News Ubuntu 21.10 („Impish Indri“): Firefox wird wie Google Chrome als Snap ausgeliefert

[Serana]

@foo_1337
Das stimmt ja alles, aber man kann eben das Risiko minimieren indem man genau darauf achtet welche Repositories (außer jenen der Distribution) man nutzt. Wenn aber ein offizielles Repository einer Distribution (wie eben der Snapstore von Ubuntu) dadurch auffällt, daß die Kontrolle anscheinend eher mangelhaft ist, dann hat das noch eine andere Qualität als ginge es hier um irgendwelche dubiosen 3rd Party Repositories.

Bis jetzt konnte man halt immer davon ausgehen einigermaßen sicher zu sein, wenn man sich ausschließlich an die offiziellen Paketquellen hält. Wenn Angreifer aber davon ausgehen können, daß sie bei Nutzung von Snap und Co. auch im offiziellen Appstore ein geringeres Entdeckungsrisiko haben, dann werden sie diesen Angriffsvektor skrupellos ausnutzen. Es ist eben ein Trugschluß anzunehmen, daß Containerformate für die Distributionen weniger Arbeit bedeuten.

Wenn Canonical einen Appstore für Snaps anbieten will, dann werden sie auch und gerade dort um eine Überprüfung der Pakete nicht herumkommen. Oder man macht es eben wie unter Windows und überläßt das Angebot der Pakete den einzelnen Entwicklern auf ihren eigenen Webseiten. Nur hat man dann letztlich die gleiche Situation wie in der Windowswelt.

 

[foo_1337]

Das Problem ist, dass es oft schlicht unmöglich ist, bei den offiziellen Repos zu bleiben. Sonst müsste ich für nahezu jeden Use Case eine andere Distro wählen und hätte einen Zoo seinesgleichen. Ich bin aber ohnehin eher im Serverbereich unterwegs, vielleicht daher auch eine etwas andere Sichtweise. Hier geht der Trend (und den mache ich auch mit) aber ohnehin zu docker, podman & co. Was diese Problematik aber leider keineswegs besser macht Hier mal ein recht aktuelles Beispiel: https://www.bleepingcomputer.com/ne...r-hacked-to-add-backdoors-to-php-source-code/
Wenn das unentdeckt geblieben wäre, wäre diese Backdoor auch früher oder später in die offiziellen Repos gekommen. Oder auch noch nicht soo lange her (betrifft jetzt nicht direkt das Paketrepo, aber mindestens genauo blöd): https://blog.linuxmint.com/?p=2994
Und was du mit "dubios" in Bezug auf 3rd Party Repos meinst, erschließt sich mir nicht.

 

[Serana]

Und was du mit "dubios" in Bezug auf 3rd Party Repos meinst, erschließt sich mir nicht.

Mit "dubios" meine ich das was man in der Windowswelt mit Chip, Softonic und Co hat. Also Repositories bei denen dann am Ende nicht mehr eindeutig auszumachen ist, ob das NOCH seriös ist oder SCHON eine Quelle von vielleicht nicht unbedingt Schadsoftware aber eben durchaus ungewünschten Beigaben.

Das ist jetzt eine Problematik die im Serverbereich wahrscheinlich eher zu vernachlässigen ist weil man von Serveradministratoren eine gewisse Sorgfalt erwarten kann. Nur gilt meine Sorge da eher den Desktopnutzern die im Linuxbereich eben auch nicht mehr das sind was sie mal waren. Um es etwas plakativ auszudrücken.

 

[foo_1337]

Mit "dubios" meine ich das was man in der Windowswelt mit Chip, Softonic und Co hat.

Sowas meine ich selbstverständlich nicht. Ich meine z.B. die deb Repos von redis, elasticsearch oder das sury ppa für ppa. Alles Repos, die im Serverkontext fast jeder nutzt (elastic z.B. gibt es gar nicht mehr bei den Distros, redis z.B. erst seit bullseye in der 6er Version, leider kein 6.2). Oder im Desktop Bereich halt z.B. das offizielle google-chrome deb repo.

Das ist jetzt eine Problematik die im Serverbereich wahrscheinlich eher zu vernachlässigen ist weil man von Serveradministratoren eine gewisse Sorgfalt erwarten kann.

Nein, kann man nicht. Wie soll der gemeine Linux admin mitbekommen, wenn ihm ein plötzlich ein Paket untergejubelt wird, welches eine Backdoor enthält. Klar, es gibt die Variante, dass er mutwillig ignoriert, dass das Paket unsigniert ist oder der gpg key nicht passt. Aber es kann halt auch passieren (und das ist leider nicht nur graue Theorie), dass der build server komprommitiert wurde und dementsprechend das Paket auch eine gültige sig hat.

Aber klar, Desktopnutzer sind eine andere Hausnummer. Aber ganz ehrlich: Beim DAU ist mir trotzdem ein Snap lieber als wenn er sich selbst via google auf die suche nach firefox, gimp, blender & co macht und am End irgendeinen Mist runterlädt, siehe deine Beispiele aus der Wjndowswelt. Auch wenn ich von Snap & Co überhaupt nichts halte.

 

[GrumpyCat]

Allerdings: wenn Schrott in die Reposit

ohnehin zu docker, podman & co. Was diese Problematik aber leider keineswegs besser macht

In der Tat. In Umfeld von Docker muss man ja gut gewartete und auf dem Stand gehaltene Images mit der Lupe suchen, nicht zuletzt weil jedes Image eben seine eigenen ranzigen veralteten Dependencies mitbringt, was bei Snap und Flatpak eben genau so passieren wird. Statt einmal OpenSSL aktualisieren darf man das dann eben für jede Software einzeln tun bzw. muss hoffen, dass die jeweiligen Maintainer das tun. :/

 

[nipponpasi]

Das liebe und hasse ich, an guten Linux Diskussionen, zugleich:
Am Ende denke ich mir meist. "Alter, ich fahr die Kiste am besten runter, schreib wieder auf Papier und spiel Risiko am Wohnzimmertisch!"

Ich hab euch alle lieb und mag auch freies Bier. Habt nen schönen Tag. 🌻

 

[Kontrapaganda]

Snap: No, thanks. Wenn die das DEB-Paket rausschmeißen, nehme ich Flatpak. Snaps brauchen ewig zum Starten.