debianforum.de

"Platz 2 der unsichersten Software"

was für eine Berichterstattung!

http://www.chip.de/news/Fast-alle-nutze ... 56957.html

Hier inner Förma kann ich vor lauter Adware den Bericht kaum ansehen
Sortiert nach Schwere (Score)
ist unter den 50 schwersten keiner mit Rechteerhöhung.
Da, wo es lange dauerte bis zum Fix sind es meist Pakete, die im Web Umfeld benutzt werden.
Für die Benutzung als Enduser sind die meisten nicht relevant.

Richtig lauten sollte es - CVE "macht Debian schlecht".

Es ist auch die vereinfachende Art der Berichterstattung von chip.de. heise dagegen liefert z.B. eine Erklärung, warum Debian und Ubuntu auf Platz 2 und 3 stehen:

Auf Platz 2 und 3 der Liste finden sich die Linux-Distributionen Debian und Ubuntu – vor allem deshalb, weil sie sehr viel Open-Source-Software bündeln und viele der Lücken in dieser Software den Distributionen angerechnet wird.

https://www.heise.de/newsticker/meldung ... 85934.html

Wer sind eigentlich die Hauptsponsoren (Werbekunden) von Chip: Cui bono?
(Man muss ja nicht Äpfel und Birnen bzw. "mit/ohne" Zusatzprogrammen vergleichen - und wenn, dann zumindest bei allen Vergleichen einheitlich.)

Ich wollte mal gucken, was die so schreiben. Aber nachdem mich sofort diese nervige Geräuschkulisse überfallen hat, habe ich gleich wieder weggeklickt. Diese "Musik", die unaufgefordert startet zusammen mit der Aufmachung, reicht mir, um diese Seite einzuordnen.

Habe schon oft gehört, dass Chip wohl so was wie die BILD unter den Computerzeitschriften ist. Scheint zu stimmen. Habe also bisher wohl nichts verpasst.

Leute, so was in der Art kam nicht nur auf Chip sondern auch auf Heise:
https://www.heise.de/newsticker/meldung ... 85934.html

Schaut da mal wie Debian abgeschnitten hat. Aber das ist auch kein Wunder:
* Debian besteht aus freier Software: Jeder kann den Quellcode einsehen, jeder noch so theoretische Angriff auf eine der Kernkomponenten (Linux, OpenSSL, etc.) wir von Diplomanden, Post-Docs und Matheprofessoren in Papers bis zum letzten Detail durchanalysiert
* Debian macht Sicherheitslücken transparent und verschleiert sie nicht. Wer erinnert sich noch an die tollen DOS und Windows 95 Changelogs mit ihren "Verbesserung bei..." und "Jetzt Unterstützung für..." Changes, die übersetzt "Sicherheitslücke ... gefixed." und "Treiber Absturz ... gefixed" hießen. Beim Lesen der schonungslosen OS/2 Changelogs in der Zeit muss der typische "Computerbildleser" dagegen Aplträume bekommen haben
* Debian (und auch Android) bestehen aus sehr vielen Softwarepaketen. Die paar Programme von Adobe gegen wie viel Debian Sourcepakete und dann so viele CVEs? Adobe sollte sich da eher Sorgen machen

Also die Zahlen von Chip sind halt denk ich die (nicht nachgrprüft) von den CVE-Schwachstellen, die auch mal im debian-Bugtracker genannt wurden. Dann hat Chip wohl auch ALLE Software im Google Play Store und alternativstores bei Android dazugerechnet‽ Und ALLE Windows-Software‽ Dann kommt man nämlich schnell auf ganz andere Ergebnisse. Man IMHO keine einzelne Distribution als »unsicher« bezeichnen, da nur eine Handvoll Pakete wirklich von Debian kommen (apt, dpkg, …).
Dennoch wird halt da versucht das möglichst geisterhaft für die Leute rüberzubringen (mit einer geisterhaften (Autoplay-)Musik). Es wäre eher sinnvoll gewesen ein Windows mit einiger dritt-Software mit einem Debian-System mit Software, die das gleiche kann wie die vom Windows, zu vergleichen. Allein wenn ich mupdf/evince/okular/… ←→ acroread vergleiche komme ich da auf Erstaunliches.

