Eric Schirra schrieb am 16.06.2018 um 12:40:

Ich halte von den flatpacks und snaps überhaupt nichts. Meiner Meinung nur Faulheit der Entwickler

Hmm.. warum Dutzende Pakete schnüren wenn es auch eins tut. Ich sehe die Vorteile darin das alle Abhängigkeiten im Flatpak vorhanden sind.

und extrem Sicherheitskritisch.

Sicherheitskritisch, wo siehst du da Probleme? -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am Sonntag, den 17.06.2018, 00:17 +0200 schrieb Eric Schirra:

...

Hmm.. warum Dutzende Pakete schnüren wenn es auch eins tut. Ich sehe die Vorteile darin das alle Abhängigkeiten im Flatpak vorhanden sind.

Genau deshalb. Du lieferst die Begründung selbst in deiner Antwort.

Abgesehen davon, dass sich dadurch auch sonst recht kleine Tools/Programme in regelrechte Speicherplatzfresser verwandeln. Absolutes no-go!

Gibt es eine Sichertslücke so wird diese nicht duch den Paketmanger der Distro behoben, sondern man muss warten bis es der flatpack ersteller tut. Wenn überhaupt. Und das in allen Flatpackpaketen.

Die Distro könnte selber zum Flatpack Ersteller werden.

Wenn ich so etwas möchte, nehme ich das Original... Windows.

:-D Windows lernt gerade erst mal Docker. Und Paketmanagement kennt es gar nicht. Ich sehe die Flatpacks, Snaps & Co. höchstens als Ergänzung zur klassischen Paketverwaltung. Nicht aber als Ersatz. Benötige ich von der einen oder anderen Software eine neuere Version, wie sie in den Repos für meine Distri angeboten wird oder brauch ich sogar ein Programm, dass es gar nicht in oder für meine Distri gibt, so nehme ich halt das Flatpack oder AppImage oder ... Aber auch nur so lange, wie dieser Zustand anhält. D.h. kommt das Update der SW auf die benötigte, neuere Version oder wird das Programm XY in die Distri/Repos aufgenommen, so fliegt die Image-Version wieder runter. Und sollte jemand auf der paranoiden Spur unterwegs sein, bzgl. saubere Trennung/Isolation der Prozesse etc. pp., der sollte sich evtl. mal besser Qubes OS [1] ansehen an Stelle einer normalen Distribution. Nur für den Fall, dass in der nicht all zu fernen Zukunft doch alle Distributionen nur noch Flatpack & Co. machen (wobei es ein paar Distris gibt bei denen ich mir das wirklich nicht vorstellen kann) sei gesagt, es gebe ja auch noch die BSDs. ;-) 1: https://www.qubes-os.org/ -- MfG Richi

Am Montag, den 18.06.2018, 00:01 +0200 schrieb Eric Schirra:

Blos nicht !!!

Na ja - ich meinte das so, wie diese das jetzt auch schon einige Zeit mit den Paketen machen. Die Distribution, also hier z.B. openSUSE, baut, so wie zuvor auch die RPM- Pakete, die Flatpaks zusammen und verteilt diese über ihr Repo. Wird ein Patch nötig, so pflegt die Distri diesen ein und baut das Flatpak neu. Ist zumindest mal zuverlässiger als irgendeinem Dritten dies zu überlassen - falls dieser/diese dann auch überhaupt gewillt ist das zu machen. Damit das dann auch etwas schneller geht und nicht wieder ein ganzes Flatpak heruntergeladen werden muss, könnte man hier zu so etwas wie Delta-Flats greifen. In Anlehnung an die Delta-RPMs. Aber hierzu ist wohl noch etwas Arbeit nötig. Und der Platzverschwendung wird hierdurch auch noch kein Riegel vorgeschoben.

