Linux und Sicher, besser als proprietäre SW ?
-
- Beiträge: 5530
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Linux und Sicher, besser als proprietäre SW ?
Hallo
http://www.heise.de/newsticker/meldung/ ... 89774.html
Hier mal wieder ein Beispiel, das Linux doch nicht so sicher ist, wie von geeks behauptet wird.
mfg
schwedenmann
http://www.heise.de/newsticker/meldung/ ... 89774.html
Hier mal wieder ein Beispiel, das Linux doch nicht so sicher ist, wie von geeks behauptet wird.
mfg
schwedenmann
Re: Linux und Sicher, besser als proprietäre SW ?
Wenn du mal aufmerksam durch dieses Forum liest, wirst du feststellen, dass kaum jemand behauptet, dass Linux so sicher und fehlerfrei wäre, dass gar nichts passieren könnte.
Die aktualisierten Pakete sind verfügbar, btw..
Die aktualisierten Pakete sind verfügbar, btw..
-
- Beiträge: 5530
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: Linux und Sicher, besser als proprietäre SW ?
Hallo
@niemand
Linux ist das goldene Kalb, besser, sicherer als andere SW, hier wird teilweise sehr ideologisch, und wenig rational argumentiert. z.B. Opensource ist perse besser, da der Quellcode offenliegt uind jeder ihn einsehen kann (Genau genommen ist das eine große Schwäche, jeder Hacker, IT-Spezi kann die SW analysieren und eine exploit entwicklen). Das obige Beispiel zeigt genau das Gegenteil und gstreamer ist ja wohl kein großes Projekt mit mehreren Millionen Codezeilen , sollte also von den maintainer, so sie den Quzellcode durchforsten machbar sein, sit heir aber wohl nicht geschehen, auch von anderen nciht, war wohl nichts mit "kann jeder untersuchen"
mfg
schwedenmann
@niemand
Genau diesen Eindruck habe ich nicht.Wenn du mal aufmerksam durch dieses Forum liest, wirst du feststellen, dass kaum jemand behauptet, dass Linux so sicher und fehlerfrei wäre, dass gar nichts passieren könnte.
Linux ist das goldene Kalb, besser, sicherer als andere SW, hier wird teilweise sehr ideologisch, und wenig rational argumentiert. z.B. Opensource ist perse besser, da der Quellcode offenliegt uind jeder ihn einsehen kann (Genau genommen ist das eine große Schwäche, jeder Hacker, IT-Spezi kann die SW analysieren und eine exploit entwicklen). Das obige Beispiel zeigt genau das Gegenteil und gstreamer ist ja wohl kein großes Projekt mit mehreren Millionen Codezeilen , sollte also von den maintainer, so sie den Quzellcode durchforsten machbar sein, sit heir aber wohl nicht geschehen, auch von anderen nciht, war wohl nichts mit "kann jeder untersuchen"
mfg
schwedenmann
Re: Linux und Sicher, besser als proprietäre SW ?
Ich bitte um Belege. Es gibt durchaus Leute, die so argumentieren, aber das ist weder die Mehrheit, noch die Regel.Genau diesen Eindruck habe ich nicht.
Dass jede Software Fehler enthalten kann, ist kein zu großes Geheimnis. Und ja, bei OSS besteht immerhin die Möglichkeit, dass jemand über den Code schaut und den Fehler sieht, während das bei Closed Source gar nicht erst passieren kann. Daraus abzuleiten, dass das auch in jedem Fall passiert, wäre in der Tat ziemlich naiv. Und zu glauben, wenn bei Closed Source keiner die Fehler durch Blick in den Code finden kann, kann sie auch keiner überhaupt finden und ausnutzen, wäre ebenso naiv. So, wie kleine Kinder, welche die Augen zumachen und meinen, man könnte sie dann auch nicht mehr sehen
Aber wolltest du eigentlich irgendwas mitteilen, oder geht’s nur um Fisch?
Re: Linux und Sicher, besser als proprietäre SW ?
Ich definiere Sicherheit inzwischen zusätzlich so, dass meine persönlichen Daten sicher sind. Ob die nun gehakt oder "legitim" nicht nachzuvollziehbar verschwinden, ist mir dabei Wurst, siehe Windows 10 oder Android. Im Moment werkel ich desktopseitig noch mit Windows 7 ( 8.1 umher, da ich mich an viele Programmen einfach zu sehr gewöhnt habe. Das dürfte nach Supportende anders sein.schwedenmann hat geschrieben: Genau diesen Eindruck habe ich nicht.