Über 10 Jahre mit Linux ohne Virenscanner im Internet, nie was gefangen, obwohl ich auch manchmal etwas zwielichtige Seiten besucht habe.
Kumpels mit Windows schon öfter bei sowas verseucht worden. Ist jetzt nur das, was ich aus eigener Erfahrung dazu sagen kann. Und eins darf man nicht vergessen. Debian schaltet keine Werbung bei CHip, Heise usw.. Da ist doch klar, wie die Berichterstattung läuft. Des Brot ich ess, des Lied ich sing - war früher so und ist heute nicht anders.

Eigentlich braucht man nur mal https://www.debian.org/security lesen. Also einem selbst betreffende und nach außen relevante Sicherheitslücken gibt es eigentlich recht selten. Und selbst wenn es Sicherheitslücken gibt. Bei der geringen Nutzeranzahl lohnt es sich kaum Schadcode zu programmieren der die Sicherheitslücke ausnutzt.

ViNic hat geschrieben:Richtig lauten sollte es - CVE "macht Debian schlecht".

Auch diejenigen, die Datenbanken über Sicherheitslücken pflegen, wehren sich gegen einen Missbrauch ihrer Daten. 2013 hatten Steve Christey, verantwortlich für die CVE-Datenbank, und Brian Martin, verantwortlich für die Open Source Vulnerability Database (OSVDB), auf der Black-Hat-Konferenz in einem sehr sehenswerten Vortrag vor dem unseriösen Zählen von Sicherheitslücken gewarnt.

Quelle: http://www.golem.de/news/sicherheitslue ... 13058.html

Kürzlich hatte hikaru über statistische CVE-Auswertungen geschrieben und dann hatte ich die CVE-Datenbank mal ausprobiert - mehr oder weniger um hikaru bissel zu necken. Wenn ich hikaru nun nicht verstanden und das Gegenteil beabsichtigt hätte ...
Mein Anliegen: CVE mal selbst testen. Die individuell vorgegebenen Randbedingungen für die Analyse gleicher Daten ändern Grundsätzliches - oder eben nicht: Gleiche Datenbasis - aber jedem Tierchen (Analyst oder Analyzer) sein Plaisierchen (beabsichtigtes "Ergebnis").
Passt auf alle beabsichtigten Demagogen- aeh Demoskopen(*)-Irrtuemer. Ehrliche Demoskopen und deren Auftraggeber haben schon zugeben, Wahlen beeinflussen zu können/wollen. Komischerweise wird man ständig vor Wahlen durch "Prognosen" beeinflusst, verstärkt belästigt. Trump hat leider trotzdem gewonnen. Nun ist nicht das dortige und etwas putzige Wahlsystem Schuld - sondern die RUSSEN und SOCIAL MEDIA - von allen Politikern gut gepflegt und gehätschelt! Aber bitte ohne Waehlerkommentare, die Politiker sind sich selbst genug im eigenem Saft, mögen keinen Gegenwind. Nennt sich neuerdings Luege, Postfaktizismus, Populismus. Welcher Politiker kommt ohne aus, darf den ersten Stein aus seinem Glashaus werfen? Zensur gab es unter Hitler. Davor und danach. Die wohl hilfloseste oder besser bloedeste Neuauflage derer, wenn man mit neuen Medien umgehen will - aber das nicht kann. Leute wie Oettinger, Dobrindt und Stoiber waren und sind "Leuchttürme der medialen Kompetenz". Von Intelligenz sehen wir vlt. mal ab. Lebensläufe siehe Internet.
Politik ist immer so durchsichtig-primitv, macht echt keinen Spaß mehr, sich damit zu befassen. Irgendeiner im Forum sagte kuerzlich u. a. mal was über Steinewerfen. Alt-68er haben mehr erreicht, als die heutigen Diskussionsliebhaber. Leider bin ich zu alt und die Jungen werden absichtlich von den Alten resigniert: Ist ja alles gut und schön, was die Eltern taten und tun. Aber die Folgen von (wirklich selbst und nicht auf Kosten anderer, einschl. Umwelt?) geschaffenem Wohlstand und damit verbundener Arroganz ...