Ich meinte mit Original, dass die flatpaks und co nichts anderes sind als die Installationen der Programme unter Windows. DLL (libraries) in jedem Programm mehrmals verwendet. :-( Absoluter Sicherheitsgau. Wenn in einer weit verbreiteten dll ein Sicherheitslücke ist, müssen etliche Programme aktualisiert werden.

Die meisten Dinge werden bei mir vom Windows-Update abgedeckt. Falls ein Softwarehersteller für sein Produkt eigene Bibliotheken entwickelt oder von einer Drittfirma für sein Produkt eingekauft hat, muss dieser diese natürlich mitliefern. Sonst wäre das Programm ja nicht läuffähig. Was die Versorgung mit Patches/Updates usw. angeht ist dieser dann natürlich in der Pflicht. Auf dem Windows von mir sind 6 Programme installiert: - Hardcopy - IrfanView - VideoLAN Player - PDFXchange Editor - LibreOffice - Steam Gut. Im Steam dann halt noch zahlreiche Spiele. ;-)

Genau das möchte ich nicht wegen obigen und wegen der Sicherheit. Die Paketmanager sind mit einer der Hauptpluspunkte welche für Linux sprechen. Und die soll man einfach so herschenken?

Die tolle Sicherheit, welche versprochen wird, erfüllen die Paks eh nicht ganz. Dafür bräuchte man, z.B. für grafische Programme, Wayland. Aber der X-Server-Nachfolger ist noch nicht für den Einsatz in der Masse geeignet. Einfach so herschenken will ich das klassische Paketmanagement auch nicht.

Das machst vielleicht du und ich.

Ein mal habe ich es gemacht. Und danach wurde _alles_ vom System entfernt, was zur Ausführung solcher Container (docker, AppImages, Snaps, Flatpaks) nötig ist.

Aber mit Sicherheit nicht die Mehrheit und evtl. Umsteiger schon gar nicht.

Dem könnte man nur mit noch mehr Software entgegentreten. Bsp.: Anwender A installiert ein Programm XY als Flatpak weil bspw. nicht in der Distri vorhanden. Jetzt gibt es einen Daemon D, welcher Containerinstallationen überwacht und in regelmäßigen Abständen nicht nur nach Updates usw. schaut, sondern auch, ob es nicht für unser Programm XY und ähnliche auch eine klassische Paketvariante gibt. Stellt Daemon D jetzt fest, dass es XY nun auch als RPM-Paket gibt, könnte man einen Hinweis einblenden lassen und dem Nutzer einen Umstieg auf die RPM- Version schmackhaft machen. Etwa: Kleinerer und schnellerer Download, zuverlässigere und schnellere Updates, geringerer Ressourcenverbrauch, ... Der Rest ist dann auch ein Stück weit PR. Wenn der geneigte Umsteiger/Einsteiger in diversen Linux-Zeitschriften nur was davon liest "hol Dir am besten das Snap/Flatpak/... von xyz und schon läufts" dann will er vom Rest nichts mehr wissen oder traut sich da nicht ran.

Weil vor allem die Umsteiger haben glaub ich so ihre Probleme damit ein Programm unter Linux zu installieren.

Man muss es ihnen nur richtig zeigen. Schritt für Schritt. Aber natürlich sollte der Neuling auch nicht gerade eine Leseschwäche haben. Man sollte Anweisung oder Schritt für Schritt Anleitungen ja auch lesen können. ;-)

Und das flatpak-geraffel ist eben so wie unter Windows. Und wenn das zeugs mal überhand nimmt, dann wird es sich evtl. auch durchsetzen.

Ob sich das bei Debian, Devuan, Arch und Gentoo so schnell durchsetzen wird - wenn es soweit ist? Zweifle ich noch dran. -- MfG Richi

Am 2018-06-18 22:25, schrieb Hugo Egon Maurer:

Am 18.06.2018 um 22:07 schrieb Richard Kraut:

...