Für mich ist schon alleine deshalb Linux das sicherere System.
Re: Linux und Sicher, besser als proprietäre SW ?
Hier mal wieder ein Beispiel, daß manche Zeitgenossen völlig unreflektiert irgendwelche Heise-Panikmeldungen wiedergeben.schwedenmann hat geschrieben:Hallo
http://www.heise.de/newsticker/meldung/ ... 89774.html
Hier mal wieder ein Beispiel, das Linux doch nicht so sicher ist, wie von geeks behauptet wird.
Ich lese da Tracker, Bad Plugins, Chrome. Das ist alles nicht Linux (Linux ist der Name des Kernels und nicht der Desktopumgebung) sondern Anwendungsprogramme, die unter Windows den gleichen Fehler auslösen würden.
Davon abgesehen, halte ich diese Tracker und Filesystemwatcher sowieso für überflüssig und gefährlich. Auch unter Windows führt die automatische Thumbnailgenerieung regelmässig zu Problemen und lasten Rechner bis zur Unbenutzbarkeit aus und BSODs hatte ich dadurch auch schon unter Win7/10. Wir empfehlen unseren Anwendern in großer roter Schrift auf der ersten Handbuchseite, diesen Ramsch abzuschalten und auf meinen Linuxrechnern ist sowas gar nicht erst installiert.
Zuletzt geändert von MSfree am 18.11.2016 08:35:43, insgesamt 1-mal geändert.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Linux und Sicher, besser als proprietäre SW ?
Linux wird umgangssprachlich gerne mal fuer das ganze Ökosystem rund um den Kernel benutzt Das sollte man sich nicht so zu herzen nehmen.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Linux und Sicher, besser als proprietäre SW ?
Das birgt aber ein sprachliches Problem. Ich entwickele eine shitty Anwendung für Linux, irgendeine blöde Distribution kommt auf die Idee, die in ihr Repository zu übernehmen, und schon ist "Linux unsicher"?Lord_Carlos hat geschrieben:Linux wird umgangssprachlich gerne mal fuer das ganze Ökosystem rund um den Kernel benutzt Das sollte man sich nicht so zu herzen nehmen.
Was haben wir hier: Fedora Workstation hat per default gstreamer1-plugins-bad-free installiert. Dies birgt ein indirektes Problem, welches man durch Installation von Fremdsoftware aus einem Fremdrepository (wie z.B. Google Chrome) ausnutzen kann. Das ganze ist lediglich ein Problem im Userspace, denn der Tracker läuft nicht mit root-, sondern Benutzerrechten,
Und schon ist "Linux gehackt"?
Für mich läuft das mehr unter "Äschi bätschi, auch euch kann man etwas untermogeln", was aber nie zur Diskussion stand. Wer weiß, was viele von uns alleine mit der Installation von Adobe Flash an Sicherheitslücken auf den Rechner gebracht haben.
Zuletzt geändert von owl102 am 18.11.2016 09:16:32, insgesamt 2-mal geändert.
Re: Linux und Sicher, besser als proprietäre SW ?
Ich sehe das recht grundsätzlich:
Linux und sein Open-Source-Umfeld erlauben mir grundsätzlich, Herr meines Rechners zu bleiben.
Closed Source erlaubt mir das grundsätzlich nicht.
Linux und sein Open-Source-Umfeld erlauben mir grundsätzlich, Herr meines Rechners zu bleiben.
Closed Source erlaubt mir das grundsätzlich nicht.
Re: Linux und Sicher, besser als proprietäre SW ?
Das sehe ich nicht so.owl102 hat geschrieben:BTW: Der Vergleich zu Windows hinkt IMHO alleine schon deswegen gewaltig.
Das eigentlich Fehler liegt in der Thumbnailgenerierung, die der Tracker auslöst und dazu ein Bad-Plugin verwendet. Die Beteiligung von Chrome ist eigentlich nur indirekt, weil Chrome automatisch den Download einer manipulierten Mediendatei in ein Standardverzeichnis anstößt, was vom Tracker erkannt wird und zur Thumbnailgenerierung führt.
Der gleiche Mechanismus existiert so auch unter Windows.
- whisper
- Beiträge: 3194
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Linux und Sicher, besser als proprietäre SW ?
