moneymaker4ever
Commodore
- Registriert
- März 2008
- Beiträge
- 4.159
Interessanterweise will Chrome den Download lieber nicht zulassen, "deepin-....iso kann nicht sicher heruntergeladen werden",
ist das bei anderen auch so?
News deepin 20.1: Die beliebteste Distribution Chinas wechselt auf Linux 5.8
- Ersteller SVΞN
- Erstellt am
- Zur News: deepin 20.1: Die beliebteste Distribution Chinas wechselt auf Linux 5.8
V
Vektorfeld
Gast
Soweit ich weiß hat das auch irgendetwas mit Legacy- Programmen zu tun, die zwingend einige Elemente der alten Systemsteuerung brauchen. Wäre natürlich schöner wenn die neue Systemsteuerung wenigstens alle Einstellungen der alten vornehmen könnte... Man muss halt auch immer Bedenken das Windows eigentlich eine einmalige Abwärtskompatiblität bietet und deshalb sehr viele Altlasten berücksichtigen muss, bei Linux ist teilweise schon nach einer Version schluss wenn die Pakete nicht immer angepasst werden.M@tze schrieb:
0x8100
Admiral
- Registriert
- Okt. 2015
- Beiträge
- 9.475
moneymaker4ever schrieb:
der download ist über http statt https, theoretisch kann das image auf dem weg zu dir manipuliert werden. du müsstest die checksumme der iso mit der hier vergleichen -> cdimage.deepin.com/releases/20.1/SHA256SUMS
dummerweise ist dieser link auch nicht abgesichert, daher kann man sich das auch sparen...
edit: dieser link ist von deren webseite. wenn man manuell https versucht, dann bekommt man nur ein ungültiges zertifikat (für eine andere domain ausgestellt - *.chinauos.com) - nicht sehr vertrauenserweckend.
So "schlimm" ist das nicht.0x8100 schrieb:
Scheint UnionTech zu sein - also ein https://en.wikipedia.org/wiki/Unity_Operating_System - die haben wohl Deepin "gekauft" - deepin.com und chinauos.com haben die gleiche IP Adresse.
Will das gemurkse, dass Microsoft da betreibt nicht verteidigen und hab mich selbst schon mehr als genug darüber ausgekotzt.aid0nex schrieb:
W.r.t. Deepin muss man aber auch sagen: Es ist immer vergleichsweise einfach ein neues System einheitlich zu designen, wenn man noch keine Rücksicht auf Rückwärtskompatibilität und Nutzergewohnheiten nehmen muss (Win95 war auch recht einheitlich).
Außerdem war mein Gefühl bisher, dass auf Linux Distributionen ohnehin viel mehr Konfiguration über die Kommandozeile/config files erledigt werden muss als auf Windows. Soll keine Kritik sein, nur ein Hinweis, dass der Umfang möglicherweise kleiner ist.
Trotzdem: Der Zustand der Win10 GUI ist eine Blamage.
M@tze
Vice Admiral
- Registriert
- Dez. 2008
- Beiträge
- 6.748
lokon schrieb:
Sorry, aber da bin ich anderer Meinung. Schlimmer geht es fast nicht. Würdest Du Onlinebanking mit Deiner Hausbank machen, wenn diese Seite nicht über https mit passendem Zertifikat abgesichert ist?
Das Zertifikat MUSS zur Domain passen, sonst kann ich mir das sparen. Tut mir leid, aber wenn bei einem Anbieter noch nicht mal die einfachsten IT Sachen passen, wie ein ordentliches Zertifikat für meine Webseite installiert zu haben, den Download nur über https anzubieten und ich das ISO per Checksumme prüfen kann, dann will ich mir unter Garantie kein Betriebssystem (!!!) von denen installieren...
ContractSlayer
Lieutenant
- Registriert
- Juni 2007
- Beiträge
- 729
Wer bedenken hat was den Datenschutz von Deepin betrifft, kann auch nur die
Deepin Desktop Oberfläche für unterschiedliche Linux Distros verwenden z.B. unter
https://forum.manjaro.org/c/support/deepin/55
oder
https://sourceforge.net/projects/arcolinux-community-editions/files/deepin/
oder direkt mit Arch zusammen stellen...
...als Alternative auch
https://ubuntudde.com/download/
Deepin Desktop Oberfläche für unterschiedliche Linux Distros verwenden z.B. unter
https://forum.manjaro.org/c/support/deepin/55
oder
https://sourceforge.net/projects/arcolinux-community-editions/files/deepin/
oder direkt mit Arch zusammen stellen...
