Meinungen zum Thema "Audacity"?

[hikaru]

Unter Punkt 2 und 4 steht alles relevante.

Relevant für das Verhalten des Programms ist Quellcode, nicht was irgendwer in die Prosa auf irgendeiner Webseite hineininterpretiert.
Also: Wo ist der Spionage-Code?

[MSfree]

Relevant für das Verhalten des Programms ist Quellcode, nicht was irgendwer in die Prosa auf irgendeiner Webseite hineininterpretiert.

Es ist nicht "irgendwer", der die "Prosa" formuliert hat sondern der Hersteller. Glaubst du wirklich, daß der sowas schreibt, ohne den entsprechenden Code zumindest vorrätig zu haben (auch, wenn der im Moment noch nicht im Release eingebaut ist)?

[willy4711]

Nur zur Erklärung:

Die russische WSM Group ist der Eigentümer von Audacity / Muse (Neusprech: Eigentum vom Schlächter Putin )

Wüsste nicht welches Interesse die an deinem gerade "geklautem" Liedchen haben sollte, wo doch
das Copyright auf solche Dinge im Reich Putins mehr als lässig ist.

Es geht wohl da mehr um die Lizenzrechte der Software.

[hikaru]

Glaubst du wirklich, daß der sowas schreibt, ohne den entsprechenden Code zumindest vorrätig zu haben (auch, wenn der im Moment noch nicht im Release eingebaut ist)?

Was ich glaube ist reichlich irrelevant. Relevant ist, was an Code ausgeführt wird. Wenn du problematischen Code kennst, dan zeig ihn einfach!
Ob solcher Code in irgendeiner Schublade schlummert weiß ich nicht. Das Schöne an FLOSS ist, dass wir es sofort mitbekommen (können), wenn der aktiviert wird. Angesichts der aktuellen Lage ist es sicher richtig, wachsam zu sein. Aber das ist es eigentlich immer.

[mcb]

Hier sollte sich der Code einfach finden lassen:

https://github.com/tenacityteam/tenacity

Grafisch markiert

[willy4711]

Hier sollte sich der Code einfach finden lassen:

Aha in der Begründung ist heiße Luft und nix von Code. Telemetrie ist doch inzwischen
wieder entfernt ??

Why did this project fork audacity/audacity?
You can find more information on the causes of the fork here:

Privacy policy which may violate the original project's GPL license
Contributer's License Agreement (CLA) which may violate the same GPL license
Attempts at adding telemetry using Google services for data collection

Zum Rest hat ja @hikaru ausführlich Stellung genommen

[mcb]

Nein die Codestellen ala 'removed'

Man kann sich doch die Unterschiede anzeigen lassen Fork <-> Original ...

[DeletedUserReAsG]

Das Schöne an FLOSS ist, dass wir es sofort mitbekommen (können), wenn der aktiviert wird.

Das weniger Schöne ist, dass man sich in falscher Sicherheit wiegt, wenn man die „irgendwer wird schon draufschauen und was sagen, wenn was sein sollte“-Schiene fährt. Das passierte in der Vergangenheit selbst bei sicherheitsrelevanten Sachen nicht ausreichend, und man müsste schon sehr naiv sein, wenn man sich drauf verlassen würde, dass es bei ‘nem Audioeditor gemacht wird.

Jetzt guckt vielleicht der Eine oder Andere von denen, die zumindest eine Chance haben, die gröbsten Sachen zu entdecken, drauf. Aber sobald sich der Staub gelegt hat, und sich das Interesse dem nächsten Aufschrei zugewendet hat, tut’s keiner mehr. Die Frage ist schon berechtigt: wenn der neue Hersteller nicht vor hätte, sowas zu machen – warum schreibt er’s dann hin?

[mcb]

Ach ich warte erstmal ab und hoffe das Debian ab nach bullseye eine Lösung bietet:

- Fork
- Audacity mit 2 / 3 Patches
- Audacity 3.02 ?!? Mit backportierten Zeugs o.ä.
- Audacity 2.4

Aber ich bleibe dabei: Ich möchte und brauche keine Internetverbindungen im Audioeditor. 'Wo ein Trog ist kommen die Schweine' und schon war die Datenschutzbestimmung nur heiße Luft.

[mcb]

Unter Punkt 2 und 4 steht alles relevante.

Relevant für das Verhalten des Programms ist Quellcode, nicht was irgendwer in die Prosa auf irgendeiner Webseite hineininterpretiert.
Also: Wo ist der Spionage-Code?

