Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Deepin 23 Preview: China-Distribution auf Debian-Basis mit neuem Paketformat
- Ersteller SVΞN
- Erstellt am
- Zur News: Deepin 23 Preview: China-Distribution auf Debian-Basis mit neuem Paketformat
0x8100
Admiral
- Registriert
- Okt. 2015
- Beiträge
- 9.666
keys, die du als user erzeugst, sind für die authentifizierung da. wenn du solche erzeugst und die für die authentifizierung benutzt, kann sich kein anderer einfach so bei dir einloggen.SpicyWolf schrieb:Warte mal, wenn ich jetzt einen Public Key unter deepin erzeuge, ohne einen neuen Key zu generieren und auf meine Server schubse kann tatsächlich jeder deepin Nutzer auf die Server zugreifen oder habe ich da jetzt einen Denkfehler?
wenn aber mehrere server den gleichen host private key benutzen, dann ist natürlich auch der public key der hosts gleich und du würdest nicht mitbekommen, wenn der host sich ändert. die beiden aufgesetzten deepinos vms (hier per portforwarding unterschieden) hier melden sich mit dem gleichen public key:
Code:
$ ssh -p 2201 vbox@127.0.0.1
The authenticity of host '[127.0.0.1]:2201 ([127.0.0.1]:2201)' can't be established.
ED25519 key fingerprint is SHA256:fBf51YZe+R3u5esl94wOHvJUHcC2n4GZIfVYVIvu6u4.
$ ssh -p 2202 vbox@127.0.0.1
The authenticity of host '[127.0.0.1]:2202 ([127.0.0.1]:2202)' can't be established.
ED25519 key fingerprint is SHA256:fBf51YZe+R3u5esl94wOHvJUHcC2n4GZIfVYVIvu6u4.
woher soll ich wissen, welche installation die legitime und welche die eines angreifers ist? zudem ermöglichen gleiche host keys man-in-the-middle angriffe.
eine übersicht welche keys was machen gibt es z.b. hier:
https://www.ssh.com/academy/ssh-keys
https://www.ssh.com/academy/ssh/host-key
Wölkchen
Lt. Junior Grade
- Registriert
- Dez. 2020
- Beiträge
- 465
Also openSUSE hat die Aufnahme abgelehnt, weil an allen Ecken und Enden alles voller Sicherheitslücken ist und auch Deepin den Eindruck erweckt hat, dass da grundsätzliches Verständnis der Problematik fehlt:Kuristina schrieb:Man kann aber auch einfach den Desktop woanders nutzen, das ist ja prima.
"Ablilities of large number of programmers in UOS (DDE is developed by UOS now) are not good. There are many low errors in their code. [...] About security issuses, which were reported by me in openSUSE bugzilla always don’t get any response from upstream, except for deepin-clone. They don’t have enough developer to deal with security issuses. It seems that the schedule is more important than security issuses for them." https://hillwoodhome.net/2020/09/24/deepin-desktop-wont-be-brought-into-opensuse/
Ergänzung ()
SUSE hat auch aufgehört den Code weiter zu auditieren. Bringt halt nichts, weil alles nur auf taube Ohren stößt. Die Tabelle ist also nicht aktuell.nazgul77 schrieb:SuSE hatte sich den Desktop schon früh angeschaut, aber wegen Risiken die Adoption abgelehnt.
Bisher sind ihre Bedenken noch nicht alle gelöst.
Zuletzt bearbeitet:
Das hat nichts mit dämlich zu tun.Creeping.Death schrieb:Mein (halbwegs) gesunder Menschenverstand sagt mir in diesem konkreten Fall "Deepin Linux" einfach, dass die chinesische Regierung niemals so dämlich wäre Spionage im Ausland(!) so offensichtlich zu betreiben
Erstens erwartet es jeder, dass sie es tun. Warum auch nicht, die eigene Bevölkerung wird quasi komplett überwacht, warum sollte man das im Ausland also nicht tun...!?
Und zweitens ist es ihnen ziemlich egal! Es ist einfach Staatsdoktrin über alles und jeden die Kontrolle zu haben. Vor Linux OS macht man da im Bedarfsfall bestimmt nicht Halt.