Am Montag, den 18.06.2018, 00:01 +0200 schrieb Eric Schirra:

Genau das möchte ich nicht wegen obigen und wegen der Sicherheit. Die Paketmanager sind mit einer der Hauptpluspunkte welche für Linux sprechen. Und die soll man einfach so herschenken?

Genau! Meines Erachtens hat SuSE genau dafür auch das richtige graphische Verwaltungsprogramm dafür, nämlich Yast!!

Oder zypper. Welches ich genial finde. Im Vergleich mit anderen Distris ist das um Längen das beste Werkzeug.

...

...

Weil vor allem die Umsteiger haben glaub ich so ihre Probleme damit ein Programm unter Linux zu installieren. Man muss es ihnen nur richtig zeigen. Schritt für Schritt. Aber natürlich sollte der Neuling auch nicht gerade eine Leseschwäche haben. Man sollte Anweisung oder Schritt für Schritt Anleitungen ja auch lesen können. ;-)

Tja, da liegt, doch, der Hase im Pfeffer. Heutzutage muß doch alles schnell gehen, weil man keine Zeit hat, oder keine Zeit haben will, von der Geduld und Faulheit ganz zu schweigen.

Eben. Und mit dem Leseverständniss ist das heutzutage so eine Sache. Ab dem dritten Satz wirds für viele schwierig. Leider. -- Regards Eric -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am Dienstag, 19. Juni 2018, 22:01:57 CEST schrieb Richard Kraut:

Am Dienstag, den 19.06.2018, 11:26 +0200 schrieb Eric Schirra:

...

Oder zypper. Welches ich genial finde. Im Vergleich mit anderen Distris ist das um Längen das beste Werkzeug.

So etwas ähnliches hätte man auch schon früher haben können. Falls sich noch jemand an die Katastrophe openSUSE 11.1 erinnert.

Da gab es dann auf einmal so Sachen aus der Community wie apt4rpm und smart, weil man mit der damaligen Lösung zum Paketmanagement nicht zufrieden war (im Hintergrund werkelte da so eine Novell Paketmanagement Engine). Wobei smart das beliebtere Tool war. Apt4rpm fand ich nicht schlecht. Aber yast und zypper sind eigentlich perfekt.

...

Eben. Und mit dem Leseverständniss ist das heutzutage so eine Sache. Ab dem dritten Satz wirds für viele schwierig. Leider.

Tja. Generation 140 Zeichen. Die sollten mal an Hand eines längeren Textes eine Inhaltsangabe schreiben oder eine Erörterung. Da wäre ich dann nur zu gerne dabei. :-D Ohja. Das erinnert mich an meine Schulzeit. Das machte aber auch nicht unbedingt Spaß, da es meist langweilige/blöde Themen waren.

Gruß Eric -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 2018-06-21 00:09, schrieb Richard Kraut:

Am Dienstag, den 19.06.2018, 23:41 +0200 schrieb Eric Schirra:

...

Apt4rpm fand ich nicht schlecht. Aber yast und zypper sind eigentlich perfekt.

Der zypper ist jetzt auch schon in Debian testing (wird das nächste Debian 10) und Debian Sid aufgeschlagen. :-)

Das ist ja mal interessant.

...

Ohja. Das erinnert mich an meine Schulzeit. Das machte aber auch nicht unbedingt Spaß, da es meist langweilige/blöde Themen waren.

Na gut. Eine Erlebniserzählung sollte aber auch mehr als 140 Zeichen haben. ;-)

Reichen denn da nicht einfach ein paar Emoticons? ;-) -- Regards Eric -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am Montag, den 18.06.2018, 22:25 +0200 schrieb Hugo Egon Maurer:

Tja, da liegt, doch, der Hase im Pfeffer. Heutzutage muß doch alles schnell gehen, weil man keine Zeit hat, oder keine Zeit haben will, von der Geduld und Faulheit ganz zu schweigen.