...als Alternative auch
https://ubuntudde.com/download/
das cert ist von LetsEncrypt und ein falscher bzw. fehlender "subjectaltName" ist nicht ungewöhnlich lt. google zumindest - eine Fehlkonfiguration passiert immer mal wieder
(nach kurzer Suche: bei Banken-assoziierte Seiten - Hilfeseiten - gibt es auch shared-hosting mit vielen altNames - zB wissen.consorsbank.de - beim draufklicken sehe ich eine "LLC" und eine andere Domain im CN - weil die ganzen altNames nur in Detailansicht sichtbar sind - bei Chromium)
Ob bei deepin jetzt der amerikanische Geheimdienst mit einer false-Flag Operation dahintersteht, damit die amerikanischen Distributionen vom "Military-Industrial Complex" wie Oracle und IBM mit integrierten NSA Hintertüren besser dastehen und stattdessen genutz werden ? ... noch bin da "etwas" optimisch und denke das dem nicht so ist
Die Jobangebote sind alle chinesisch, die offiziellen Forenbeiträge genauso.
Der Support / möglichkeit zum Bug melden ist da sehr eingeschränkt wegen der Kommunikationsbarrieren.
Kommunikation per google-translate ist mühsam
Das schränkt die Verwendung etwas ein - aber die Distribution ist eben ein interessantes "Kulturfenster" - siehe TikTok, Kpop, Anime - vielleicht finden manche es interessant genug .
(nach kurzer Suche: bei Banken-assoziierte Seiten - Hilfeseiten - gibt es auch shared-hosting mit vielen altNames - zB wissen.consorsbank.de - beim draufklicken sehe ich eine "LLC" und eine andere Domain im CN - weil die ganzen altNames nur in Detailansicht sichtbar sind - bei Chromium)
Ob bei deepin jetzt der amerikanische Geheimdienst mit einer false-Flag Operation dahintersteht, damit die amerikanischen Distributionen vom "Military-Industrial Complex" wie Oracle und IBM mit integrierten NSA Hintertüren besser dastehen und stattdessen genutz werden ? ... noch bin da "etwas" optimisch und denke das dem nicht so ist
Die Jobangebote sind alle chinesisch, die offiziellen Forenbeiträge genauso.
Der Support / möglichkeit zum Bug melden ist da sehr eingeschränkt wegen der Kommunikationsbarrieren.
Kommunikation per google-translate ist mühsam
Das schränkt die Verwendung etwas ein - aber die Distribution ist eben ein interessantes "Kulturfenster" - siehe TikTok, Kpop, Anime - vielleicht finden manche es interessant genug .
hinter der Distribution steht vlt. nur ein einzelner dev /wenige (war mal thema im forum/news)ContractSlayer schrieb:
0x8100
Admiral
- Registriert
- Okt. 2015
- Beiträge
- 9.475
lokon schrieb:
Code:
$ openssl s_client -connect cdimage.deepin.com:443 < /dev/null | openssl x509 -noout -text | grep -C3 -i dns
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = chinauos.com
verify return:1
DONE
CA Issuers - URI:http://r3.i.lencr.org/
X509v3 Subject Alternative Name:
DNS:*.chinauos.com, DNS:*.packages.chinauos.com, DNS:chinauos.com
X509v3 Certificate Policies:
Policy: 2.23.140.1.2.1
Policy: 1.3.6.1.4.1.44947.1.1.1weder die alternatives noch der common name passen zu der domain in dem link - und der cn muss nun mal passen. das ist ganz einfach das falsche zertifikat für diese domain. und wenn es schon daran scheitert, traue ich dem rest noch weniger.