China ist das Land mit der mit Abstand größten Linux Verbreitung. Warum, weil es staatlich verordnet ist. Angefangen mit allen Behördenrechnern, was alleine schon zig Millionen Rechner sind. Der private Bereich wird da schlicht nachziehen müssen. Die Wirtschaft wird sich Türen (oder besser gesagt Fenster) offen halten.
Ich seh jetzt aber keinen Grund diese Produkte hier auch noch zu nutzen, wo ich zig gute Alternativen habe. Und wenn das noch so schön ist.
Kuristina
Captain
- Registriert
- Juli 2022
- Beiträge
- 3.758
Ja. Wobei ich ja eher dafür bin, dem Benutzer immer die Wahl zu lassen und ihn nicht zu bevormunden. Bei Arch jedenfalls kann man den Desktop installieren, wenn man denn will.Wölkchen schrieb:Also openSUSE hat die Aufnahme abgelehnt
Noofuu
Cadet 3rd Year
- Registriert
- März 2022
- Beiträge
- 46
Wie wäre es mal mit abregen , meine Güte gleich so extrem unterwegs.Creeping.Death schrieb:Das ist aber nicht der springende Punkt. Backdoors in Open Source zu schmuggeln und davon auszugehen, dass sie niemals gefunden wird, ist schon ein bisschen abenteuerlich.
Der Aufwand - und vor allem der mögliche Gesichtsverlust(!) - würde sich für solch eine unbedeutende Distribution auch kaum lohnen.
Da ist es doch viel einfacher das in closed source auf Android-Smartphones (Xiaomi, Oppo, OnePlus, ...) zu verstecken.
Was für eine dämliche Aussage. Du scherst damit alle Chinesen über einen Kamm. Die Regierung ist in China nicht demokratisch gewählt (hast du vielleicht noch nicht mitbekommen) und spiegelt nicht unbedingt den Willen der Allgemeinheit wieder.
Sicherlich meine ich nicht alle Chinesen und viele die mitdenken können wissen sehr wohl das man hier die Regierung meint ... das die Bevölkerung das eher nicht macht ist mir auch klar und anderen auch.
Immer gleich dieses Aufspielen ...
Creeping.Death
Rear Admiral
- Registriert
- Juni 2005
- Beiträge
- 5.654
Als "extrem" könnte man eher Leute bezeichnen, die gegen Ausländer stänkernNoofuu schrieb:Wie wäre es mal mit abregen , meine Güte gleich so extrem unterwegs.
Versuche doch wenigstens ein paar sinnvolle Argumente zu bringen oder wenigstens irgend etwas direkt auf meine Argumente zu erwidern - wenn du sie schon vollständig zitierst.
SpicyWolf
Cadet 3rd Year
- Registriert
- Apr. 2012
- Beiträge
- 44
Danke! Denkfehler aber trotzdem beeindruckend fahrlässig von Deepin oder evtl. sogar gewollt? Ich will den Chinesen ja nichts unterstellen aber ausgerechnet bei SSH solche Fehler zu machen wirkt wirklich dubios. Wird der Desktop wohl auch lieber nicht auf Arch installiert...0x8100 schrieb:keys, die du als user erzeugst, sind für die authentifizierung da. wenn du solche erzeugst und die für die authentifizierung benutzt, kann sich kein anderer einfach so bei dir einloggen.
wenn aber mehrere server den gleichen host private key benutzen, dann ist natürlich auch der public key der hosts gleich und du würdest nicht mitbekommen, wenn der host sich ändert. die beiden aufgesetzten deepinos vms (hier per portforwarding unterschieden) hier melden sich mit dem gleichen public key:
Code:$ ssh -p 2201 vbox@127.0.0.1 The authenticity of host '[127.0.0.1]:2201 ([127.0.0.1]:2201)' can't be established. ED25519 key fingerprint is SHA256:fBf51YZe+R3u5esl94wOHvJUHcC2n4GZIfVYVIvu6u4. $ ssh -p 2202 vbox@127.0.0.1 The authenticity of host '[127.0.0.1]:2202 ([127.0.0.1]:2202)' can't be established. ED25519 key fingerprint is SHA256:fBf51YZe+R3u5esl94wOHvJUHcC2n4GZIfVYVIvu6u4.
woher soll ich wissen, welche installation die legitime und welche die eines angreifers ist? zudem ermöglichen gleiche host keys man-in-the-middle angriffe.