Oh ja. Schlimm wird es aber erst bei den Lernunwilligen und den Beratungsresistenten. Einstöpseln bzw. laden, einschalten geht. Oder besser gesagt muss gehen. Wer so etwas erwartet, der ist beim Apfelmännchen und bei Smartphones sowie Tablets besser aufgehoben. -- MfG Richi

Am Dienstag, den 19.06.2018, 22:02 +0200 schrieb Hugo Egon Maurer:

tja, die Elektroschrottgebirge sprechen eine deutliche Sprache.

Bei Smartphones/Tablets is man froh, wenn, überhaupt Updates, ganz zu schweigen von Upgrades, kommen.

Hauptsache man hat die neueste Technik, der Rest interessiert mich nicht.

Ein kleiner Ansatz von Softwareseite her ist Android One. Das ist keine neue Android Spielart, sondern eine Art Programm von Google an dem die Hersteller teilnehmen können. Teilnehmer des Programms verpflichten sich 2 Jahre lang (wenn ich mich nicht irre) Updates für ein entsprechendes Android One Gerät bereit zu stellen. Die andere Möglichkeit wäre das Fairphone [1]. Aber die Macher haben auch schon erfahren müssen, dass das mit den Versionsupgrades gar nicht so leicht ist. Vor allem wenn der Hersteller einer Komponente keinen angepassten Treiber für das neuere Android bereit stellt. 1: https://www.fairphone.com/de/ -- MfG Richi

Am Dienstag, den 19.06.2018, 11:23 +0200 schrieb Eric Schirra:

Ich glaube nicht dass die Entwickler dann den OBS nehmen um ihre Pakete zu bilden. Die machen das wie bisher bei sich lokal.

Wie war. Wie war. Man könnte hier so eine Art Richtlinie erlassen die besagt, dass sofern ein Entwickler sein gebautes Paket z.B. als "für openSUSE 15.0" bewirbt, dieses Paket hier auch funktionieren muss. Und zwar mit dem, was das normale, offizielle Repo hergibt (wg. Abhängigkeiten usw.). Keine Repos vom Buildservice der anderen, wilden Dingern. Genau mit dem was da drin ist. Aber das wird man auch nicht machen. :-S

Und ich glaube noch nicht mal dass jeder entwickler überhaupt weiß welche Versionen von libraries sie benutzen. Denn mir ist schon unter gekommen, dass sich ein Paket nicht mit der Version, welche zum Beispiel in Makefile angegeben war, bauen lies. Erst mit einer neueren.

S.o.

Und das klappt immer? Da habe ich so meine Zweifel.

Ne. Eben nicht immer. Druck kann aber etwas helfen. Fehler/Sicherheitslücke dem Hersteller mit angemessener Frist von 90 Tagen (machen zumindest die meisten Sicherheitsforscher so) melden. Nach Ablauf der Frist lückenlos Informationen zur Lücke inkl. eines funktionierenden Exploits veröffentlichen. Es gab zwar schon Fälle bei denen dann die betreffende Firma zwar ihre Anwälte losgelassen hat, aber da das dann ja auch öffentlich gemacht wurde war das dann ein ziemlicher PR-Gau.

Das verstehe ich nun nicht. Was meinst du damit?

Jetzt hast Du mich. :-D Den Beitrag finde ich nicht mehr, wo ich etwas darüber gelesen habe. Vermutlich habe ich diese Zeitschrift schon längst entsorgt. Ich weiß nur noch dunkel, dass es darin eigentlich um Ubuntus Snaps ging, weil Canonical damit warb, dass mit den Snaps das System um Welten sicherer werden würde. Tenor des Artikels war zum Schluss, dass dies so nur auf dem Ubuntu Phone zutrifft und auf einem normalen PC nur (mit Abstrichen in der Useability), sofern Wayland als X-Server genutzt wird. Beim normalen X-Server sollte da was mit der Abschirmung der Prozesse oder so nicht richtig funktionieren, was aber der alten Architektur des X-Servers geschuldet sei.