Ziemlich weit entfernt von einem Angriffs-Szenario
Ich sehe nur die Überschrift:
" Webseite aufgerufen, Linux gehackt "
Heise verkommt zu einem Suchmaschinen optimierten, banalisierenden Portal zum Werbeeinnahmen generierenFedora
Chrome
Tracker bzw. Gnome
gstreamer bad plugins
Ich sehe nur die Überschrift:
" Webseite aufgerufen, Linux gehackt "
Re: Linux und Sicher, besser als proprietäre SW ?
Sicherer als proprietäre Software würde ich dennoch bejahen. Als Superbeispiel wird hier sicher mal Flash in die Geschichtsbücher eingehen.
Wo Software geschrieben wird, werden Fehler gemacht. Bei OpenSource Software können andere deutlich einfacher Fehler finden, z.B. das google security Team, dass sich schon mal Software vornimmt und Fehler sucht.
Sie machen das auch in proprietärer Software. Aber da gehen dann üblicherweise nur Blackbox Tests, was deutlich weniger effektiv ist.
Ich habe letztens einen Artikel gelesen, in dem der Grundtenor war: Die Bösen kommen eh rein, wie kann man das schnell erkennen und wie verhindern, dass alle Daten rausgetragen werden. Ich werde versuchen, ihn später mal wieder zu finden und hier zu posten.
Wo Software geschrieben wird, werden Fehler gemacht. Bei OpenSource Software können andere deutlich einfacher Fehler finden, z.B. das google security Team, dass sich schon mal Software vornimmt und Fehler sucht.
Sie machen das auch in proprietärer Software. Aber da gehen dann üblicherweise nur Blackbox Tests, was deutlich weniger effektiv ist.
Ich habe letztens einen Artikel gelesen, in dem der Grundtenor war: Die Bösen kommen eh rein, wie kann man das schnell erkennen und wie verhindern, dass alle Daten rausgetragen werden. Ich werde versuchen, ihn später mal wieder zu finden und hier zu posten.
Re: Linux und Sicher, besser als proprietäre SW ?
Full ACK! Wer hingegen Linux nutzt, weil es kein Geld kostet und/oder sicher ist, ist nur schwach motiviert. Diese Diskussion ist auch für meine Grundsatzentscheidung uninteressant.TuxPeter hat geschrieben:Ich sehe das recht grundsätzlich:
Linux und sein Open-Source-Umfeld erlauben mir grundsätzlich, Herr meines Rechners zu bleiben.
Closed Source erlaubt mir das grundsätzlich nicht.
Re: Linux und Sicher, besser als proprietäre SW ?
Ich halte mittlerweile Windows für das sicherste Desktop-Betriebssystem. Einfach weil Mcrosoft das wohl meisten lernen musste, auch zum Teil sehr schmerzhaft. Heute sind ihr System entsprechend getrimmt, was OSX und Linux praktisch noch nie mussten. Ihre Sicherheit steht überwiegend auf dem Papier. Wie es tatsächlich aussehen kann, sieht man an Android. Nichts anderes aks eine Linux-Distribution.
Theoretisch kann man die OSS analysieren, praktisch kann das nur jemand der Programmieren auf hohem Niveau betreibt, die Sprache und die Software kennt. Also grobe Fehler kann auch ein Programmieranfänger finden und beseitigen. Alles andere? Meine persönliche Erfahrung ist die, das ich mit PHP ganz gut klar komme, aber zb. bei C++ geschriebenen Software erstmal schauen muss wie C++ funktioniert und auf was man sonst achten muss. PHP und C++ teilen sich die gleiche Syntax, arbeiten jedoch unterschiedlich. Bis ich zb. den Code von LibreOffice prüfen kann, vergehen Wochen, weil man sich in C++ und anschließend mit dem LibreOffice Code beschäftigen muss.
Es ist also nicht so das jeder sich den Code schnappen, prüfen und Veränderungen einbringen kann. Wenn es so einfach wäre, würde es ja jeder machen
Theoretisch kann man die OSS analysieren, praktisch kann das nur jemand der Programmieren auf hohem Niveau betreibt, die Sprache und die Software kennt. Also grobe Fehler kann auch ein Programmieranfänger finden und beseitigen. Alles andere? Meine persönliche Erfahrung ist die, das ich mit PHP ganz gut klar komme, aber zb. bei C++ geschriebenen Software erstmal schauen muss wie C++ funktioniert und auf was man sonst achten muss. PHP und C++ teilen sich die gleiche Syntax, arbeiten jedoch unterschiedlich. Bis ich zb. den Code von LibreOffice prüfen kann, vergehen Wochen, weil man sich in C++ und anschließend mit dem LibreOffice Code beschäftigen muss.