Der wäre an folgenden Stellen:

https://github.com/tenacityteam/tenacit ... eb300dfd1c

https://github.com/tenacityteam/tenacit ... 38a25d69bd

https://github.com/tenacityteam/tenacit ... 38a25d69bd

https://github.com/tenacityteam/tenacit ... 38a25d69bd

https://github.com/tenacityteam/tenacit ... eb300dfd1c

Unter "Load Diff" ?!? Ich verstehe da eh nur Bahnhof ...

[hikaru]

Das weniger Schöne ist, dass man sich in falscher Sicherheit wiegt, wenn man die „irgendwer wird schon draufschauen und was sagen, wenn was sein sollte“-Schiene fährt. Das passierte in der Vergangenheit selbst bei sicherheitsrelevanten Sachen nicht ausreichend, und man müsste schon sehr naiv sein, wenn man sich drauf verlassen würde, dass es bei ‘nem Audioeditor gemacht wird.

Das ist richtig. Und es ist das größte Problem von FLOSS, dass viel zu wenig von unabhängiger Stelle in den Quellcode geschaut wird.

Das wird von Closed-Source-Vertretern gern als Argument gegen FLOSS angeführt, denn das Problem hat man mit CS nicht. Den Strohmann erkennen dann unbedarfte Nutzer oft nicht mehr. Unter CS bleibt das Problem nicht deshalb aus weil CS besser wäre, sondern weil es um so vieles schlechter (=intransparenter) ist, dass man gar nicht in die Lage kommt, sich dem Problem überhaupt stellen zu können.

Die Frage ist schon berechtigt: wenn der neue Hersteller nicht vor hätte, sowas zu machen – warum schreibt er’s dann hin?

Ja, die Frage ist berechtigt. Und sie sollte zu erhöhter Wachsamkeit führen, den Code auch in Zukunft wirklich zu überprüfen. Ich habe hier prinzipiell Vertrauen in Debian, weiß aber auch, das man nicht alle Maintainer über einen Kamm scheren kann.

Der wäre an folgenden Stellen:

https://github.com/tenacityteam/tenacit ... eb300dfd1c

https://github.com/tenacityteam/tenacit ... 38a25d69bd

https://github.com/tenacityteam/tenacit ... 38a25d69bd

https://github.com/tenacityteam/tenacit ... 38a25d69bd

https://github.com/tenacityteam/tenacit ... eb300dfd1c

Danke! Damit kann man Aussagen treffen.
Hier wurden Codeteile entfernt, die mit Crashreports, Updates und allem was irgendwie mit Netzwerk zu tun hat. Ich halte alles was hier entfernt wurde für harmlos.
Angenommen, hier sind alle als problematisch angesehenen Stellen erfasst, dann hätte man das aber auch alles im Originalcode zur Compilierzeit abschalten können ohne den eigentlichen Code anzufassen, denn das ist dort alles konfigurierbar.

Unter "Load Diff" ?!? Ich verstehe da eh nur Bahnhof ...

Da wurden ganze Quellcode-Dateien entfernt, weil die sich nur mit z.B. Updates beschäftigt haben. Hier einen vollständigen Diff auszugeben ist nicht wirklich sinnvoll. Daher lediglich die Meldung, dass die Datei entfernt wurde und der Vollständigkeit halber der Link um doch den ganzen Diff (zur dann leeren Datei) zu sehen.

[JTH]

[…] dann hätte man das aber auch alles im Originalcode zur Compilierzeit abschalten können ohne den eigentlichen Code anzufassen, denn das ist dort alles konfigurierbar.

Was dann auch der Weg ist, den ein Debian-Maintainer zum AusbauenNicht-Einbauen dieser ganzen Funktionalität nutzen wird.

[mcb]

[…] dann hätte man das aber auch alles im Originalcode zur Compilierzeit abschalten können ohne den eigentlichen Code anzufassen, denn das ist dort alles konfigurierbar.

Was dann auch der Weg ist, den ein Debian-Maintainer zum AusbauenNicht-Einbauen dieser ganzen Funktionalität nutzen wird.

Ja das sind ja auch Pros

[mcb]

.......................

Unter "Load Diff" ?!? Ich verstehe da eh nur Bahnhof ...

Da wurden ganze Quellcode-Dateien entfernt, weil die sich nur mit z.B. Updates beschäftigt haben. Hier einen vollständigen Diff auszugeben ist nicht wirklich sinnvoll. Daher lediglich die Meldung, dass die Datei entfernt wurde und der Vollständigkeit halber der Link um doch den ganzen Diff (zur dann leeren Datei) zu sehen.

