Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Open Source: Xscreensaver…

An all die Debian-Basher hier ...

  1. Thema

Neues Thema Ansicht wechseln


  1. An all die Debian-Basher hier ...

    Autor: mnementh 06.04.16 - 16:51

    Welche Sicherheitslücke hat die Debian-Version von XScreensaver, die Upstream nicht hat?

    Wenn ihr keine nennen könnt, können wir dann bitte die Unterstellung unterlassen Debian liefere unsichere Software und würde dies dem Entwickler anlasten?

  2. Re: An all die Debian-Basher hier ...

    Autor: jkow 06.04.16 - 18:13

    Dass musst Du wenn dann Upstream fragen. Der wird schon wissen, welche Bugreports ihn ständig nerven.

    Deine Einengung der Frage auf "Sicherheits"lücken ist schon eine Verfälschung des Ausgangsproblems, wo es um Bugs im Allgemeinen geht. Die Reduktion auf Sicherheitslücken spiegelt lediglich die Debian-Sicht auf ein "Stable"-Release wider, adressiert aber in keinster Weise das Upstream-Problem gehäufter, obsoleter Bug-Reports.

  3. Re: An all die Debian-Basher hier ...

    Autor: mnementh 06.04.16 - 18:57

    jkow schrieb:
    --------------------------------------------------------------------------------
    > Dass musst Du wenn dann Upstream fragen. Der wird schon wissen, welche
    > Bugreports ihn ständig nerven.
    >
    > Deine Einengung der Frage auf "Sicherheits"lücken ist schon eine
    > Verfälschung des Ausgangsproblems, wo es um Bugs im Allgemeinen geht. Die
    > Reduktion auf Sicherheitslücken spiegelt lediglich die Debian-Sicht auf ein
    > "Stable"-Release wider, adressiert aber in keinster Weise das
    > Upstream-Problem gehäufter, obsoleter Bug-Reports.

    Nutzer machen beständig verfehlte Bug-Reports. Stabile Distributionen mögen den Strom etwas vergrößern, aber dass dies zu signifikantem Mehraufwand bei Zawinski führt wage ich zu bezweifeln. Er macht ja Bugmeldungen schon schwierig genug, indem er kein normales Bugtracking-System hat. Und vielleicht rühren daher auch seine Schmerzen, denn ein Bugtracking-System hat für alle Seiten Vorteile, auch für den Entwickler. Nutzer können nicht sehen ob ein Bug schon gemeldet wurde, ob es einen Workaround gibt. Das ist geradezu die Einladung zu Mehrfachmeldungen. Im Debian-Bugtracker schlagen auch viele Meldungen zu der Software auf. Ob Zawinski wirklich die Mehrheit der Bugreports abbekommt ist angesichts der Hürde bei ihm einen Bug zu melden doch eher fraglich.

  4. Re: An all die Debian-Basher hier ...

    Autor: jkow 06.04.16 - 19:06

    mnementh schrieb:
    --------------------------------------------------------------------------------
    > Nutzer machen beständig verfehlte Bug-Reports. Stabile Distributionen mögen
    > den Strom etwas vergrößern, aber dass dies zu signifikantem Mehraufwand bei
    > Zawinski führt wage ich zu bezweifeln.

    Magst Du. Na ist ja schön. Und auf der Basis argumentierst Du hier ernsthaft in 3 Threads? Schönen Abend noch.

    > Ob Zawinski wirklich die Mehrheit
    > der Bugreports abbekommt ist angesichts der Hürde bei ihm einen Bug zu
    > melden doch eher fraglich.

    Meinst Du? Ein normaler User, der einen SW-Bug entdeckt und melden will, googelt wahrscheinlich erst mal nach der Software und wo landet er in diesem Fall? Auf jwz.org/xscreensaver. Nicht bei Debian. Ich halte es für sehr unwahrscheinlich, dass ein Großteil der Nutzer bei Nicht-Debian-Bugs den Debian-Bugtracker aufsucht.

  5. Re: An all die Debian-Basher hier ...

    Autor: Wallbreaker 07.04.16 - 13:26

    mnementh schrieb:
    --------------------------------------------------------------------------------
    > Welche Sicherheitslücke hat die Debian-Version von XScreensaver, die
    > Upstream nicht hat?
    >
    > Wenn ihr keine nennen könnt, können wir dann bitte die Unterstellung
    > unterlassen Debian liefere unsichere Software und würde dies dem Entwickler
    > anlasten?

    Direkt die neuen Versionen zu liefern ggf. mit kurzer Vorhaltezeit, würde diese Extra-Arbeit völlig ersparen. Ebenso hat alte Software trotz Patches Design-Anfälligkeiten die die neue nicht hat. Wahlweise durch besseren Code, neue Funktionen die die Dinge besser handhaben. Aber generell zu sagen ältere Software wäre besser oder ebenso sicher ist Unsinn. Die "stable" Basis ist ein laufendes Risiko, da ist selbst "unstable" sicherer trotz möglicher Bugs. Nur werden diese in Windeseile auch wieder geschlossen, und kommen nicht erst zwei Wochen später nach "testing", und wandern ein halbes Jahr später endlich nach "stable". In "stable" werden auch nur hochgradige Probleme sofort gepatcht, während Vieles über Monate liegen bleibt.
    Hier wird besonders vergessen das neue Funktionen, vielfach auch alte unzureichende wie auch unsichere Bestandteile aussondern, wo in "stable" lediglich der alte Code nur an besagter Stelle gefixt wird. Das ist als als würde man die rostigen Stellen an einem Auto immer nur einzeln flicken, je nach Schweregrad, anstatt die Grundprobleme gänzlich zu adressieren.