eine übersicht welche keys was machen gibt es z.b. hier:
https://www.ssh.com/academy/ssh-keys
https://www.ssh.com/academy/ssh/host-key
Noofuu
Cadet 3rd Year
- Registriert
- März 2022
- Beiträge
- 46
Wie bist du denn unterwegs ich Stänkere nicht gegen Ausländer ich denke du fasst das ganze einfach viel zu extrem auf.Creeping.Death schrieb:Als "extrem" könnte man eher Leute bezeichnen, die gegen Ausländer stänkern
Versuche doch wenigstens ein paar sinnvolle Argumente zu bringen oder wenigstens irgend etwas direkt auf meine Argumente zu erwidern - wenn du sie schon vollständig zitierst.
Die Chinesen war evtl ein falscher Begriff mag sein hätte die Chinesische Regierung schreiben sollen , aber so ein Thema daraus zu machen ist schon extrem und ich lasse mich nicht als Ausländerfeindlich hinstellen.
Das Thema Ausspionieren war auch auf die eigene Bevölkerung bezogen, weil man das ja durch einige Dokus über China weiß.
Wie z.B das selbst die Schüler "Ausspioniert" werden wenn sie ihren Abschluss machen wegen Betrug etc.
Und damit ist meine Aussage auch nicht dämlich , sondern berechtigt die Regierung Spioniert gerne und möchte eben nicht das es jemand bei ihnen macht Microsoft etc. da ist es auch mehr als bekannt.
Creeping.Death
Rear Admiral
- Registriert
- Juni 2005
- Beiträge
- 5.654
@Noofuu beantworte doch einfach folgende Frage:
Glaubst du ernsthaft, die chinesische Regierung baut direkt im offenen Quellcode der Distribution oder einer ihrer Komponenten so etwas wie eine Backdoor ein, wo jeder - der Quellcode lesen und verstehen kann - darauf stoßen könnte?
Das Argument, "das ist ja bei der Menge an Code schwer zu finden", ist natürlich korrekt (falls das jetzt kommt). Aber früher oder später fällt das auf und ist dann auch eindeutig belegbar. Das wäre dann nicht wie bei Smartphones und/oder Netzwerk-/Mobilfunktechnik, wo einfach Aussage gegen Aussage steht.
Sinn würde das für die chinesische Regierung höchstens dann machen, wenn sie eh nichts mehr zu verlieren hat. Lass das Thema Taiwan eskalieren, dann könnte man sich so etwas vorstellen. Dann hat die chinesische Regierung nichts mehr zu verlieren - aber momentan? Zu riskant.
@Kuristina du hast vergessen Beitrag #69 mit "Gefällt mir" zu markieren
Glaubst du ernsthaft, die chinesische Regierung baut direkt im offenen Quellcode der Distribution oder einer ihrer Komponenten so etwas wie eine Backdoor ein, wo jeder - der Quellcode lesen und verstehen kann - darauf stoßen könnte?
Das Argument, "das ist ja bei der Menge an Code schwer zu finden", ist natürlich korrekt (falls das jetzt kommt). Aber früher oder später fällt das auf und ist dann auch eindeutig belegbar. Das wäre dann nicht wie bei Smartphones und/oder Netzwerk-/Mobilfunktechnik, wo einfach Aussage gegen Aussage steht.
Sinn würde das für die chinesische Regierung höchstens dann machen, wenn sie eh nichts mehr zu verlieren hat. Lass das Thema Taiwan eskalieren, dann könnte man sich so etwas vorstellen. Dann hat die chinesische Regierung nichts mehr zu verlieren - aber momentan? Zu riskant.
@Kuristina du hast vergessen Beitrag #69 mit "Gefällt mir" zu markieren
Noofuu
Cadet 3rd Year
- Registriert
- März 2022
- Beiträge
- 46
Ich glaube wir reden aneinander vorbei , ich gehe davon aus das die Chinesische Regierung Linux nutzen möchte um nicht Ausspioniert zu werden.
Und nein ich denke nicht das sie so etwas einbauen, zumindest nicht für den Europäischen Markt.
Für den eigenen Markt evtl. schon denn was soll die Bevölkerung machen sich dagegen auflehnen ?
Anscheinend aber hast du Lust hier im Forum unbedingt zu stänkern oder, sonst wäre die Bemerkung unten an deinem Beitrag ja nicht nötig.