sowas triviales darf nicht passieren. wer weiss wie lange das da schon so läuft. kann man ja mal die nächsten tage beobachten, ob es gefixt wird. aber alleine dass der download der iso und der checksumme über die gleiche ungesicherte verbindung laufen, zeigt doch schon ein nicht-verständnis des eigentlichen problems und das sollte einem zu denken geben. ich würde mein betriebssystem nicht solchen leuten anvertrauen.lokon schrieb:
M@tze
Vice Admiral
- Registriert
- Dez. 2008
- Beiträge
- 6.748
lokon schrieb:
Das liegt aber daran, dass sich hinter "wissen.consorsbank.de" nicht die Consorsbank selber verbirgt, sondern nur Khoros (vormals Spredfast + Lithium), welche die Onlinecommunity für Consors und viele andere Anbieter (Xerox, Samsung, Fitbit, ...) bereitstellen. Sieht man ja auch an den ganzen verschiedenen DNS Namen:
DNS-Name=*.lithium.com
DNS-Name=stubhub.community
DNS-Name=secure06.lithium.com
DNS-Name=help.powerschool.com
DNS-Name=comunidad.movistar.es
DNS-Name=communaute.red-by-sfr.fr
DNS-Name=community.plus.net
DNS-Name=communities.sas.com
DNS-Name=community.jawwy.sa
DNS-Name=customercommunity.scotiabank.com
DNS-Name=community.pulsesecure.net
DNS-Name=community.hdfcergo.com
DNS-Name=community.seismic.com
DNS-Name=community.sephora.com
DNS-Name=community.alfresco.com
DNS-Name=hub.alfresco.com
DNS-Name=spolecznosc.ing.pl
DNS-Name=community.sas.com
DNS-Name=community.rocksnropes.com
DNS-Name=community.hexagongeospatial.com
DNS-Name=spolecznosc.ingbank.pl
DNS-Name=community.upwork.com
DNS-Name=wissen.consorsbank.de
DNS-Name=community.fitbit.com
DNS-Name=community.ecohaus.me
DNS-Name=community.aarp.org
DNS-Name=www.mydollarsmysense.com
DNS-Name=comunidad.amena.com
DNS-Name=comunidad.orange.es
DNS-Name=community.nutritionalparadox.com
DNS-Name=community.insurity.com
DNS-Name=wissen.cortalconsors.de
DNS-Name=www.comunidadeipsosuu.com
DNS-Name=www.thechicshoppers.com
DNS-Name=community.dish.co
DNS-Name=onlinecommunity.cancercouncil.com.au
DNS-Name=community.telkom.co.za
DNS-Name=us.community.samsung.com
DNS-Name=community.rmit.edu.au
DNS-Name=support.plus.powerschool.com
DNS-Name=peersupport.telstra.com.au
DNS-Name=new.community.qualys.com
DNS-Name=forum.support.xerox.com
DNS-Name=business.forums.bt.com
DNS-Name=community.bossweb.brp.com
DNS-Name=business.telstra.com.au
DNS-Name=community.its.rmit.edu.au
DNS-Name=stubhub.community
DNS-Name=secure06.lithium.com
DNS-Name=help.powerschool.com
DNS-Name=comunidad.movistar.es
DNS-Name=communaute.red-by-sfr.fr
DNS-Name=community.plus.net
DNS-Name=communities.sas.com
DNS-Name=community.jawwy.sa
DNS-Name=customercommunity.scotiabank.com
DNS-Name=community.pulsesecure.net
DNS-Name=community.hdfcergo.com
DNS-Name=community.seismic.com
DNS-Name=community.sephora.com
DNS-Name=community.alfresco.com
DNS-Name=hub.alfresco.com
DNS-Name=spolecznosc.ing.pl
DNS-Name=community.sas.com
DNS-Name=community.rocksnropes.com
DNS-Name=community.hexagongeospatial.com
DNS-Name=spolecznosc.ingbank.pl
DNS-Name=community.upwork.com
DNS-Name=wissen.consorsbank.de
DNS-Name=community.fitbit.com
DNS-Name=community.ecohaus.me
DNS-Name=community.aarp.org
DNS-Name=www.mydollarsmysense.com
DNS-Name=comunidad.amena.com
DNS-Name=comunidad.orange.es
DNS-Name=community.nutritionalparadox.com
DNS-Name=community.insurity.com
DNS-Name=wissen.cortalconsors.de
DNS-Name=www.comunidadeipsosuu.com
DNS-Name=www.thechicshoppers.com
DNS-Name=community.dish.co
DNS-Name=onlinecommunity.cancercouncil.com.au
DNS-Name=community.telkom.co.za
DNS-Name=us.community.samsung.com
DNS-Name=community.rmit.edu.au
DNS-Name=support.plus.powerschool.com
DNS-Name=peersupport.telstra.com.au
DNS-Name=new.community.qualys.com
DNS-Name=forum.support.xerox.com
DNS-Name=business.forums.bt.com
DNS-Name=community.bossweb.brp.com
DNS-Name=business.telstra.com.au
DNS-Name=community.its.rmit.edu.au
Und trotzdem haben die ein ordentliches Zertifikat. Jeder Link zu Consor selber geht auf die Consors Homepage, welche ein korrektes Zertifikat für "consorsbank.de" hat. Bei Deepin ist das eben nicht so.
