persönlich =)

 

[Chromatin]

Solange ihr nicht begreift, was Linux ist, ist dieser Flame Thread einfach nur peinlich für dieses Board.

Ich würds cooler finden, wenn die OSS Gemeinde das mal langsam begreift!!1

 

[+++ATH0]

LINUX IST SICHER!!1*

highly sophisticated linux lockscreen exploit

*not

Peinlich. Aber passiert ja zum Glück nicht so häufig oder?
Hier gleich der nächste:

https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1314294
https://www.youtube.com/watch?v=d4UUB0sI5Fc

Das zeichnet sich ja regelrecht ein Lockscreen-bug-Marathon ab.

 

[SchwarzeBeere]

Das zeichnet sich ja regelrecht ein Lockscreen-bug-Marathon ab.

Wir wollen den Alt-F2-Shortcut doch nicht vergessen: https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1313885

 

[+++ATH0]

Jetzt wollte ich gerade meinen Beitrag editieren... Danke für das Hinzufügen. :wink:
(Das yt-video bezieht sich auf den etwas früheren Bug, den SchwarzBeere gepostet hat)

Jetzt haben wir three in a row in absolut kurzer Zeit. Ich habe fast Lust mir Ubuntu zu installieren und auch mal ein bisschen auf dem Lockscreen herumzutrollen. *g*

 

[Chromatin]

Jetzt haben wir three in a row in absolut kurzer Zeit. Ich habe fast Lust mir Ubuntu zu installieren und auch mal ein bisschen auf dem Lockscreen herumzutrollen. *g*

Das ist aber riskant! Da kann man ja gleich mit ner geladenen Schrotflinte fangen spielen!1

 

[SchwarzeBeere]

Das ist aber riskant! Da kann man ja gleich mit ner geladenen Schrotflinte fangen spielen!1

Aber nur, wenn darauf auch Linux läuft:

Und ehrlich gesagt, macht uns dieses Gerät auch ein wenig Angst, handelt es sich doch um ein Präzisionsgewehr mit einer Reichweite von über 1.000 Metern, das das Töten mit Hilfe von Linux, WiFi und modernster Lasertechnologie noch einfacher machen will.

Quelle: TrackingPoint XS1: Hightech-Gewehr mit Linux und WiFi killt fast automatisch - Engadget German

 

[Chromatin]

Dass Linux, Kompetenz und Sicherheit etwas ist, was sich ganz offensichtlich nicht vereinen lässt, wurde wieder mal (gaehhnn) eindrucksvoll durch die übliche Frickelei bewiesen.

Wenn dieser Bug nicht peinlich ist....


https://www.lsexperts.de/advisories/lse-2014-05-21.txt

 

[Chromatin]

Nietzsche schrieb, dass menschlichste sei, jemandem seine Scham zu ersparen.
Das würde ich bei Linux auch gerne tun.
Allerdings sind die Fauxpas der Linuxgemeinde derart schlimm, dass man wohl an dieser Stelle seine Menschlichkeit vergessen muss.

Fauxpas - so schrieb ich. Allerdings - schaut man genau hin - ist es schwer zu glauben, dass diese Fülle von Fehlern in Linux Systemen unbeabsichtigt sein sollen. Woraus sich - ganz logisch - folgendes ableiten lässt:

Sind die Fehler in Linux wirklich unbeabsichtigt, so ist es naheliegend dass der zentrale Teil der Entwickler aus Stümpern besteht.

Sind die Fehler nicht beabsichtigt, so sollte man laut drüber nachdenken dürfen, wer denn tatsächlich hinter diesen Bugs steht? Im Zeichen des NSA Skandals weiss der geneigte Leser, worauf ich anspiele.

Seien wir mal realistisch: Kiffen, Pizza, Snacks und Dr. Pepper Cola kosten Geld. Der typische Linuxer ist ohnehin kaum aus seinem Keller herauszubringen. Also was wäre da nicht verlockender als ein monatlicher Gehaltsscheck?

Frei nach dem Motto: Du kriegst jeden MOnat 1000 €. Und dafür baust du die gleiche scheisze wie sonst: Programmierst einfach drauf los und du testst auch weiterhin nicht deinen Code. Und natürlich wird sich an keinem Code-Audit beteiligt.

Ich bin gespannt wie die Frage nach der "Linux Steuer" der EU im Rahmen ihrer digitalen Agenda ausgeht. Ich wäre in jedem Fall dafür - für mehr Sicherheit im Internet!

 

[CDW]

Pff, Du bist nur neidisch, da das Abacus-OS solche Features gar net hatte!