Und nein ich denke nicht das sie so etwas einbauen, zumindest nicht für den Europäischen Markt.
Für den eigenen Markt evtl. schon denn was soll die Bevölkerung machen sich dagegen auflehnen ?
Anscheinend aber hast du Lust hier im Forum unbedingt zu stänkern oder, sonst wäre die Bemerkung unten an deinem Beitrag ja nicht nötig.
Creeping.Death
Rear Admiral
- Registriert
- Juni 2005
- Beiträge
- 5.654
Dann sind wir diesbezüglich einer Meinung.Noofuu schrieb:Ich glaube wir reden aneinander vorbei , ich gehe davon aus das die Chinesische Regierung Linux nutzen möchte um nicht Ausspioniert zu werden.
Das ist ein Spaß, den die angesprochene Person schon versteht. Das hat mit dir nichts zu tun.Noofuu schrieb:Anscheinend aber hast du Lust hier im Forum unbedingt zu stänkern oder, sonst wäre die Bemerkung unten an deinem Beitrag ja nicht nötig.
Schau in mein Benutzerprofil und die Relation Beiträge <-> Reaktionen
Wer auf Stänkerei aus ist, hat hier ein anderes Verhältnis.
In diesem Thema ranzt es mich einfach nur an, dass Viele jetzt sogar in quelloffener Software aus China den leibhaftigen Teufel sehen.
Würde ich jetzt mit Google, Microsoft, Apple, ... kommen, dann wäre das aber natürlich eindeutig "Whataboutism".
Wer auf Stänkerei aus ist, hat hier ein anderes Verhältnis.
In diesem Thema ranzt es mich einfach nur an, dass Viele jetzt sogar in quelloffener Software aus China den leibhaftigen Teufel sehen.
Würde ich jetzt mit Google, Microsoft, Apple, ... kommen, dann wäre das aber natürlich eindeutig "Whataboutism".
SpicyWolf
Cadet 3rd Year
- Registriert
- Apr. 2012
- Beiträge
- 44
@Creeping.Death Was hat die chinesische Regierung zu verlieren wenn in einem Open Source OS Backdoors gefunden werden? Nichts, da sie es ja nicht Betreuen sondern lediglich ihre Distro darauf aufbauen. Da wird dann schnell ein Buhmann bei den Entwicklern gefunden wenn so etwas auffliegen sollte und die Sache ist erledigt. Vor allem quelloffen heißt nicht ohne Backdoors sondern lediglich das falls nötig jemand über den Code schauen kann und wie man oft bei Projekten sieht praktisch niemand macht außer die maintainer selbst. Außerdem werden die fertig compiled binaries ausgespuckt, wer garantiert hier das der veröffentlichte Code mit den binaries übereinstimmt?
Merkt man leider immer wieder bei bestimmte China Hersteller das Thema ist zB Huawei, Xiaomi etc. Kommt immer dieses Bashing. Aber bei anderen China Hersteller (welche nicht ersichtlich sind), dann ist die Diskusion um Thema Datenschutz gar nicht vorhanden.Creeping.Death schrieb:Ich störe mich nur an diesem - teils recht primitiven - China-Bashing. Speziell hier auf ComputerBase fällt mir das in letzter Zeit immer mehr auf.
Was wurde aus dem Grundsatz "im Zweifel für den Angeklagten"? Hier wird alles aus China grundsätzlich "schuldig" gesprochen. Wer anderer Meinung ist muss das erst mal beweisen.
Ob es Backdoors gibt ist schwer zu sagen, wer Garantiert mir, dass bei den anderen Distributionen keine Backdoors gibt? Wenn ich jetzt Ubuntu anstatt Windows nutze, bin ich dann sicher vor der NSA? Glaube kaum
Finde es ja auch amüsant, die NSA spioniert im großen und ganzen und vielen ist es EGAL. Aber wehe Chinesen spionieren, dann ist die Hölle los. Als würde es gute Spionage und böse Spionage geben
TrueCrypt war sicherlich auch "unsicher", damit man Bitlock nutzen soll😉
Deepin sieht aber echt schick aus, nutzen würde ich es wohl auch nicht, da der Support und Community wohl deutlich schlechter hier ist als bei den anderen Distros
Noofuu
Cadet 3rd Year
- Registriert
- März 2022
- Beiträge
- 46
Zum Thema die NSA Spioniert auch, ja aber die Deutschen Behörden mit großer Sicherheit genau so.