Ja das die ganzen Dateien weg sind ist klar, ich meinte ich verstehe den Inhalt kaum bis gar nicht.

PS:

Audacity Audio-Schnittprogramm will Daten sammeln und mit Regierungen teilen https://netzpolitik.org/2021/audacity-a ... en-teilen/

Mit Regierung(en) teilen -> 'steht nur drin, gilt aber nicht' <- will man nicht abnicken, oder ?

[hikaru]

Audacity Audio-Schnittprogramm will Daten sammeln und mit Regierungen teilen https://netzpolitik.org/2021/audacity-a ... en-teilen/

Auch in diesem Artikel steht nichts Wertvolles drin. Es ist das gleiche reißerische und haltlose Blabla wie im Heise-Artikel. Offenbar hält es kein einziger Journalist für angebracht, selbst in den öffentlich einsehbaren Code zu schauen, bevor er Artikel veröffentlicht.
Das ist schade, denn ich hatte bisher eine hohe Meinung von netzpolitik.org.

Ein wichtiger Satz ist mir in dem Artikel allerdings doch aufgefallen (stand aber wohl auch schon irgendwo bei Heise):

Vor diesem Hintergrund weniger brisant scheint die Kritik daran, dass mit den neuen Datenschutzbestimmungen auch ein Mindestalter für die Nutzer:innen von 13 Jahren vorgeschrieben wird, obwohl das der Lizenz widerspricht, unter der die Software veröffentlicht ist.

Das ist momentan der einzige Punkt in dem Audacity angreifbar ist. Die GPLv3 erlaubt bestimmte Nutzungseinschränkungen. Diese sind abschließend in Punkt "7. Additional Terms" aufgelistet. Eine Altersbeschränkung gehört nicht dazu. Alle weiteren Einschränkungen sind gemäß Punkt "10. Automatic Licensing of Downstream Recipients." unzulässig.
Audacity würde mit dieser Bestimmung gegen die GPLv3 verstoßen und dürfte so gemäß Punkt "8. Termination." die eigene Software weder nutzen noch verbreiten.

Nebenbei verstößt die Altersbeschränkung auch gegen Punkt "5. No Discrimination Against Persons or Groups" der DFSG. Das könnte ein Aufhänger sein, Audacity aufgrund einer Policy Violation* doch aus Debian (main) zu entfernen.

*) ist ein rc-Bug; Freiwillige vor!

[mcb]

Ich glaube die brauchen da keine freiwillige Meldung ...

Darf ich mich dann wieder mit Fremdquellen oder Flatpaks beschäftigen für ein paar Hobbyaudioprojekte

[mcb]

Ein 'Vorteil' von flatpaks:

https://github.com/flathub/org.audacity ... /issues/72

Man kann networking sperren.

[hikaru]

Das ist kein Vorteil von Flatpaks.
Dort wurde einfach nur mit -Daudacity_has_networking=no compiliert. Das Gleiche kann man auch mit einem Debian-Paket machen, ohne sich die Nachteile von Flatpaks an Bord zu holen.

[mcb]

Das ist kein Vorteil von Flatpaks.
Dort wurde einfach nur mit -Daudacity_has_networking=no compiliert. Das Gleiche kann man auch mit einem Debian-Paket machen, ohne sich die Nachteile von Flatpaks an Bord zu holen.

Oh Danke ! Das wußte ich nicht. Nun ja flatpak Berechtigungen verstellen ist für Benutzer aber 'leichter' ... Flatseal

[hikaru]

Das hat nichts mit Berechtigungen zu tun.
Das Audacity-Binary in diesem Flatpak wurde ohne Netzwerkunterstützung compiliert. Darauf hast du als Anwender keinen Einfluss mehr.

Flatseal ist offenbar eine Sandboxing-Methode um Flatpaks nachträglich(!) bestimmte Funktionalität zu entziehen. [1] Das Gleiche kannst du beim Debianpaket mit firejail erreichen, wie von JTH hier [2] schon angemerkt.
Das Flatseal-GUI zu verstehen mag einfacher sein als Firejail, aber im Gegenzug muss man sich beim Flatpak dann mit den üblichen Fremdquellen-Problemen beschäftigen, die einem das Debian-Repo weitgehend abnimmt:
Vertrauenswürdigkeit, Kompetenz, Abhängigkeiten, Sicherheitslücken (auch für im Flatpak enthaltene Libs)