Idealist? :-) Das wird sicher keiner machen.

Das schätze ich auch. Zitat Helmut Schmidt: "Wer Visionen hat, sollte zum Arzt gehen."

Was ist eigentlich daran so schwer jemanden zu finden, der ein Paket erstellt? Ich seh doch die Leute die es gibt. Wenn ich dann jemanden freindlich anscheibe wird as schon klappen.

Das kann ich nicht beurteilen. Ich habs noch nie versucht.

Genau. Außerdem kommt da eh immer nur Ubuntu. Von der Distri halte ich auch nichts.

Ich habs sie vor langer Zeit mal getestet. Es war eine Heilkur für mich.

Den Hype für Ubuntu versteh ich eh nicht.

Wer tut das schon. Auf Distrowatch liegt Linux Mint und auch Manjaro vor Ubuntu.

Warum soll das eine Einsteiger-Distri sein? Wenn ich nur einen nfs mounte möchte muss ich einen Editor öffnen und Textzeilen eingeben. In Opensuse nehm ich Yast und in 10sec ist das erledigt. Nur als Beispiel.

Das erklärt Dir niemand. Also zumindest nicht rein sachlich und mit Fakten untermauert. Ein-/Umsteiger arbeiten auch nicht sofort mit NFS.

Von dem Nachhause-Telefonieren und nichts zurück geben ganz zu schweigen.

Was aus deren "Eigengewächsen" geworden ist sieht man ja. Upstart - eingestellt (nachdem sich das Debian-Projekt für Systemd als neues Init-System entschieden hatte) Mir - eingestellt (wurde in der Entwicklung zu teuer, hatte noch immer größere Probleme in der Zuverlässigkeit und Ubuntu wäre die eigene Distribution mit diesem X-Server gewesen) Unity - eingestellt (wurde auch zu teuer, sollte eine einheitliche Oberfläche für klassische Rechner sowie mobile Geräte werden) Das Ubports-Projekt [1] betreut derzeit Unity weiter. Aber die haben es nicht geschafft eine Version für das aktuelle Ubuntu 18.04 LTS fertig zu stellen.

Da hapert es schon wieder.

Und ich habe schon mehrfach versucht Leute von den Vorteilen des Paketmenagers zu überzeugen. Ohne Erfolg. Die haben ein bestimmtes Programm im Kopf. Dann muss es das unbedingt sein. Und wenn dann noch ein Bekannter das slebe verwendet erst recht.

Muss dann aber schon was spezielleres sein. Bei den großen Distributionen sind doch die Repos gut gefüllt. 1: https://ubports.com/de_DE/ -- MfG Richi

Hallo Eric, hallo Richard, hallo zusammen, Am Donnerstag, 21. Juni 2018, 11:38:56 CEST schrieb Eric Schirra:

Am 2018-06-20 00:45, schrieb Richard Kraut:

...

Am Dienstag, den 19.06.2018, 11:23 +0200 schrieb Eric Schirra:

verstehe ich immer noch nicht. Was hat Wayland oder x11 mit der sicherheit in flatpak oder snap zu tun?