  6. Re: An all die Debian-Basher hier ...

    Autor: mnementh 08.04.16 - 12:09

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > mnementh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Welche Sicherheitslücke hat die Debian-Version von XScreensaver, die
    > > Upstream nicht hat?
    > >
    > > Wenn ihr keine nennen könnt, können wir dann bitte die Unterstellung
    > > unterlassen Debian liefere unsichere Software und würde dies dem
    > Entwickler
    > > anlasten?
    >
    > Direkt die neuen Versionen zu liefern ggf. mit kurzer Vorhaltezeit, würde
    > diese Extra-Arbeit völlig ersparen. Ebenso hat alte Software trotz Patches
    > Design-Anfälligkeiten die die neue nicht hat. Wahlweise durch besseren
    > Code, neue Funktionen die die Dinge besser handhaben. Aber generell zu
    > sagen ältere Software wäre besser oder ebenso sicher ist Unsinn. Die
    > "stable" Basis ist ein laufendes Risiko, da ist selbst "unstable" sicherer
    > trotz möglicher Bugs. Nur werden diese in Windeseile auch wieder
    > geschlossen, und kommen nicht erst zwei Wochen später nach "testing", und
    > wandern ein halbes Jahr später endlich nach "stable". In "stable" werden
    > auch nur hochgradige Probleme sofort gepatcht, während Vieles über Monate
    > liegen bleibt.
    Software wird erst nach langer Zeit in einem Stable-Release hinterlegt. Sicherheitspatches werden aber sofort auf die Stable übertragen Damit fällt Dein ganzes Argument in sich zusammen.

    > Hier wird besonders vergessen das neue Funktionen, vielfach auch alte
    > unzureichende wie auch unsichere Bestandteile aussondern, wo in "stable"
    > lediglich der alte Code nur an besagter Stelle gefixt wird. Das ist als als
    > würde man die rostigen Stellen an einem Auto immer nur einzeln flicken, je
    > nach Schweregrad, anstatt die Grundprobleme gänzlich zu adressieren.
    Sicher, eine neue Architektur mag generell besser sein, sie kann auch generell schlechter sein. Das weiß man nicht. Alles was man weiß ist, dass neue Software noch unentdeckte Bugs enthält, während man bei alter Software erkannte Sicherheitslücken bereits beheben konnte. Und das wird ja bei Debian getan.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, verschiedene Einsatzorte (Home-Office möglich)
  2. Ecologic Institut gemeinnützige GmbH, Berlin
  3. dSPACE GmbH, Paderborn
  4. Universität Passau, Passau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 64,99€ (Release am 25. Oktober)
  2. 16,49€
  3. 4,99€
  4. (-63%) 11,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Offene Prozessor-ISA: Wieso RISC-V sich durchsetzen wird
Offene Prozessor-ISA
Wieso RISC-V sich durchsetzen wird

Die offene Befehlssatzarchitektur RISC-V erfreut sich dank ihrer Einfachheit und Effizienz bereits großer Beliebtheit im Bildungs- und Embedded-Segment, auch Nvidia sowie Western Digital nutzen sie. Mit der geplanten Vektor-Erweiterung werden sogar Supercomputer umsetzbar.
Von Marc Sauter

  1. RV16X-Nano MIT baut RISC-V-Kern aus Kohlenstoff-Nanoröhren
  2. Freier CPU-Befehlssatz Red Hat tritt Risc-V-Foundation bei
  3. Alibaba Xuan Tie 910 Bisher schnellster RISC-V-Prozessor hat 16 Kerne

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

  1. Quartalsbericht: Microsoft steigert Gewinn und Umsatz zweistellig
    Quartalsbericht
    Microsoft steigert Gewinn und Umsatz zweistellig

    Microsoft hat wie erwartet starkes Wachstum bei Umsatz und Gewinn verzeichnet. Der Softwarekonzern erreichte eine Marktkapitalisierung von 1,056 Billionen US-Dollar. Das Cloudgeschäft legt wieder massiv zu.

  2. Kongress-Anhörung: Zuckerberg will Zustimmung der USA zu Libra abwarten
    Kongress-Anhörung
    Zuckerberg will Zustimmung der USA zu Libra abwarten

    Mark Zuckerberg muss den US-Abgeordneten Rede und Antwort zur Digitalwährung Libra stehen. Der Facebook-Chef warnt vor einem Bedeutungsverlust der US-Finanzwirtschaft bei einer Blockade des Projekts.

  3. Mikrowellen: Verizons 5G Netz kann kein Stadion ausleuchten
    Mikrowellen
    Verizons 5G Netz kann kein Stadion ausleuchten

    Verizon kündigt sein 5G Ultra Wideband für Stadien an. Doch nur ein Teil der Besucher kann das Netz auch nutzen, da der Betreiber ein Problem mit der Ausleuchtung hat.


  1. 22:46

  2. 19:16

  3. 19:01

  4. 17:59

  5. 17:45

  6. 17:20

  7. 16:55

  8. 16:10