Linux, aber welches? Von XP nach Linux
#91
geschrieben 29. Dezember 2014 - 18:17
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
Anzeige
#92
geschrieben 29. Dezember 2014 - 18:24
Zitat (Sturmovik: 29. Dezember 2014 - 18:17)
Die Diskussion um Linux ist von daher sinnlos, weil, wenn man schreibt "Linux" kann nicht viel, kommt ein "man kann es aber erweitern" . Wenn man dann schreibt "die Linux Distribution" ist nicht sicher, kommt ein Argument " eine Distribution ist nicht Linux".... usw.
Ist "Datensammlung" eine obskure Behauptung? Durch Netzwerksimulation kann man noch Jahre später relevante Daten herausfiltern, vor allem, wenn die zugehörigen Ressourcen komplett offen liegen.
Das ist übrigens der Hauptgrund, warum "Einige" wollen, dass MS Windows offen legt. Das ist auch der Hauptgrund, warum Vista so niedergemacht wurde. Man konnte nicht einfach an die Daten Anderer...
#93
geschrieben 29. Dezember 2014 - 18:32
Zitat (IXS: 29. Dezember 2014 - 18:24)
Das einfachste Mittel dagegen ist, konkret ein Problem mit einem bestimmten Programm/einer Distribution zu benennen, anstatt grob über einen Kamm zu behaupten, Linux sei unsicher.
Zitat
Ja ist es.
Zitat
Quark. Das kann durch reverse engineering bereits sehr gut erledigt werden, da brauchts kaum offenen Code.
Der Hauptgund liegt darin, durch Einsicht in den Code Schwachstellen zu beseitigen, die teilweise seit Anbeginn mitgeschleppt werden.
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#94
geschrieben 29. Dezember 2014 - 18:41
Zitat (Sturmovik: 29. Dezember 2014 - 18:32)
Jetzt wird's schon wieder lustig
Hat es Linux etwas gebracht... so sicherheitstechnisch ... dass die Ressourcen offen sind?
Es ist eher bedenklich, dass "Linux" Windows um 10-15 Jahre hinterher hinkt. Von der Funktion her, sowie von der Sicherheit her.
Oder anders ausgedrückt: Dieses Jahr ist zufällig mal einer über eine Sicherheitslücke von "Linux" gestolpert.
Es wäre interessant zu sehen, was passiert, wenn mal endlich aktiv nach Sicherheitslücken gesucht wird.
#95
geschrieben 29. Dezember 2014 - 18:53
Zitat (IXS: 29. Dezember 2014 - 18:41)
Vergleiche die Zeitdauer vom Bekanntwerden eines Exploits bis zur Schließung mal mit deinem in den blauen Himmel gelobten Security-through-Obscurity System.
Kleiner Hinweis: die jüngst öffentlich bekanntgewordenen Lücken in ActiveX wurden seit 1995 mitgeschleppt und waren auf dem Exploitmarkt seit Jahren bekannt.
Das meiste wird binnen weniger Tage gefixt, während man bei den Redmondern gern mal bis zum übernächsten Patchday warten darf.
Zitat
Zitat
Es wäre interessant zu sehen, was passiert, wenn mal endlich aktiv nach Sicherheitslücken gesucht wird.
Es wird aktiv gesucht und gefunden. Unter anderem sind hier die FSF, Google und einige Distributoren aktiv und das nicht erst seit Heartbleed, welche wahrscheinlich die eine Lücke ist, die du mitbekommen hast.
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#96
geschrieben 29. Dezember 2014 - 19:22
Zitat (Sturmovik: 29. Dezember 2014 - 18:53)
Kleiner Hinweis: die jüngst öffentlich bekanntgewordenen Lücken in ActiveX wurden seit 1995 mitgeschleppt und waren auf dem Exploitmarkt seit Jahren bekannt.
Das meiste wird binnen weniger Tage gefixt, während man bei den Redmondern gern mal bis zum übernächsten Patchday warten darf.
Wie heißt nochmal Active X unter Linux?
#97
geschrieben 29. Dezember 2014 - 19:30
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#98
geschrieben 29. Dezember 2014 - 19:37
Zitat (DK2000: 29. Dezember 2014 - 12:29)
Diese sogenannten 'Multiplattform Engines' sind nur bis zu einem gewissen Grad Plattformneutral. Am Ende muss man sich immer entscheiden, welche API man verwendet, um den Inhalt auf der Zielplattform auszugeben. Und wenn das Ziel ein Windows PC sein soll, dann bleiben da im Moment nur die beiden Standardschnittstellen DirectX und OpenGL übrig und seit Neustem auch noch AMD's Mantle (Ob NVidia da im Moment auch noch eine eigene proprietäre DirectX/OpenGL Alternative hat, weiß ich im Moment nicht). Eine Schnittstelle davon sollte die 'Multiplattform Engine' für Windows PCs unterstützen, sofern man nicht etwas komplett Neues entwickeln will.