Unter X ist die Abschirmung der Prozesse untereinander quasi nicht vorhanden. Das kann ganz lustig sein, wenn Du z. B. "xeyes" startest - das guckt immer dem Mauszeiger hinterher, auch wenn er gerade über einem anderen Programm ist. Nicht ganz so lustig ist, dass ein Programm auch alle Tastatureingaben (auch an andere Programme) mitlesen oder Screenshots machen kann. Sprich: Wenn in einem Snap oder Flatpak ein Keylogger oder Screenshot- Tool eingebaut ist und das Ganze unter X gestartet wird, können diese Programme auf die Tastatureingaben _aller_ Programme zugreifen und Screenshots des gesamten Bildschirms machen. Wayland schirmt die Programme besser untereinander ab, was die genannten Dinge verhindern sollte. Frag mich bitte nicht nach den Details ;-) In absehbarer Zeit landet dann auch noch der AppArmor-Support für dbus im upstream-Kernel, um auch diese Lücke abzudichten. Ein paar andere Regeltypen (u. a. signal und ptrace) sind inzwischen upstream. Und genau deswegen liebe ich Snappy - es hat Canonical einen guten Grund geliefert, einige AppArmor-Features in den Upstream-Kernel zu commiten, die es jahrelang nur im Ubuntu-Kernel gab. Snaps oder Flatpaks benutze ich trotzdem nicht ;-) Gruß Christian Boltz --

Der Postfix-Gott und Joda habe ich mal auch angetriggert (denn die haben ja die besten Kontakte zu Marc). Öhm so gute connection nach so weit oben hab ich nicht. Wenn die da oben im Olymp zu Rat sitzen wird das dann wohl reichen... [> Django und Uwe Drießen in postfixbuch-users]

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am Donnerstag, den 21.06.2018, 11:38 +0200 schrieb Eric Schirra:

Dann lässt er es eben für suse bleiben.

Dann doch lieber selber compilieren.

Wenn dann müssten das alle großen Distris so machen. Und das wird sicherlich auch nicht geschehen.

Muss ich Dir leider zustimmen. Aber so eine Art Community-Zertifizierungsprogramm für Entwickler und Packager hätte schon was. Die die daran teilnehmen verpflichten sich eben das Programm bzw. das Paket so zu bauen, dass es auf "natura" openSUSE Version X läuft bzw. ohne viel Schnick Schnack installiert werden kann. Dafür dürfen sie dann ein entsprechendes Logo auf deren Projektseite usw. platzieren.

In den 90 Tagen kann schon viel passieren. Und warum ein neuers, viel sclechters System mit Regeln und Voragaben einführen, wenn es ein System gibt welches sich bewährt und vor allem funktioniert. Nur eben mit einem bisschen Aufwand mehr.

Für mich auch unverständlich. Aber das müsste man die fragen, welche das "Neue" unbedingt wollen.

verstehe ich immer noch nicht. Was hat Wayland oder x11 mit der sicherheit in flatpak oder snap zu tun?

Siehe Mail von Christian Boltz.

Bei mir war immer die Datenbank der Software defekt. Obwohl das System so gepriesen wird. Das ist mir in rpm noch nie passiert.

Hatte auch ein schönes Erlebnis - als ich einen weiteren PDF-Betrachter, ich glaube es war xpdf) über den Store nachinstallieren wollte. Der wurde zwar installiert, aber so ganz nebenher und ohne irgendeine Rückmeldung hat die Aktion auch das halbe System deinstalliert.

Ich bezog mich auf eindoof. Dort kennen sie ein Programm. Und genau das wollen sie dann auch unter linux. Egal ob vielleicht das linux-produkt besser wäre.

Das ist das typische Umsteigerproblem. Aber das ist wahrscheinlich auch schon fast so alt wie Linux selber. Einem Umsteiger erstmal erklären, dass Linux ein ganz anderes, unixoides Betriebssystem ist und daher hier auch ein ganz anderes Binärformat für die Programme zum tragen kommt. Und, dass Linux nicht erfunden wurde, um ein Ersatz für Windows zu sein. -- MfG Richi

Am Mittwoch, 20. Juni 2018, 10:25:38 schrieb Jan-Uwe Kögel:

On Tue, 19 Jun 2018 11:23:45 +0200

Eric Schirra wrote:

...

Von dem Nachhause-Telefonieren und nichts zurück geben ganz zu schweigen.

