[gelöst]Debian Testing: Sicherheit im alltag

[Heliosstyx]

Wie sicher ist Debian Testing im Alltagsgebrauch, wenn man normale digitale Geschäfte (Banking, Shopping etc.) abwickeln möchte, ohne dabei zu riskieren "digitalen Räubern und Kriminellen" in die Hände zu fallen? Ich meine damit, nicht dass der Benutzer sich absichtlich auf nebulösen Websites herumtreibt.

[DeletedUserReAsG]

Ist halt Testing. Fehler können und sollen auftreten (damit man sie nämlich erkennen und beheben kann), sicherheitsrelevante Fehler werden aber nicht unbedingt bevorzugt abgearbeitet, wie etwa bei Stable mit dem security-Repo.

[willy4711]

Ist doch egal ob Testing, Sid, Stable, oder Old-Stable.
Sag mir, ob es sich bei dir lohnt, ich finde (bzw. lasse finden) einen Weg

Sicher:
Shopping nur per Vorkasse bei seriösen Lieferanten.
Gedachtes Sicherheits- Plus: Der Händler hat zumindest nicht automatisch meine Bankdaten.

Bankgeschäfte nur über VM mit HBCI / Foto-TAN oder Chip-TAN (Autsch, das kostet ja was )

Mal ins Konto schauen: (über einen Browser mit firejail (privat-Browser)
sieht dann so aus:

Code: Alles auswählen

firejail --private=~/.privat-browser/waterfox/  /opt/waterfox/waterfox

[Heliosstyx]

@willy4711: Danke.Geht es ein bißchen genauer, was Du eigentlich meinst. Ich brauche objektive Entscheidungsgrundlagen, am Besten aus der Praxis.

[TomL]

Wie sicher ist Debian Testing im Alltagsgebrauch, wenn man normale digitale Geschäfte (Banking, Shopping etc.) abwickeln möchte, ohne dabei zu riskieren "digitalen Räubern und Kriminellen" in die Hände zu fallen? Ich meine damit, nicht dass der Benutzer sich absichtlich auf nebulösen Websites herumtreibt.

Sicherheit hat nur indirekt mit dem Betriebssystem zu tun. Sicherheit steht und fällt vorrangig mit dem eigenen Verhalten. Du kannst mit hoher Sorgfalt und Sachkenntnis Mint oder Windows sicher betreiben, du kannst genauso gut mit Fahrlässigkeit die Sicherheit von Debian Buster völlig ausser Kraft setzen. Soll heissen, Sicherheit ist relativ, Du schaffst Sicherheit, Du zerstörst Sicherheit ... eins von beiden. Testing ist halt nicht 'stable', was man großzügig hierbei ggf. auch mit "nicht dauerhaft stabil" übersetzen könnte. Ob die Bugs sich auf die Sicherheit auswirken können ....tja, kommt ganz drauf an. Allerdings glaube ich nicht, das "Testing" obligatorisch einen negativen Einfluss auf den Browser beim Banking/Shopping hat.

Du solltest Dich vielleicht aber auch mal mit der Frage beschäftigen, welche Vorteile Du Dir überhaupt von Testing versprichst und welche Vorteile es für Deine PC-Gewohnheiten tatsächlich effektiv gibt. Sind es Vorteile, die nur auf Wunschdenken basieren, würde ich bei Stable bleiben.

jm2c

[TRex]

Ich brauche objektive Entscheidungsgrundlagen, am Besten aus der Praxis.

Hast du mal ein Beispiel, was du da suchst? Vielleicht von etwas, das du kennst?

[willy4711]

Danke.Geht es ein bißchen genauer, was Du eigentlich meinst. Ich brauche objektive Entscheidungsgrundlagen

Nein geht es nicht. Weil das , wie TomL schon sagte, ganz von deinem persönlichen Verhalten abhängt..
Beispiel, das mir mal passiert ist:
Plötzlich war meine Visa-Card gesperrt. Ein Anruf bei der Bank, ergab, dass irgendjemand in den USA versucht hatte mit meiner Kartennummer an Geld zu kommen.
Wahrscheinlich wurde irgendwo einen Kundendatenbank gehackt, wie es tagtäglich vorkommt.
Meine Lehre daraus: Internet- Shopping nur noch über Vorkasse. So brauche ich nicht meine Kartendaten
irgendwelchen Verkäufern und damit ihren Datenbanken preisgeben.

Wer aber nun meint überall sein Smartie zücken zu müssen, oder begeistert (weil schick und Kostenlos)
Die Bank-App zu benutzen um TAN's per Foto-Tan oder auf einen andere Art zu generieren, ist halt selbst schuld
wenn da was schief geht.