Jap bzgl. der API hast du natürlich Recht. Aber der Aufwand ein Spiel für mehrere Plattformen bereitzustellen ist nicht mehr derartig gigantisch. Und die genannten Engines helfen da schon. <orakel>Der Trend geht ja eher dahin, Spiele auf mehreren Systemen zur Verfügung zu stellen. Könnte mir vorstellen, dass DirectX da mittelfristig untergeht.</orakel>
Sturmovik sagte:
Sturmovik, spare Dir die nerven. IXS wirft beim Thema Linux immer nur mit Nebelkerzen um sich, ohne jemals konkret zu werden.
Siehe wieder seine obskure NAS Thematik...
#99
geschrieben 29. Dezember 2014 - 19:40
Zitat (Sturmovik: 29. Dezember 2014 - 19:30)
Also gibt es kein Active X für Linux, klar. Aber die Fehler darunter sind geringer als die von Java.
Dann ist die Frage, wo eine Java Sicherheitslücke mehr Probleme verursachen kann: In einem System, das lediglich Root-Rechte braucht um auf alles zugreifen zu können, oder bei einem System, wo Programme sich nicht einfach Systemrechte geben können, also Admin Rechte nicht ausreichen, um Systemdateien automatisch zu ändern.
#100
geschrieben 29. Dezember 2014 - 19:46
Und warum sollte die JRE, die du anscheinend meinst, im Root-Kontext laufen?
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#101
geschrieben 29. Dezember 2014 - 19:50
Zitat (IXS: 29. Dezember 2014 - 19:40)
Dann ist die Frage, wo eine Java Sicherheitslücke mehr Probleme verursachen kann: In einem System, das lediglich Root-Rechte braucht um auf alles zugreifen zu können, oder bei einem System, wo Programme sich nicht einfach Systemrechte geben können, also Admin Rechte nicht ausreichen, um Systemdateien automatisch zu ändern.
Linux ist kein Browser, dieser Tatsache bist du dir schon bewusst oder?
Bei dem Rest, was zum Henker meinst du damit?
#102
geschrieben 29. Dezember 2014 - 19:59
Zitat (Sturmovik: 29. Dezember 2014 - 19:46)
Geht das schon wieder los.
Ich hatte eigentlich so viel Intelligenz erwartet, dass du der Problematik folgen kannst.
Zitat
Und warum sollte die JRE, die du anscheinend meinst, im Root-Kontext laufen?
Und warum gehst du nicht auf den relevanten Teil ein?
Einschleusen von Systemdateien über bekannte Ressourcen, verursacht durch unbedarfte Einstellung seitens des Users und fehlender Sicherheit wegen unbekannter Systemteile.
So wie Linux aufgebaut ist, kann quasi jeder Programmierer unbemerkt Lücken durch Austauschen von Systemkomponenten "basteln", die man in einem zweiten Schritt vom "User" aus, also ohne direkte Root-Rechte, ansteuern kann.
Wenn das für "euch" "Nebelkerzen sind" , tut es mir leid.
Dieser Beitrag wurde von IXS bearbeitet: 29. Dezember 2014 - 20:00
#103
geschrieben 29. Dezember 2014 - 20:04
Zitat (IXS: 29. Dezember 2014 - 19:22)
Meines Wissens nach hat *nix keine vergleichbare Technik. Würde mal mutmaßen und sagen, dass für einen derartigen Schnittstellen-Standard einfach die Browservielfalt zu groß ist.
ActiveX ist ja auch nur im Zusammenhang mit den Libs des IEs benutzbar.
Apple hat wiederum etwas ähnliches was auf den Safari begrenzt ist: "Apple Script"
Der Vorteil - oder auch Nachteil - an diesen Schnittstellen ist, dass Systeminterne Informationen ausgelesen und verändert werden können (ganz grob geschrieben). Das kann positiv sein - jedoch auch bei entsprechend ungeschlossenen Lücken ein nicht zu unterschätzendes Sicherheitsrisiko.
Hätte ich geahnt, dass ich hier mit meinen Posts derartige Diskussionswellen auslöse
#104
geschrieben 29. Dezember 2014 - 20:21
Nur der Vollständigkeit halber: die sind aber natürlich auch nicht Linux- oder sonstwie betriebssystemspezifisch, sondern einfach Implementierungen des Netscape Plugin Application Programming Interface (NPAPI).
Dieser Beitrag wurde von RalphS bearbeitet: 29. Dezember 2014 - 20:23
#105
geschrieben 29. Dezember 2014 - 20:23