(*) Für eine Wortspielerei gefiel mir "Demograph" nicht so gut.

Chip halt, da guckt man vorbei, um sich zu amüsieren. Quasi die Titanic der IT-Branche.

Ungefähr so gehaltvoll wie damals Computer-Bild, wonach alle bezahlbaren Laser-Drucker mangelhaft sind, weil die können ja keine Farbe (... uuund buuunt).

Warum sollte da, nur weil es um Debian geht, irgendwas Sinnvolles kommen? Einfach ignorieren und weitergehen...

Ich interessiere mich bekanntermaßen für Router.

Chip-Bestenliste: http://www.chip.de/bestenlisten/Bestenl ... x/id/1138/
Besser kann man Äpfel und Birnen bzw. verschiedene Hardware nicht vergleichen. DSL-WAN (und Fritz) gewinnt immer, obwohl beides nicht jeder will und braucht, gerade für alternative Firmware. Eindeutig undifferenzierte Chip-Wertung.

Smallnetbuilder ist etwas praxisfern (industriegesteuert lt. Werbezugaben?!) bezüglich Tests mit vorhanden Clients, unterscheidet aber wenigstens: http://www.smallnetbuilder.com/tools/ra ... outer/view
Chip ist indifferent ... warum nicht auch bei Sicherheitsbeurteilungen. Aber irgendwie kommt Chip bei Suchanfragen ganz oben. Bin denen früher auch auf den Leim gegangen

Quasi die Titanic der IT-Branche.

Oder der Fliegende Holländer?

Also, so kenne ich die Chip nicht. Muß denn dochmal rum maulen.

Okay, Linux ist offen, auch im Quelltext, das ist definitiv verwundbar. Unser Schutz ist das Non Profit Prinzip. Linux zu schaden ist verlorene Zeit. Das gibt niemandem Gewinn. Doch wer könnte ein Interesse haben, ausgerechent dem unprofitablen Linux zu schaden ? Wer hat den Chip Redakteuren in Hirn geschissen ?

SGibbi hat geschrieben:Wer hat den Chip Redakteuren in Hirn geschissen ?

Niemand (oder ne, der war es auch nicht )! Die können halt prima die CVE-Zahlen abtippen. Es stimmt schon, dass in Debian viele Sicherheitslücken bekannt geworden sind. Das liegt aber daran, dass ALLE Pakete in Debian als Debian gezählt werden. Wie schon gesagt: Wenn man alle Windows-Software zu Windows zählen würde wäre Windows wahrscheinlich auch weit vorne! Aber ich finde dennoch, dass die Chip – wenn sie sowas schon so prominent im Artikel plazieren muss – auch ehrlicherweise sagt sagen sollte, dass Debian ein äußerst offenes Bughandling hat

Debian Gesellschaftsvertrag hat geschrieben: Wir werden unsere Fehlerdatenbank für alle Zeiten öffentlich betreiben. Fehlermeldungen, die von Personen online abgeschickt werden, werden unverzüglich für andere sichtbar.

und die Bugs von Drittentwickler-Paketen als Bugs in Debian sieht.
EDIT: natürlich haben sie es nicht gesagt, sie sollten es aber natürlich sagen (Tippfehler)

Habe ich das richtig verstanden, dass sie quasi alle über 40k Pakete zusammengefasst als „eine Software namens Debian“ zusammengefasst, und das ganze Dingens mit 319 CVEs auf Platz 2 gestellt haben? Ich finde, auf durchschnittliche Fehler pro Paket heruntergerechnet, würde Debian dann doch ziemlich gut dastehen: davon ausgehend, dass eine Grundinstallation um die 300 Pakete beinhaltet, und der Einfachheit halber mal von glatt 40k Paketen ausgehend, komme ich auf 2,4 CVEs für eine Grundinstallation – leider haben sie’s versäumt, im Artikel die Zahl der CVEs für eine Windows-Grundinstallation anzugeben, so dass man da nicht vergleichen kann