Wie jeder halbwegs informierte IT-ler weiß:
ein Linux-Desktop reagierte schon immer (seit Jahren auch unter Last!) schnell und zuverlässig!
Außerdem ist z.B Ubuntu ziemlich sicher - wie man hier unschwer erkennen kann:
Ubuntu : Products and vulnerabilities - nur 1 bis 3 Vulns pro Jahr in den letzen 4 Jahren (83 insgesamt für alle Ubuntuversionen - vgl. 338 nur für Win7 Microsoft Windows 7 : CVE security vulnerabilities, versions and detailed reports ), zumindest wenn man Ubuntu ohne eine kleine, unwichtige und rel. anfällige (1188 Vulnerabilities) Komponente betreibt.
Daher ist es kein Wunder, dass es zum Nachfolger von XP in China wurde:
Linux.BackDoor.Gates.5 (die Map ist ganz unten)
China Is Falling In Love With Ubuntu | Open Source Blog


Außerdem wissen wir, dass Linuxentwicklung immer, prinzipbedingt, Opensource sind - und ihrer Idee auch treu bleibeben und nix anderes akzeptieren! - und daher sowas wie Linux-libre - Wikipedia, the free encyclopedia eigentlich total überflüssig ist!! =)

 

[CDW]

Das ist RPM Fusion: RPM Fusion - Wikipedia, the free encyclopedia
RPM Fusion ist ein Repo für freiwillige RHEL-alpha-tester Fedora - es gilt also: "ist linux, hat Packetmanagement == per Definition sicher" =)

2009
https://bugzilla.rpmfusion.org/show_bug.cgi?id=862

The verification page tells the user that they should install the
rpmfusion-*-release.rpm packages and then confirm that the keys they installed
match the ones listed on the website. This requires the user to install
packages that have not been verified, which seems to defeat the purpose of
using cryptographic signatures. Also, an invalid package could still install
the valid keys, could it not?

2012 https://bugzilla.rpmfusion.org/show_bug.cgi?id=2630

2014 - es hat sich nix geändert, nur dass die ganze Seite als Wiki vorliegt und von jedem editiert werden kann. Zugehöriger Bugreport:
https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313

* The download page and the verification page are editable by any newly
registered user. Malicious changes would probably be reverted soon, but someone
could still download a malicious package and get infected.

* Package verification instruction only provides a false sense of security in
the light of the above point, as getting the keys from pgp.mit.edu and even
verifying E-Mail to be <rpmfusion-buildsys@lists.rpmfusion.org> doesn't really
prove anything. Try this:

$ gpg2 --keyserver pgp.mit.edu --recv-keys 91522ABA
gpg: requesting key 91522ABA from hkp server pgp.mit.edu
gpg: key 91522ABA: public key "RPM Fusion malicious fake repository (not
really, this is just a test) <rpmfusion-buildsys@lists.rpmfusion.org>" imported

* Also, it says you can verify keys AFTER installing the package instead of
before - this is a bad advice, because even if the malicious package has the
original keys in it, it could still have infected your computer with a virus.

* No HTTPS, so malicious packages can be inserted by a man in middle. If both
home page and repo packages were delivered by real HTTPS, I think no additional
verification would be necessary, because AFAIK the only thing more secure than
HTTPS is receiving the keys in person.

Das ist allerdings kein Bug =)

you should understand this is not windows , so computer can't get infected ,
you may install a rootkit and takeover a machine , but not infected . For most
compromised system is, we can clean it all, putting the right keys and check
all packages .

 

[Chromatin]

* No HTTPS, so malicious packages can be inserted by a man in middle. If both
home page and repo packages were delivered by real HTTPS, I think no additional
verification would be necessary, because AFAIK the only thing more secure than
HTTPS is receiving the keys in person.

Nachdem was ich vom libressl fork gehört habe, ist man de-facto sicherer unterwegs, wenn man kein SSL aktiviert

Was mich dabei aber nicht wundert ist die Tatsache, dass 94% der aktiven OpenSSL Entwickler auch aktive Linux Entwickler sind.

Wenn das stimmt, dann wird da noch so einiges auf uns zu kommen...

 

[bitmuncher]

Damit hier nicht immer nur Sicherheitsmeldungen zu Linux kommen, hier wieder ein kleiner Erfahrungsbericht:

Nach langer Zeit habe ich mal wieder einen Linux-Desktop in den Fingern. Hardware: Thinkpad X201 mit Core i5, ca. 4 Jahre alt. Problem bei der Kiste: Der WLAN-Durchsatz beträgt bei 100% Empfang ca. 1,5Mb/s. Da Sowohl Windows-Rechner als auch Macs im gleichen Netzwerk das 20-30-fache an Durchsatz liefern, liegt das Problem offensichtlich auch nicht beim WLAN. Mit etwas Recherche findet man dann auch eine Lösung. Diese kommt in Form eines Tools namens "tlp" daher, das für das Power-Management gedacht ist.

Nun läuft auf der Kiste aber ein aktuelles Debian, für das es dieses Software nicht gibt. Im Thinkwiki wird dazu geraten sich die Launchpad-Quellen für Ubuntu (10.04!) in die sources.list einzubinden. Was das bei einem System-Update bedeutet, muss ich wohl kaum erwähnen... nicht auflösbare Abhängigkeiten etc..