Bist Du Dir so sicher, dass Suse hier besser ist? Im Rahmen der Veröffentlichung von Suse 15 gab es diverse Diskussionen, weil genau so etwas auch bei Suse 15 passiert. Es wird für jede Installation eine international einmalige, und damit eindeutig zuordenbare, ID erstellt. Und mit dieser u.a. Installationsart, die Locale, die installierten Softwarepaketen an Suse übertragen. Das zu allem Überfluss auch noch unverschlüsselt. Und der User wird an keiner Stelle darauf hin gewiesen, dass so etwas gemacht wird. Geschweige denn hat er eine Möglichkeit das ohne größere Klimmzüge zu unterbinden.

???? OHje, nähere infos -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am Donnerstag, 21. Juni 2018, 17:23:45 CEST schrieb Jan-Uwe Kögel:

On Wed, 20 Jun 2018 22:59:22 +0200

Daniel Fuhrmann wrote:

...

???? OHje, nähere infos

Die Quellen habe ich mir nicht notiert. Eine war auf jeden Fall die Besprechung der Release auf der Seite , irgend wann in der letzten Woche. In der darauf folgenden Diskussion war es Thema und dort wurde auch ein Video verlinkt.

Also das kommt wohl aus Pro-Linux. https://www.pro-linux.de/artikel/2/1936/comm/623772/suse-spioniert-u-greift-... Hier wird auf: https://youtu.be/_MS2g5rEGRM (Hab es selbst noch nicht angeschaut) Darin wird dann auf das Original verwiesen: https://www.youtube.com/watch?v=40emCNzs6so Und hier es beschrieben wie man es abschaltet: https://en.opensuse.org/openSUSE:Statistics Allerdings ist das ganze nicht neu. Sondern wird so schon seit Jahren gemacht. Und Hardware soll wohl auch nicht übertragen werden, sondern nur die installierte Software. Wenn auch uuid's und ip's übertragen werden, finde ich das eine rießengroße Sauerei. Gruß Eric -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Hallo zusammen, Am Donnerstag, 21. Juni 2018, 21:11:48 CEST schrieb Christian Imhorst:

ich verstehe die Aufregung nicht. Laut dem Wiki-Artikel wird nur die UUID aus der Datei /var/lib/zypp/AnonymousUniqueId übertragen.

Richtig. Meines Wissens wird das nur verwendet, um festzustellen, wie viele Leute openSUSE benutzen. "Diese Woche haben $zahl UUIDs aufs Update-Repo für Leap 15 zugegriffen" lässt sich recht gut in "mindestens[1] $zahl Rechner laufen mit Leap 15" übersetzen. Diese Statistik gibt es übrigens unter https://metrics.opensuse.org/d/osrt_access/osrt-access?orgId=1 Fun Fact: nach einem Serverwechsel von download.opensuse.org (incl. Neukonfiguration von Apache etc.) wurde die UUID versehentlich nicht mehr mitgeloggt. Das ist über _mehrere Monate_ nicht aufgefallen, erst beim Leap 15-Release hat es jemand gemerkt. Eine Statistik, welche Pakete wie oft installiert werden, gibt es AFAIK nicht (obwohl das schon mehr als einmal nachgefragt wurde) - aber schon allein aufgrund der Größe des Logfiles und der Menge der (verschiedenen) Dateien auf download.opensuse.org wäre diese Auswertung ein riesiger Aufwand.

IPswerden nicht übertragen.

Ich enttäusche Dich nur ungern, aber diese Aussage ist technisch unmöglich. Wenn keine IPs übertragen würden, wo soll dann download.opensuse.org die Antwortpakete hinschicken? ;-) Davon abgesehen wird die IP genutzt, um einen Mirror in der Nähe zu finden - für die Leute auf dieser Mailingliste also zu 99% einer der Mirrors in Deutschland, Österreich oder der Schweiz. Und, Schreck lass nach, es gibt tatsächlich eine Statistik über den Anteil IPv4 zu IPv6 ;-) (derzeit rund 10% IPv6-Zugriffe, langsam zunehmend)

Wer das nicht möchte, kann seine Pakete von einem Mirror beziehen oder einfach die Datei /var/lib/zypp/AnonymousUniqueId löschen und schon wird die UUID nicht mehr übertragen.