Man sieht, doof Zahlen zusammenstellen damit das genehme Ergebnis rauskommt (oder doof Zahlen zusammenstellen und nicht auf die Idee kommen, zu schauen, was diese wohl überhaupt aussagen mögen – ich weiß nicht, was schlimmer für eine vorgebliche Fachzeitschrift ist …) kann jeder – sogar ich. Und eigentlich ist dieser Beitrag damit schon mehr Aufmerksamkeit, als betreffender Artikel der ehemaligen Computerzeitschrift verdient. Dieser Thread erst recht. Aber wenn ich schon mal dabei bin:

Das Problem wird Lieschen Müller (stellvertretend für die augenscheinliche Zielgruppe dieser Seite) sein, die mich dann demnächst an der Bushalte wieder anquatschen wird: „Waaas? Du nutzt Debian? Das ist doch total unsicher!!k Das stand in der BIL… CHIP!“ – naja, die Sache mit Windmühlen und so. Ist nicht wichtig, fahren wir lieber unser tägliches Update, um die Sicherheitspatches für die Lücke, die vor drei Tagen publik wurde und deren Fix vom Upstream vor 3h hochgeladen wurde, zu beheben, während Lieschen mit ihrer sicheren Software ja ruhig noch bis zum nächsten Patchday (wenn der Entwickler es denn geschafft hat, sich bis dahin zu bewegen – sonst halt zum übernächsten Patchday, wenn’s bis dahin fertig sein sollte …) warten kann.


Nur so meine Gedanken dazu. Die Sache mit Android kann man ebenfalls hinterfragen. Ich sehe da nicht mal ’ne Versionsangabe, was davon herstellerspezifische Anpassungen oder vorinstallierte Bloat- und Trackingapps betraf, fehlt auch, und so Kleinigkeiten.

Falls hier, unerwarteterweise, jemand von der Firma da mitlesen sollte: wie wär’s, mal die durchschnittliche Dauer vom Bekanntwerden bis zum Beheben einer Sicherheitslücke zum Vergleich heranzuziehen, und dabei Software gegen Software zu stellen, statt 39.681 dem Kriterium nach einwandfreie Pakete unter den Tisch fallen zu lassen (von 40k ausgehend, genaue Zahlen bitte selbst in Erfahrung bringen, und davon ausgehend, dass jedes CVE ein anderes Paket betraf)? Oder von mir aus auch OS gegen OS, jeweils in der aktuellen Minimalinstallation? Bei den Androiden also die vom AOSP-Android (im Emulator, um hardware(hersteller)spezifische Sachen auszuschließen), bei Distris also eine aktuelle Minimalinstallation, bei Windows also eine aktuelle Win10-Minimalinstallation, etc.? Was spräche dagegen? Zu hoch für die Zielgruppe, zu hoch für den Artikelschreiberling oder den Werbungsschaltenden nicht genehm?

[scnr]

niemand hat geschrieben:Habe ich das richtig verstanden, dass sie quasi alle über 40k Pakete zusammengefasst als „eine Software namens Debian“ zusammengefasst, und das ganze Dingens mit 319 CVEs auf Platz 2 gestellt haben? Ich finde, auf durchschnittliche Fehler pro Paket heruntergerechnet, würde Debian dann doch ziemlich gut dastehen: davon ausgehend, dass eine Grundinstallation um die 300 Pakete beinhaltet, und der Einfachheit halber mal von glatt 40k Paketen ausgehend, komme ich auf 2,4 CVEs für eine Grundinstallation

Ja, Du hast das richtig verstanden, nur komme ich wenn ich die Liste aller DSAs von 2016 [1] nehme auf 391. Man kann jetzt nicht die Sicherheitslücken von openssl/linux/firefox mit denen von cowsay vergleichen. In einer Grundinstallation sind viele Pakete drin, die im letzten Jahr mehr als eine kritische Sicherheitslücke geöffnet haben. Aber Dein Vergleich ist natürlich genauso gut wie die Chip-Statistik, also passt das wieder

Man sieht, doof Zahlen zusammenstellen damit das genehme Ergebnis rauskommt (oder doof Zahlen zusammenstellen und nicht auf die Idee kommen, zu schauen, was diese wohl überhaupt aussagen mögen – ich weiß nicht, was schlimmer für eine vorgebliche Fachzeitschrift ist …) kann jeder – sogar ich.