Man kann also festhalten: Um das WLAN bei einem 4 Jahre alten Laptop halbwegs anständig zum Laufen zu bekommen muss man sich entweder an eine Distro binden, für die tlp verfügbar ist oder in Kauf nehmen, dass man ständig Probleme mit dem Paketmanagement hat. DAS ist die Benutzerfreundlichkeit von Linux.

Btw: Ein Normaluser wäre vermutlich mit der Problemlösung überfordert. Selbst bei einem aktuellen Ubuntu muss man erstmal zusätzliche Launchpad-Quellen (linrunner/tlp) einbinden, damit man das Tool installieren kann. Die Konfiguration, vollgepackt mit Fachbegriffen, ist natürlich nur mittels Editor in einer Config-Datei möglich. Die Anleitung dazu wird den durchschnittlichen Desktop-User ziemlich sicher zum Aufgeben bewegen.

Und da will ernsthaft noch jemand behaupten, dass Linux genau so benutzerfreundlich sei wie Windows oder OSX?

 

[easteregg]

hm, mal allen flame bei seite, was hatn tlp mit dem durchsatz zu tun, das sind doch "nur" powermanagement tools? daher aktiviert das doch allen falls die stromspaarmodi der wlankarte!

klär mich mal auf

 

[bitmuncher]

Richtig, tlp regelt den Stromsparmodus des WLAN-Adapters. Per Default wird von Linux nur der maximale Sparmodus beim Adapter des x201 verwendet. Mit tlp bekommt man die Möglichkeit diesen Stromsparmodus zu deaktivieren womit dann auch der Datendurchsatz wieder brauchbar wird.

 

[Chromatin]

Und da will ernsthaft noch jemand behaupten, dass Linux genau so benutzerfreundlich sei wie Windows oder OSX?

Repräsentativen Umfragen zufolge gestaltet sich die Welt des herkömmlichen Linux Nutzers ja auch eher klein - in vielerlei Hinsicht.

Da Linux ja nicht nur ein Computersystem ist, sondern auch Image und Lifestyle - ist eine objektive und sachliche Begutachtung eher selten anzutreffen.

 

[CDW]

Diese sind zwar genauso beschissen zu bedienen wie Linux, aber die Anzahl der Funktionen ist so begrenzt, sodass der Durchschnittshipster damit nicht überfordert wird.

Quatsch - es gibt ein geheimes übereinkommen zwischen Linus und Apple - damit Hipsters, die eine moderne, elektronische Schreibmaschine mit festgetackerter Funktionalität (auch wenn die rein theoretisch sich erweitern lässt - genauso wie ein Corsa sich tieferlegen und mit 500PS Motor ausstatten =) ) eben doch lieber zum Apfel greift. Als Dank gibt es aber immer wieder "Goodies" von Apple an die GPL-Boyz - z.B durften die Gnomeentwicklert kopieren sich ungestraft von der Mac-GUI inspirieren lassen, ebenso gab es WebKit, Clang und MacPorts (nur um einige Projekte zu nennen)

 

[Chromatin]

Wir alle haben mit großer Bestürzung diesen Artikel vernommen:
NSA/GCHQ Hacienda: Die vollständige Kolonisierung des Netzes | heise online


Nun gibt es weitere wichtige Infos: Es wurde berichtet, dass die NSA und das GCHQ gezielt die Entwicklung und Verbreitung von Linux als Serversystem vorangetrieben haben. Gerüchten zufolge sollen die Rechtsexperten, die damals auch die GPL mit entworfen haben, NSA Bedienstete gewesen sein, ebenso stecken hinter den Bestrebungen, Linux in den Behörden einzusetzen, mutmaßlich ebenfalls Agenten aus Übersee.

Jahrelang haben sich _richtige_ Experten gefragt warum Linux eine solche Verbreitung findet, wo die mangelnde Codequalitaet doch unter Kennern hinlänglich bekannt ist und in Sachen Sicherheit der Linux Kernel unter dem Motto "Ein freundliches Wort öffnet jede Tür" läuft.

Laut spärlich dokumentierten Informationen hat man sich bei der NSA - und dem GCHQ - darauf geeinigt den Zugriff in und durch Linux zu fördern.

Die damaligen Entscheider haben aufs richtige Pferd gesetzt: Auf die mangelhafte Codequalitaet und Un-Sicherheit von Linux ist über Dekaden hinweg verlass!

Eine traurige Ironie dass ausgerechnet der Kiffende Pirat und Linux Frickler zum Handlanger der weltweiten Überwachung wird.

 

[Fluffy]

Wenn dem wirklich so ist kümmere ich mich mal schnell um meine BSD-Kenntnisse.
Quellen wären aber sehr interessant und wichtig.