Ich würde schöner finden, wenn openSUSE bei der Installation fragen würde, ob diese Art der Paketerfassung zu statistischen Zwecken ok ist. Das machen sie leider nicht. Aber ein riesen Drama ist das ganze jetzt auch nicht.

Ich verstehe den Hintergrund dieses Vorschlags, aber er beißt sich auch mit der Zielsetzung, den Installer möglichst einfach und übersichtlich zu halten. Ich weiß, dass das nach einer Ausrede klingt ;-) aber das _könnte_ [2] durchaus der Grund sein, warum es bei der Installation keine Checkbox dafür gibt. Gruß Christian Boltz [1] "mindestens", weil es auch Leute gibt, die direkt einen Mirror benutzen oder die Übertragung der UUID deaktiviert haben. Und es soll tatsächlich auch Leute geben, die ihren Rechner nur alle zwei Wochen einschalten ;-) [2] das ist (m)eine Vermutung -- Bei Windows hat man Mailreader, der alles kann. Bei Linux hat man ein MUA, das eigentlich gar nichts kann, aber das verdammt gut. [Bernd Brodesser in suse-linux] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Das: Am 20.06.2018 um 10:25 schrieb Jan-Uwe Kögel: (...)

Bist Du Dir so sicher, dass Suse hier besser ist? Im Rahmen der Veröffentlichung von Suse 15 gab es diverse Diskussionen, weil genau so etwas auch bei Suse 15 passiert. Es wird für jede Installation eine international einmalige, und damit eindeutig zuordenbare, ID erstellt. Und mit dieser u.a. Installationsart, die Locale, die installierten Softwarepaketen an Suse übertragen. Das zu allem Überfluss auch noch unverschlüsselt. Und der User wird an keiner Stelle darauf hin gewiesen, dass so etwas gemacht wird. Geschweige denn hat er eine Möglichkeit das ohne größere Klimmzüge zu unterbinden.

und das: Am 21.06.2018 um 17:23 schrieb Jan-Uwe Kögel: (...)

Die Quellen habe ich mir nicht notiert. Eine war auf jeden Fall die Besprechung der Release auf der Seite , irgend wann in der letzten Woche. In der darauf folgenden Diskussion war es Thema und dort wurde auch ein Video verlinkt.

ist Bild-Niveau. Also unterste Schublade. Du meinst irgendwas, irgendwo gehört oder gelesen zu haben und verbreitest es als bare Münze. Dieses Vorgehen sorgt an anderer Stelle gerade für sehr viel unnütze Aufregung. (have a look: www.bildblog.de) Zum Problem: Das übermitteln von Daten eines Benutzer-PC ist sicher ein problematischer Punkt und es ist IMHO unklug von openSUSE da nicht offensiv darauf hinzuweisen und während der Installation eine Möglichkeit zum Deaktivieren zu geben, aber man muss eben auch verstehen WAS da über mittelt wird. Nur die Zypper-ID ist IMHO recht harmlos. Mit ihr ist es nicht mgl. einen PC zu finden. (Wohl aber ihn wieder zu erkennen) Ein weiteres Problem ist die Nutzung von ungenauen Begriffen (nach-Hause-telefonieren) in der Diskussion darüber da damit verschiedene Arten von meist heimlicher Übermittlung von Daten eines PC an den Hersteller des OS oder der Software vermischt werden. Was in einem Fall noch als akzeptabel gilt ist in einem andern Fall hochproblematisch. Darüber hinzu ist das hier gerade das 'Highjacken' eines 'gehightjackten' Threads ... ;-) (https://de.wikipedia.org/wiki/Thread-Hijacking) jm2c Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org