Da stimme ich Dir voll zu! Es führt zu nichts, wenn man den Effekt eines Tropfen Biers mit dem einer Regentonne Wasser vergleicht. Man kann darüber diskutieren wie man will, aber die Chip-Statistik (oder generell alle nicht bedachten Statistiken) ist nicht als verlässliche Quelle geeignet.

[1] https://www.debian.org/security/2016/

Mmmmh, habe just heute mein jährliches
# debsecan
laufen lassen.
Da ist wohl noch genug zu tun, mit oder ohne 'Chip'

Radfahrer hat geschrieben:Ich wollte mal gucken, was die so schreiben. Aber nachdem mich sofort diese nervige Geräuschkulisse überfallen hat, habe ich gleich wieder weggeklickt. Diese "Musik", die unaufgefordert startet zusammen mit der Aufmachung, reicht mir, um diese Seite einzuordnen.

Habe schon oft gehört, dass Chip wohl so was wie die BILD unter den Computerzeitschriften ist. Scheint zu stimmen. Habe also bisher wohl nichts verpasst.

Ich habe hier noch die Erstausgabe der Chip von 1978. Und ich kenne die ersten Jahrgänge bis in die 90 iger Jahre. Zumindest zum damaligen Zeitpunkt war es ein Muß, Chip zu lesen, weil Chip immer kompetent war und technisch auf der Höhe der Zeit. Aber Redakteure wechseln, die Inhalte auch und die Konkurrenz schläft auch nicht. Die Qualität der heutigen Chip kann ich nicht mehr beurteilen, aber wenn das stimmt, was Du schreibst oder gehört hast, ist das qualitätsmäßig ein ähnlicher Niedergang wie derzeit der Spiegel, der ja gerade 70 Jahre alt geworden ist. Warum nicht Debian auf Platz eins von Distrowatch ist, hat sicherlich viele Gründe. Einer der Gründe scheint mir zu sein, das mehr Wert auf Äußerlichkeiten und Design gelegt wird, als auf technische Stabilität und Reife.

niemand hat geschrieben: Das Problem wird Lieschen Müller (stellvertretend für die augenscheinliche Zielgruppe dieser Seite) sein, die mich dann demnächst an der Bushalte wieder anquatschen wird: „Waaas? Du nutzt Debian? Das ist doch total unsicher!!k Das stand in der BIL… CHIP!“

Viel wahrscheinlicher wird Lieschen Müller eher sagen: "Was ist ein Debian?!"

Nicht nur CHIP macht Debian schlecht. Lest mal was der legendäre fefe über Debian so alles zusammenschreibt: https://blog.fefe.de/?q=debian Das liest sich wie in anderen Publikationen das AfD bashing.

Naja.... fefe erzählt viel, wenn der Tag lang ist.

Radfahrer hat geschrieben:Naja.... fefe erzählt viel, wenn der Tag lang ist.

Yep. Tut er. Diese überhebliche, arrogante Art ist wohl sein Stil - gegenüber Allem und Jedem. Falls die Argumente zur Verbesserung von Debian beitragen sollten, kann ich das nur begrüssen. Den Rest ignoriere ich. Kritik darf man ertragen lernen - auch wenn es manchmal schwierig ist - und das ist gut so.

Womit wir wieder bei der AfD wären - die ja in Ihrem Parteiprogramm den Weg der Reduzierung der Meinungsfreiheit einschlägt - speziell was Kritik am deutschen Staate betrifft. Aussage ohne Beleg.

https://blog.fefe.de/?q=Debilian

heisenberg hat geschrieben:Yep. Tut er. Diese überhebliche, arrogante Art ist wohl sein Stil - gegenüber Allem und Jedem.

lach... Am coolsten ist es immer, wenn herauskommt, dass er mal wieder Blödsinn verbreitet hat. Dann kommt er immer mit:
"Natürlich habe ich diese Falschinformationen absichtlich verbreitet, um mal zu zeigen, wie schnell man auf so etwas hereinfallen kann. Es ist ja schon immer mein Ziel gewesen, die Medienkompetenz meiner Leser zu trainieren...." blablabla...