Man muss sich halt darüber im Klaren sein, dass der Browser (egal unter welchen System) und das Handy die Zielobjekte von Ganoven, Datenspähern und jedem , der noch Interesse an Daten hat, sind.

Man sollte sich auch darüber im Klaren sein, dass alles "schicke" Verschlüsseln keinerlei Einfluss darauf hat,
dass Jemand an deine Daten kommt. Vom Diebstahl mal abgesehen.

Wenn ich hier im Forum die Diskussionen über die Angst vor kompromittierten System lese, bin ich hier
entweder zwischen lauter Milliardäre und Geheimnisträger geraten oder bin in einem Club von Paranoikern,
die sich als den Nabel der Welt sehen.

Das soll alles nicht heißen, dass man sorglos durch die Welt trappelt. Aber glaube mir, es gibt in jedem
System Sicherheitslücken, von denen die Öffentlichkeit nie etwas erfährt, weil die Staatsmacht dafür sorgt.

Kurzum: Es ist relativ egal, welches Betriebssystem du benutzt. Auf dein Verhalten kommt es an.

[TRex]

Kurzum: Es ist relativ egal, welches Betriebssystem du benutzt. Auf dein Verhalten kommt es an.

Das ist nicht *ganz* richtig. Hinreichend aktuelle oder gepatchte Programme sind wichtig. Sowohl Windows XP als auch Firefox 4 sind nicht tragbar. Latent lückenhafte Programme wie Adobe PDF, Flash oder alte Android-Versionen sind riskant zu nutzen. Beliebigen Schrott von cnet oder aus dem appstore des Smartphones zu installieren ist genauso wenig clever.

willys Beispiel ist Datenreichtum, welcher in die falschen Hände geriet. Das ist die letzte und vermutlich die häufigste Kategorie, wie jemand Bankdaten oder Passwörter "verliert". Da hilft keine Software, nur Hirn und gesundes Misstrauen.

[Heliosstyx]

Besten Dank für eure fundierten Aussagen.
@TRex: Mein Ansinnen war, nachdem ich auf meinen Maschinen momentan mit der Tonqualtität unter Debian 10 nicht so zufrieden bin wie unter Windows 10, wobei ich der Vollständigkeit halber dazu sagen muss , dass ich unter Windows 10 ausschließlich kommerzielle Programme einsetze, und so habe ich Debian Testing live non-free ISO ausprobiert und habe dort pulseeffects installiert und ich war überrascht wie gut und anpassbar die Tonqualität meiner Maschinen plötzlich war, Gnome 3.34 ist einiges schneller und der nouveau-Treiber scheint ebenfalls leistungsfähiger zu sein (Kernel 5.2). Das war es eigentlich, was mich zum Nachdenken gebracht hat, ob ich den Wechsel durchführen soll oder nicht. Ob es das allein wert ist, ist fraglich und so wollte ich eure Meinung erfahren und so vielleicht zu einer objektiven Risiko/Nutzen Analyse komme.

[OrangeJuice]

Manche wichtige Pakete mit Sicherheitsaktualisierungen schaffen es erst sehr spät nach Testing. Dazu hatte ich unter Testing einige Bugs, die ziemlich nervig waren. Dabian Sid dagegen hatte meisten meine Pakete schon aktualisiert.

Ich setzte auf Debian Sid und es läuft für mich bisher gut. Aber das kann jeder für sich abwägen.

Schau dir noch den Bugtracker an, wie schnell Bugs geschlossen wurden.

Debian Testing
Debian Sid

[willy4711]

, wobei ich der Vollständigkeit halber dazu sagen muss , dass ich unter Windows 10 ausschließlich kommerzielle Programme einsetze,

Und warum machst du das unter Linux nicht auch?
Äpfel mit Birnen zu vergleichen ist unfair

[pferdefreund]

Ich empfehle für den Umstieg erst mal Stable. Das funktioniert, einmal eingerichtet problemlos und man kann sich auf das Einarbeiten in Linux konzentrieren. Wenn man dann einigermassen fit ist, kann man ja immer noch zu Sid wechseln. Und wenn es eine 2. Spielpartition ist. Stable für die Arbeit und Sid dann fürs weitere Üben und experimentieren. Das mit den 2 Systemen mache ich schon seit Jahren so. Damit habe ich immer ein funktionierendes System und meist sogar 2.

[kalle123]

... kann man ja immer noch zu Sid wechseln. Und wenn es eine 2. Spielpartition ist. Stable für die Arbeit und Sid dann fürs weitere Üben und experimentieren. Das mit den 2 Systemen mache ich schon seit Jahren so.

Sid schön und gut, die Fragestellung hier zielte aber auf Testing

cu KH

[Heliosstyx]

Okay. Dann ist wohl "Stable" das Beste, ansonsten einen Distro nehmen, die auf Debian Testing basiert, wo sich aber eine Crew um das Ausbügeln der noch vorhandenen Debian "Fehler" kümmert.