Es ist also nicht so das jeder sich den Code schnappen, prüfen und Veränderungen einbringen kann. Wenn es so einfach wäre, würde es ja jeder machen
Re: Linux und Sicher, besser als proprietäre SW ?
Soweit ich das verstanden habe, ist es ein root-only,ViNic hat geschrieben: Wie es tatsächlich aussehen kann, sieht man an Android. Nichts anderes aks eine Linux-Distribution.
das mit "Benutzerkontensteuerung" (nachträglich eingeschränktem root) und sandboxing wieder abgesichert werden soll.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Linux und Sicher, besser als proprietäre SW ?
Grundsätzlich kann man ja erst mal annehmen, dass Windows und Linux gleich sicher sind. Das Problem ist dann eigentlich nur was man weiterhin mit dem System macht. Bei Windows installiert man in der Regel weitere Software aus unbekannten Quellen. Bei Linux hat man mit seiner Paketverwaltung ein recht sicheres Baukastensystem. Aber natürlich kann man sich auch bei Linux sehr schnell von seiner Paketverwaltung entfernen. Beispiele sind hier z.B. Flash oder auch das oben aufgeführte Multimedia-Zeug.
Vorteil bei Linux ist, dass man recht gut mit der Software aus der Paketverwaltung auskommen kann. Auch kann man versuchen auf "contrib" und "non-free" so weit wie möglich zu verzichten. Bei Windows muss man auch nur eine Inventur darüber machen was man so alles irgendwann mal installiert hat. Im optimalsten Fall war es gar nichts.
Sowohl die Paketverwaltung unter Linux als auch das Patchmanagement bei Windows kümmert sich darum, dass Standardsoftware aktuell gehalten wird. Gedanken muss man sich eigentlich nur um den Rest machen, der bei Linux meist weit geringer ist. Daher sehe ich Debian GNU/Linux als sicherer an.
Vorteil bei Linux ist, dass man recht gut mit der Software aus der Paketverwaltung auskommen kann. Auch kann man versuchen auf "contrib" und "non-free" so weit wie möglich zu verzichten. Bei Windows muss man auch nur eine Inventur darüber machen was man so alles irgendwann mal installiert hat. Im optimalsten Fall war es gar nichts.
Sowohl die Paketverwaltung unter Linux als auch das Patchmanagement bei Windows kümmert sich darum, dass Standardsoftware aktuell gehalten wird. Gedanken muss man sich eigentlich nur um den Rest machen, der bei Linux meist weit geringer ist. Daher sehe ich Debian GNU/Linux als sicherer an.
- whisper
- Beiträge: 3194
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Linux und Sicher, besser als proprietäre SW ?
Dein Eindruck lässt sich allerdings für das Jahr 2015 nicht bestätigenViNic hat geschrieben:Ich halte mittlerweile Windows für das sicherste Desktop-Betriebssystem. Einfach weil Mcrosoft das wohl meisten lernen musste, auch zum Teil sehr schmerzhaft. Heute sind ihr System entsprechend getrimmt, was OSX und Linux praktisch noch nie mussten. Ihre Sicherheit steht überwiegend auf dem Papier. Wie es tatsächlich aussehen kann, sieht man an Android. Nichts anderes aks eine Linux-Distribution.
http://www.gfi.com/blog/2015s-mvps-the- ... e-players/
Re: Linux und Sicher, besser als proprietäre SW ?
Auf eine Sicherheitslücke muss noch irgendwas Sinnvolles für den Angreifer erfolgen. Was bringt also die beste Sicherheitslücke wenn am Ende die Malware nur unter Windows läuft.
http://www.talosintelligence.com/angler-exposed
https://heimdalsecurity.com/blog/exploi ... yber-crime
http://www.talosintelligence.com/angler-exposed
https://heimdalsecurity.com/blog/exploi ... yber-crime
Re: Linux und Sicher, besser als proprietäre SW ?
Aber das Windows allgemein sicherer als Ubuntu istwhisper hat geschrieben: Dein Eindruck lässt sich allerdings für das Jahr 2015 nicht bestätigen
http://www.gfi.com/blog/2015s-mvps-the- ... e-players/
Auf diese und ähnliche Berichte nehme ich nichts mehr. Schon viel gesehen, wenn auch nicht genug. Die erste Sicherheitslücke ist nunmal der Mensch.