Ich denke keine Regierung ist hier unschuldig. Und das mit den anderen Linux Distributionen ist mir auch schon lange durch den Kopf gegangen nutze ja selbst Manjaro , aber ich kann sicherlich keinen Backdoor ausfindig machen dafür Fehlen mit die Kenntnisse ob Linux was frei auf dem Markt ist wirklich so Sicher ist bezweifel ich manchmal auch sehr.. Microsoft macht ja nicht wirklich ein Geheimnis daraus.
Ich denke keine Regierung ist hier unschuldig. Und das mit den anderen Linux Distributionen ist mir auch schon lange durch den Kopf gegangen nutze ja selbst Manjaro , aber ich kann sicherlich keinen Backdoor ausfindig machen dafür Fehlen mit die Kenntnisse ob Linux was frei auf dem Markt ist wirklich so Sicher ist bezweifel ich manchmal auch sehr.. Microsoft macht ja nicht wirklich ein Geheimnis daraus.
Wölkchen
Lt. Junior Grade
- Registriert
- Dez. 2020
- Beiträge
- 465
Kann man doch, bloß aus den Community-Repos ohne Support durch das openSUSE-Projekt. Man kann die Maintainer auch nicht dazu zwingen Software aufzunehmen und dann Support dafür zu leisten.Kuristina schrieb:Ja. Wobei ich ja eher dafür bin, dem Benutzer immer die Wahl zu lassen und ihn nicht zu bevormunden.
Aus AUR? Wenn ja, ist es auch nicht anders als bei openSUSE.Kuristina schrieb:Bei Arch jedenfalls kann man den Desktop installieren, wenn man denn will.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.533
Naja. In dem Gedankengang stecken mehrere Annahmen drin, die m.E. nicht so wirklich haltbar sind.Creeping.Death schrieb:Glaubst du ernsthaft, die chinesische Regierung baut direkt im offenen Quellcode der Distribution oder einer ihrer Komponenten so etwas wie eine Backdoor ein, wo jeder - der Quellcode lesen und verstehen kann - darauf stoßen könnte?
Die erste Annahme: Jemand durchforstet den Quelltext aktiv nach Sicherheitslücken.
Ja. Das passiert. Aber weniger als man annehmen würde. Das Argument wird ja auch immer bei sicherheitskritischen Bugs gebracht. Nun gibts aber zahlreiche Beispiele wo solche Bugs jahrelang (manchmal sogar jahrzehntelang) nicht aufgefallen sind. Es gibt jetzt keinen plausiblen Grund anzunehmen, warum das bei Backdoors anders sein soll.
Zweite Annahme: Man sieht der Backdoor an das es eine Backdoor ist.
Auch das ist eher realitätsfremd. Ja. Es gibt solche Backdoors mit hart codierten Passwörtern und so. Aber wenn man das ganze professioneller aufzieht, dann tarnt man Backdoors als Bug. Und zwar nicht als Bug wo man drauf guckt und denkt: Welcher Idiot hat das denn geschrieben, sondern als subtilen Bug. Der eben nicht sofort auffällt.
Bugs kommen in Software regelmäßig vor und werden gefunden und es ist dann schwer bis quasi unmöglich nachzuweisen, das jemand da absichtlich den Bug eingebaut hat. Der wird sich im Zweifel immer rausreden können das es ein Fehler war wie er auch sonst millionenfach auf der Welt vorkommt.
Mal abgesehen davon: Die chinesische Regierung betreibt mehr oder weniger offen Menschenrechtsverletzungen und ähnlichen Kram. Die betreiben offen Industriespionage im großen Stil (die gehen z.B. auch auf Messen und fotografieren unverblühmt die Innereien westlicher Produkte usw. ). Das ist alles bekannt. Du kannst Dir jetzt mal selbst überlegen wie sehr die das juckt wenn rauskommen würde, das in deren Linux-Distribution irgendwo ne Backdoor ist. Mir erscheint es jedenfalls nicht so als würden die übermäßig großen Wert auf ein gutes Image legen. :-)
Kuristina
Captain
- Registriert
- Juli 2022
- Beiträge
- 3.758
Nein, ohne AUR.Wölkchen schrieb:Aus AUR? Wenn ja, ist es auch nicht anders als bei openSUSE.