[willy4711]

Also ich weiß nicht, warum hier immer wieder, gerade von denen, die Testing oder Sid benutzen, so getan wird, als sei Testing was
ganz besonderes, was nur absolute Profis benutzen dürfen.
Ich fahre jetzt 4 oder 5 Jahre ausschließlich Testing und auch noch dazu mit gleicher Priorität deb.multimedia (noch schlimmer als Tetsting )
schon immer in meiner sources.list gehabt. Release-Wechles merke ich nicht, außer dass ein paar Wochen keinen oder nur wenig
updates kommen, was dann gewissen Entzugs- Erscheinungen hervorruft

Es gab einmal ein schweres Problem, als apt "vergaß" die kernel-headers für einen neuen Kernel zu holen und dann natürlich der Build
der Nvidia Treiber gründlich in die Hose ging, was mit einem Blackscreen endete.

An mehr kann ich mich bei Xfce nicht erinnern. Ab und zu wird mal ein Paket zurückgehalten, weil Abhängigkeiten nicht zu erfüllen sind, aber ein paar
tage später hat sich auch das erledigt. Das sind alle Horrorgeschichten, die ich über Testing erzählen kann.

Tut mir wirklich leid, nicht mehr Horror Geschichten erzählen zu können.

[DeletedUserReAsG]

Ich erwähnte es an anderer Stelle schonmal: schön, dass es für dich funktioniert. Du stellst aber nicht die Referenz für alle User, so dass andere User, mit anderen Kenntnissen, anderen Updatezeitpunkten, anderen installierten Paketen und anderen Konfigurationen völlig andere Erfahrungen machen können. Und dass bei Testing (und noch mehr bei Sid) ab und zu was kaputtgeht, steht wohl außer Frage.

Leider heißt’s dann, wenn das System dann tatsächlich mal mit Datenverlust im Nirvana gelandet ist, nicht „der Willy ist doof, der hat gesagt, das Testing würde prima tun“, sondern „Debian ist doof“. Und das muss doch wohl nicht sein.

[kalle123]

@willy4711.

Dank dir für die klaren Worte.

... als sei Testing was ganz besonderes, was nur absolute Profis benutzen dürfen.

Den Eindruck hab ich hier auch gewonnen. Hab Testing ca. 2 Jahre in vbox ohne Probleme dort je gesehen zu haben. Vor nem Jahren meinen 'Neuen' gebaut (Buster) und dem 'Alten' Testing gegönnt. Auch das ohne Probleme. Sogar meine uralt Hauppauge Sat Karte geht dort. Thinkpad jetzt auch mit Testing. Null problemo

Frag mich, warum ich auf meinem 'Neuen' überhaupt noch Buster drauf hab?

Grüße KH

[DeletedUserReAsG]

Der Punkt ist: der TE ist erkennbar Einsteiger. Dem fehlen wesentliche Grundlagen, um Kleinigkeiten, die für ’nen geübten User nicht mal ’n Nachdenken wert sind, adäquat zu handhaben. Und dieser Einsteiger fragt sinngemäß nach der Alltagstauglichkeit eines Systems, das per Definition ab und zu mal Schluckauf haben darf.

@kalle123 – ist’s okay, wenn ich deinen Post mit ’nem hübsch auffällig eingefärbten und großgeschriebenen „told you so!“ verlinke, wenn du mal auf Testing zurückzuführende Probleme hier zu lösen versuchst?

[kalle123]

@kalle123 – ist’s okay, wenn ich deinen Post mit ’nem hübsch auffällig eingefärbten und großgeschriebenen „told you so!“ verlinke, wenn du mal auf Testing zurückzuführende Probleme hier zu lösen versuchst?

Wenn es dir Freude macht, bitte.

Aber die 'Affinität' zu Testing scheint nicht nur auf dieses Debian Forum beschränkt zu sein.
http://forums.debian.net/viewtopic.php?f=30&t=143939

Gruß KH

[willy4711]

Wenn ich mir so die Threads hier ansehe, gibt es mehr Probleme mit Stable und dem gerade stattgefundenen Distributionssprung
als mit Testing.
Ich habe nach einem halben Jahr "leiden" mit OpenSuse als mehr oder weniger "blutiger" Anfänger gleich auf Testing gesetzt.
Aber lernwillig muss man bei Linux eh sein.

[Lord_Carlos]

Solange der Browser aktuell ist, wuerde ich auch unter Testing Online Banking machen.

[DeletedUserReAsG]

Aber die 'Affinität' zu Testing scheint nicht nur auf dieses Debian Forum beschränkt zu sein.