-
- Beiträge: 5530
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: Linux und Sicher, besser als proprietäre SW ?
Hallo
Nur mal als Denkanstoß
https://www.cvedetails.com/top-50-produ ... ?year=2016
mfg
schwedenmann
P.S.
Die Liste ist bestimmt ein fake, kann so gar nicht sein.
Nur mal als Denkanstoß
https://www.cvedetails.com/top-50-produ ... ?year=2016
mfg
schwedenmann
P.S.
Die Liste ist bestimmt ein fake, kann so gar nicht sein.
Re: Linux und Sicher, besser als proprietäre SW ?
Interessant. Durch den Verzicht auf Adobe Flash spare ich fast so viele Sicherheitslücken ein wie in Debian GNU/Linux vorkommen. Zudem sind die Flash-Lücken weit höher bewertet.
Ich lese lieber die Sicherheitslücken laut:
http://www.debian.org/security
... und versuche den dort genannten Programmen einfach aus den Weg zu gehen bzw. überlege mir wo das Risiko wirklich sein kann
Ich lese lieber die Sicherheitslücken laut:
http://www.debian.org/security
... und versuche den dort genannten Programmen einfach aus den Weg zu gehen bzw. überlege mir wo das Risiko wirklich sein kann
Re: Linux und Sicher, besser als proprietäre SW ?
Was zählt da zu was? Ist Windows nur der Kernel und die mitgelieferten Programme? Wird da unter Debian für alle installierbaren Packages gezählt?
Zumindest letzteres klingt für mich so, wenn ich mir z.B. CVE-2016-2806 anschaue:
Zumindest letzteres klingt für mich so, wenn ich mir z.B. CVE-2016-2806 anschaue:
Ich würde jetzt z.B. nicht erwarten, dass der in der Standardinstallation dabei ist. Werden Firefox Fehler unter Windows auch zu Windows gezählt?Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 46.0 and Firefox ESR 45.x before 45.1 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.
Re: Linux und Sicher, besser als proprietäre SW ?
Gegenbeispiel mit den selben Quelldaten (CVE Score >=7 für 2016):schwedenmann hat geschrieben:Nur mal als Denkanstoß
https://www.cvedetails.com/top-50-produ ... ?year=2016
Debian: 69 [1]
Win10: 103 [2]
Win8.1: 95 [3]
Win7: 89 [4]
OSX: 116 [5]
Fazit: Traue keiner Statistik, die du nicht selbst gefälscht hast!Edit hat geschrieben:passende Heise-Schlagzeile dazu:
Windows mit bis zu 50% mehr Sicherheitslücken als Linux
Vielleicht als interessante Lektüre dazu (selbst nicht gelesen): "Lügen mit Zahlen" (ISBN: 978-3453173910)
Wer möchte ein Eis?
[1] https://www.cvedetails.com/vulnerabilit ... a4e8c895ea
[2] https://www.cvedetails.com/vulnerabilit ... 9da2b1b95c
[3] https://www.cvedetails.com/vulnerabilit ... 254adb19e9
[4] https://www.cvedetails.com/vulnerabilit ... 5d5af7d8fc
[5] https://www.cvedetails.com/vulnerabilit ... 03e5b82cac
Re: Linux und Sicher, besser als proprietäre SW ?
Aber kein Fisch- oder Knoblaucheis.Wer möchte ein Eis?
https://www.cvedetails.com/top-50-produ ... ?year=2016
RedHat (damit auch das bitgleiche CentOS) steht recht gut da. Wenn ich jetzt paranoid wäre ... .
Ach nö, sind ja 101 mit Score ≥ 7
https://www.cvedetails.com/vulnerabilit ... c19c6f1405
Hikaru hat den Score vlt. "politisch" gewählt?!
Zuletzt geändert von BenutzerGa4gooPh am 18.11.2016 13:11:04, insgesamt 1-mal geändert.
Re: Linux und Sicher, besser als proprietäre SW ?
Ganz im Gegenteil: jede App bekommt eine eigene UID und GID, außerdem ist mittlerweile zusätzlich noch SELinux Standard.rendegast hat geschrieben:Soweit ich das verstanden habe, ist es ein root-only,
das mit "Benutzerkontensteuerung" (nachträglich eingeschränktem root) und sandboxing wieder abgesichert werden soll.