Natürlich kann man diese Prüfungen auch alle sein lassen und einfach blind darauf hoffen, dass der Flatpak-Anbieter schon wissen wird, was er da tut. Aber wenn man auf dem Level unterwegs ist, dann kann man auch einfach darauf vertrauen, dass Audacity schon nichts Dreckiges tun wird.*

Ich finde die Gesamtsituation komisch (lustig und traurig):
Audacity, ein FLOSS-Projekt dessen Code sich jeder anschauen kann, hat in einer öffentlichen Bekanntmachung bedenkliche Aussagen gemacht. Und es passieren drei Dinge:
1. Ein paar Leute die den Code verstehen machen einen Fork, der im Wesentlichen darin besteht, völlig unproblematische Codeteile zu entfernen, die sich zudem ohne Fork abschalten lassen. Ich nenne das kosmetischen Aktionismus.
2. Die Presse** zerreißt sich das Maul auf Basis dieser Bekanntmachung und öffentllicher Panikkommentare (und produziert dabei mehr Panikkommentare).
3. Unbedarfte User die den Code nicht verstehen (was kein Vorwurf ist), konsumieren und produzieren Panikkommentare und pflastern ihr System in ihrem Unverständnis des Codes und im Versuch die vermeintlichen Probleme zu beheben mit noch mehr unverstandener Software voll.

Genau so war FLOSS nicht gemeint.


[1] https://www.omgubuntu.co.uk/2020/02/fla ... ermissions
[2] viewtopic.php?f=15&t=181421&start=30#p1276252
*) Was sie auf Basis des mir aktuell bekannten Codes gar nicht könnten, selbst wenn sie es wollten.
**) Welche im Interesse qualitativ hochwertiger Berichterstattung ein Code-Audit machen/beauftragen sollte.

[fischig]

ich habe keine Ahnung, ob das möglich ist, aber Debian sollte die Installation dieser Art Fremdquellen ausschließen, wenn man denn will: verbieten - es gibt ja *buntu. Wenn die beteiligten Jungs und Mädels das wollen, sollen sie ein Debianpaket schnüren, damit kann man sich auseinandersetzen. Es macht nach meinem Dafürhalten keinen Sinn, jedem Rock hinterherzulaufen (ok, nicht gerade passendes Bild).

[schwedenmann]

Hallo

ich habe keine Ahnung, ob das möglich ist, aber Debian sollte die Installation dieser Art Fremdquellen ausschließen, wenn man denn will: verbieten - es gibt ja *buntu.

Wieso,wüßte jetzt nicht,das irgendein debian-maintainer Rechte über meinen Pc besitzt. Was ich mit dem PC mache, welche SW aus welchen Quellen ich weshalb installiere,ist immer noch meine Sache,wäre ja auch noch schöner,wenn dem nicht so wäre.

mfg
schwedenmann

[mcb]

Eh sorry: Ich habe OpenSource bisher so verstanden, das jemand (oft) einen 'Fork' erstellt wenn Änderungen nicht gefallen. Oder ich kompilliere mir mein Audacity selbst und nehme die Teile raus ?!?

Ich bin doch hier nicht bei Apple.

[hikaru]

ich habe keine Ahnung, ob das möglich ist, aber Debian sollte die Installation dieser Art Fremdquellen ausschließen,

Das halte ich weder für technisch möglich noch für erstrebenswert.
Es würde dem Geist Debians widersprechen, die Freiheit der Nutzer einzuschränken. Zu dieser Freiheit gehört auch, sich selbst in's Knie zu schießen wenn man möchte.

Eh sorry: Ich habe OpenSource bisher so verstanden, das jemand (oft) einen 'Fork' erstellt wenn Änderungen nicht gefallen.

Ja, natürlich. Aber bisher hat mir noch keiner die Änderungen gezeigt, die hier für so viel Wirbel sorgen. Ich behaupte daher: Sie existieren nicht.
Was ich kritisiere ist, dass sich der Wirbel nicht um im Code nachweisbare Änderungen dreht, sondern um den (durch die Bekanntmachung erzeugten) Wirbel selbst. Dieses Wirbeln um seiner selbst Willen ist es, was der Idee von FLOSS widerspricht.
Wenn es harte Beweise (Codezeilen) gibt, dann her damit (genau das ermöglicht FLOSS nämlich im Gegensatz zu CS)! Dann habe ich auch kein Problem mit dem Wirbel. Ich bin immer für eine gute Show zu haben. Aber sie sollte Substanz haben und die sehe ich bisher nicht.

[mcb]

Ja der Wirbel ist recht übertrieben -

Erinnert mich ein wenig an Firefox

Sympathisch ist mir das Gebaren von Muse aber nicht.