Falls ich undeutlich oder zu klein geschrieben haben sollte: Ich habe nix gegen Testing. Ich halt’s nur für fahrlässig, es einem Anfänger zu empfehlen, der solche Threads erstellt, wie diesen (und andere). Die Probleme, die fortgeschrittenere User (und keinesfalls irgend ’ne Elite, wie hier schon wieder wild herumgedichtet wird) teils gar nicht mal mehr bewusst wahrnehmen, können bei jemandem, der nicht damit umzugehen weiß, ziemlich folgenschwer sein.

Ist das nun verstanden worden? Und jetzt nochmal drüber nachdenken, warum es wohl „Testing“ heißt, um das Gelernte nochmal zu festigen.

Ich habe nach eienm halben Jahr "leiden" mit OpenSuse als mehr oder weniger "blutiger" Anfänger gleich auf Testing gesetzt.

Ich finde, du solltest es mal nicht so darstellen, dass du ja gar keine Probleme mit Testing gehabt hättest. Deine Beitragshistory zeichnet eine andere Faktenlage.

[willy4711]

Ich finde, du solltest es mal nicht so darstellen, dass du ja gar keine Probleme mit Testing gehabt hättest. Deine Beitragshistory zeichnet eine andere Faktenlage.

Klar hab ich auch das eine oder andere Problem. Aber das hängt in den meisten Fällen nicht an Testing zusammen, sondern an Unzulänglichkeiten der Distro, oder hausgemachten Fehlern.
Aber dafür haben wir ja ein Forum
Vielleicht noch erwähnenswert: Ich fahre schon immer mit doppeltem Boden. D.h. ich habe auf jeden Fall ein zweites System, das ich im Havariefall
benutzen kann, um auf das andere zuzugreifen. Ist aber so gut wie nie nötig.

[kalle123]

Vielleicht sollte man Testing als rolling release für den mit Linux vertrauten User definieren.
Meine persönliche Erfahrung mit einer rolling release beschränken sich auf 2 Jahre mit PCLinuxOS.
Da waren auch Linux Neulinge unterwegs, aber wegen des kleine, fast familiären Forums und des sehr angenehmen Umgangstons dort (auch Neulingen gegenüber!) wurden Probleme und Problemchen (ja, kam ab und zu vor, aber nicht häufig ...) innerhalb von Stunden beseitigt.

Vielleicht noch erwähnenswert: Ich fahre schon immer mit doppeltem Boden. D.h. ich habe auf jeden Fall ein zweites System, das ich im Havariefall
benutzen kann, um auf das andere zuzugreifen. Ist aber so gut wie nie nötig.

Solltest du nicht extra erwähnen, versteht sich doch von selbst

Das einzige Problem, das ich bisher mit Testing hatte, war dieser Satz hier aus der Wiki

So hart es auch klingt, wer sich keine sources.list für testing, unstable oder gar experimental selbst erstellen kann. Der sollte vorerst noch bei stable bleiben und sich weiter in Debian einarbeiten.

und wie ich bei meiner Nachfrage dazu hier im Forum von Einzelnen 'abgebügelt' wurde.

@kalle123 – ist’s okay, wenn ich deinen Post mit ’nem hübsch auffällig eingefärbten und großgeschriebenen „told you so!“ verlinke, wenn du mal auf Testing zurückzuführende Probleme hier zu lösen versuchst?

Hierzu noch ein Nachsatz.Wenn ich das noch mal überfliege, kommen in mir recht unschöne Assoziationen hoch. Ich hätte mir da zumindest ein Smiley gewünscht. So eins z.B.

Grüße KH

[DeletedUserReAsG]

Ich hätte mir da zumindest ein Smiley gewünscht.

Warum? War ernst gemeint – für deine Assoziationen kann ich nix, und dass es früher oder später Probleme geben wird, ist wahrscheinlich.

Testing ist ein System zum Testen, und Anfänger fangen idealerweise mit ’nem verlässlichen, stabilen System an – das sind nunmal verschiedene Sachen. Sonst kommt’s nur zu so Situationen, dass der Anfänger sämtliches Fehlverhalten auf das System schiebt, das ja so unzuverlässig wäre, während er’s nur falsch bedient. Beispiele dafür finden sich hier im Forum, und auch im Bugtracker. Oder halt andersrum – dann kommt er auf die Idee, dass Linux ja doch viel zu kompliziert für ihn wäre, weil er’s nicht hinbekommt – und dabei lag’s bloß an einer Handvoll Bugs […].

Klar kann auch ’n Anfänger mit Testing einsteigen. Wenn er nicht ganz blöde ist, und auch etwas Zeit investiert, die’s nunmal braucht, kann das sogar ganz gut gehen. Aber daraus abzuleiten, dass man jedem Anfänger Testing andrehen müsste, halte ich nach wie vor für vollkommen falsch.