Bisher ging ich eigentlich immer davon aus, dass Du einfach nur ein Fanatiker bist, aber dank dieses Posts weiß ich nun, dass Du zudem auch noch jemand bist, der keinerlei Ahnung hat von dem was er als "Argumente" herunter leiert.
Malware in einer Binärdatei zu entdecken ist fast unmöglich, wenn man aber den Sourcecode hat , dann stehen die Chancen schon besser.
Tja, vorausgesetzt man hat Zeit und Muse, sich ein paar Hunderttausend bis in die Millionen Zeilen Quellcode anzuschauen und verfügt zudem auch noch über genug Ahnung in C und dem Quellcode aller interagierender Bibliotheken und Systemfunktionen, die im Quellcode aufgerufen werden. Für alle, die von Programmierung keinerlei Ahnung haben sollten: Eine Hintertür kann man nicht nur so in Quellcode einbauen, dass er komplett im Quellcode steckt, es gibt da andere, viel elegante Lösungen die sich viel besser verstecken lassen, z.B. indem man eine Systemfunktion etwas anderst aufruft, als der Entwickler dies eigentlich geplant hatte.
Aber weil man ja den Quellcode hat und der immer so eingehend inspiziert wird gibt es in den besonders wichtigen Teilen des Kernels garkeine Lücken... nö.... äh... ptrace()... vmsplice()... ooops... Lücken in den Quellen die ja ach so viele Reviews hinter sich haben?
Vorsichtig geschätzt dürfte ca 1% der Linux-Nutzer die Fähigkeit haben eine Lücke im Quellcode zu erkennen, und dann auch nur, wenn sie mit einem roten Schild in der Hand herum läuft und dieses 1% hat meist besseres zu tun, als stundenlang über Quelltext zu brüten, wenn dies nicht gerade ihre Aufgabe ist.
Denkst du das Debiananwender, egal ob Programmierer oder nicht, sich Malware unterjubeln lassen ?
Nein... natürlich nicht... Debiananwender sind natürlich gegen Fehler und Leichtsinnigkeiten gefeit, zudem riecht ihre Flatulenz nach Veilchen und Frauen können ihrem Charme nicht widerstehen. Debainmaintainer sind auch noch nahezu gottgleich, wenn ihnen ihr Zugang zum CVS entwendet wird und der CVS-Server dadurch korrumpiert trifft den bösen Dieb der Blitz auf dem Klo und ihre Server wurden auch noch nie gehackt.... innerhalb des letzten viertel Jahres.
Debian geht sogar so weit das unfreie Software , also Programme wo kein Programmcode dabei ist, komplett abgelehnt wird .
Wovon redest Du hier eigentlich? Das letzte Mal als ich auf die Debian-Server schaute war das Verzeichnis "non-free" noch auf dem Server. Und was soll "ablehnen" heissen? Sie finden es nicht gut (möglich), sie sperren nicht-GPL-Code aus (tun sie nicht), sie verhindern Closed-Source Treiber im Kernel oder deren Kommunikation mit dem Kernel (nö... tun sie ganz bestimmt nicht).
und selbst wenn es abgelehnt würde... hola... was macht man dann als Serverbetreiber, wenn der Treiber für den teuren SAS-RAID-Controller nur als proprietärer Treiber erhältlich ist? Ah... ausbauen nö?
Wenn ein Debian Maintainer Malware verbreiten würde , dann fliegt dieser Maintainer aus dem Debian Projekt einfach raus.
Ja, und Malware kann ja auch nur über die Distribution kommen, der aufrechte Linux-Nutzer installiert bzw. startet ja keine Software aus anderen Quellen. Nein... würde er nie machen... muss er auch nie, Software aus anderen Quellen ist bööööse. Und nein... Mirrors können auch nicht gehackt werden und Pakete nicht korrumpiert.
Außerdem werden Debian Pakete mit gpg auf ihre Echtheit verifiziert, bevor sie installiert werden.
So? Seit wann ist dies die Standardeinstellung? Gestern? Viel länger kann es nicht sein, denn meine letzte Debian-Installation war letzte Woche, da lud apt out of the box noch unsigniert nach, bevor es umgestellt wurde. Es geht auch das Gerücht um, dass manche Menschen auch Pakete aus anderen Quellen installieren und es geht sogar das Gerücht um, dass der ein oder andere Maintainer so blöd ist, Code und Hash auf dem gleichen Server liegen zu haben, aber man kann natürlich nicht gleichzeitig Code und Hash manipulieren... no way....
Ich persöhnlich lehne Windows nicht nur wegen seiner Technologie (Hybridkernel, Systemsteuerung, dynamische Bibliotheken u.s.w) ab, sondern hauptsächlich weil Windows kein Open Source Betriebsystem ist.
Hui... soso... Du lehnst dynamische Bibliotheken ab... was machst Du denn so auf deinem Debian so ganz ohne libc.so? Übersetzt Du dein gesamtes System erst und bindest alle Shared Libraries statisch? Machst Du das dann jedes Mal neu, wenn eine Bibliothek gepatcht wird? Das was man unter Windows DLL nennt, nennt man unter Unices SO und beides ist das gleiche... eine dynamische Bibliothek.
Ganz nebenbei... was stört dich an einem Hybridkernel? Dass er Treiber nicht in seinem Kernelspace herumwerkeln lässt? Dass der Absturz eines Treibers nicht das gesamte System mit herunter reisst? Das ist in einem monolithischen Kernel natürlich toller... da darf sich der Treiber schön im Kernelspace breit machen, man darf sich auch entscheiden, ob man nun den Kernel aufbläht indem man alles statisch hinein kompiliert und bei jeder Hardware-Änderung den Klump neu übersetzt, oder ob man eine Angriffsfläche schafft, indem man Kernel-Module nachladen lässt... Apropos... wie viele Rootkits unter Unices haben sich als Kernel-Modul eingenistet? Ich schätze mal es dürften so an die 80% gewesen sein.
Arg viel Kopfzerbrechen bereitet mir dann die Ablehnung der Systemsteuerung... was ist so gemein an einem Verzeichnis, das Konfigurationswerkzeuge zusammen fasst? Hättest Du die Registry erwähnt, so hätte ich das ja verstanden und teilweise unterschrieben aber so?!?
Man kann ja an Windows viel zu Recht kritisieren (ActiveX, nicht umgesetzte Benutzerverwaltung obwohl vorhanden, übermäßige Komplexität wo oftmals überflüssig, wenig transparent, die Politik von Microsoft, der unsägliche Internet Explorer, Verquickung von System mit Programmen, Monopolmissbrauch, Überfrachtung,...) aber das was Du hier schreibst lässt nicht darauf schließen, dass Du allzu viel Ahnung von Windows hast... und zu Linux erlaube ich mir hier einmal kein Urteil.
News: Totalüberwachung
xafford
KarstenW