Es gibt nur keine "Namensliste" von "bösen" Admins oder Programmierern (oder Managern), die so etwas verzapfen - oder die ganzen Hintertüren mit "default" Passwörtern einbauen - bei so vielen Sicherheitslücken sind das immer die gleichen oder doch unterschiedliche ?.0x8100 schrieb:
"Work in Progress" ist vlt. besser anzunehmen.
Der "Fehler" ist ja nicht offiziell vorhanden, weil normal nur http verlinkt ist.
Bei den Spiegelservern im Ausland sind mehrheitlich http gelistet - das "Sicherheitsdenken" bzw. -bewußtsein könnte also etwas anders sein.
Vielleicht gibt es sowieso immer Probleme mit der Great Firewall und deshalb haben viele in China HTTPS Serverbetrieb aufgegeben ?
Außerdem darf man da nicht zu kritisch sein - sonst blockiert die GFW computerbase noch - bei Chip und Heise ist evtl.[1]* ja "Sendepause". "Zwinkersmiley"
[1]* je nachdem wie gut die "GFW Checker" funktionieren
0x8100
Admiral
- Registriert
- Okt. 2015
- Beiträge
- 9.475
es ist egal, ob der downloadserver mit http oder mit https arbeitet. mit hilfe der checksumme kann ich sehen, ob ich das original habe oder nicht. nur wenn die angegebene checksumme an der quelle (die homepage von deepin) nicht vertrauenswürdig ist (da nur http bzw. kein gültiges https), dann ist das nunmal hinfällig.lokon schrieb:
Zuletzt bearbeitet:
TimTaylorX
Lieutenant
- Registriert
- Jan. 2005
- Beiträge
- 587
Warum sieht eigentlich jedes OS inzwischen irgendwie gut aus und Windows 10 immer noch wie Schmutz 😅
nazgul77
Lieutenant
- Registriert
- Feb. 2006
- Beiträge
- 770
Der Quelltext des Desktop liegt bei gitbhub publik. Ich halte es für sehr unwahrscheinlich, dass dort unbemerkt Hintertüren eingebaut sind.
Ein anderes Thema ist da allerdings das fertige Installations-ISO von Deepin Technology. Ich habe keine Hinweise auf "reproducible builds" oder ähnlihces gefunden. Was da drin steckt ist nicht vollkommen nachvollziehbar.
Fazit: Der Desktop selbst hat Sicherheitsbedenken, aber vermutlich keine Hintertüren, sofern es auf einer Distribution mit reproducible builds eingesetzt wird. Das ISO von Deepin Technology ist eine schwarze Box mit unbekanntem Inhalt.
Ein anderes Thema ist da allerdings das fertige Installations-ISO von Deepin Technology. Ich habe keine Hinweise auf "reproducible builds" oder ähnlihces gefunden. Was da drin steckt ist nicht vollkommen nachvollziehbar.
Fazit: Der Desktop selbst hat Sicherheitsbedenken, aber vermutlich keine Hintertüren, sofern es auf einer Distribution mit reproducible builds eingesetzt wird. Das ISO von Deepin Technology ist eine schwarze Box mit unbekanntem Inhalt.
netzgestaltung
Captain
- Registriert
- Jan. 2020
- Beiträge
- 3.496
also ich hab jetzt 2x das Garuda(Manjaro) bei meinen Kindern installiert. Danke für die News, hier ist immer mal was interessantes dabei.abcddcba schrieb:
Deepin ist mMn schon sehr interessant, vor allem wen man mal mit etablierten Einsteiger Distros vergleicht. Allerdings schrecke ich aufgrund der Sicherheit immer noch von zurück, bis es da nicht mehr Erkenntnisse zu gibt. Denn ich kann mir kaum vorstellen, dass da keine Hintertürchen verbaut sind.
@SV3N erwähnt in seinem Beitrag, dass deepin Linux 20.1 mit Kernel 5.8 nun Wireguard unterstützt. Anscheinend hat er diese Aussage nicht selbst überprüft. Ich habe mir Deepin 20.1 installiert und näher angeschaut. Mir ist es nicht gelungen ein Wireguard-VPN einzurichten, weil im installierten Kernel 5.8 das Wireguard-Modul entfernt wurde und wireguard-tools im deepin-repo nicht enthalten sind. Anscheinend darf in der Distri keine sichere VPN-Technik ausgeliefert werden. Schade, DDE ist stimmig und läuft auf meinem Laptop sonst wunderbar.
