News Windows 10: Paketmanager OneGet als Teil von PowerShell

[MountWalker]

... schmunzeln wie bei Apples Ankündigung der "multiple workspaces"-Funktion in OS X 10.9 (nicht ganz sicher beim Release) ...

Brachiale Berichtigung: Das war 10.5 Leopard und lief noch auf meinem iBook G4. Das verdeutliocht aber auch, wie spät dran Microsoft damit ist. Für MacOS X gibts glaub ich, jetzt bin ich mal vollkommen unsicher mit beim Release, seit 10.2 DarwinPorts, das seit zehn jahren MacPorts heißt und bezogen auf Freie Software etwas ähnliches für Macs macht.

... Unter Ballmer/Gates wären solche Aktionen und der Bruch mit alten Strukturen kaum denkbar gewesen. ...

Ich bin zwar auch der Meinung, dass Nadella seinen Job hervorragend zu machen scheint, aber das Thema hier ist doch nur ein späterer (wenn auch großer) Schritt in einer Kette, die mit Windows Vista und seiner PowerShell sowie den System Services for Unix/Linux (oder wie das heißt) eingeleitet wurde. Ich weiß nicht aus dem Stehgreif, ob PowerShell und Unix Services in Windows noch Gates oder schon Sinofski waren, aber sie waren lange vor Nadella.

P.S.
Muss mich selbst irgendwie berichtigen, Windows Services for Unix ist schon so uralt, dass ich damit nicht sagen sollte, dass damit ein Umdenken in etwa der Zeit von Vista stattgefunden habe.

 

[Mr.Kaijudo]

Hoffentlich kann man diesen Linuxdreck umgehen.

 

[Grantig]

Den wesentlichen Unterschied zwischen Windows und Linux kennst du aber, oder auch nicht? Wenn es keine Repos von "vertrauenswürdigen" Anbietern sind, ändert sich was genau?

Das gleiche Problem hast du doch auch bei allen Linux Distros. Natürlich musst du darauf achten, nur vertrauenswürdige Repos einzubinden.
Aber wer sagt, dass nur ein Repo von MS vertrauenswürdig sein kann und nicht auch eins, das von einer Community verwaltet wird?

Solange die Hashwerte der Repos nicht mit den wirklichen Originalen verglichen wird, ist das Zeugs wertlos und Augenwischerei.

Im Fall von Chocolate musst du keine Hashwerte vergleichen, denn die Pakete enthalten nur ein Skript, das die Binaries direkt von der Herstellerwebsite bzw. von github o.Ä. lädt.

Bei deinem Link steht auf englisch "The world needs an alternative Windows Store. Chocolatey is thriving as that store. Help us make The Chocolatey Experience a reality!" und mit Google übersetzt: "Die Welt braucht eine Alternative Windows Store. Chocolatey als diesem Geschäft floriert. Helfen Sie uns, Die Chocolatey Experience Realität!" Oder auf gut deutsch:
Chokolade ist ein Experiment um den Umsatz von MS anzukurbeln.

Was für ein Schmarrn. Die Leute von Chocolate haben nix mit MS am Hut. Das Projekt gibts auch schon länger als OneGet.
Das Ziel ist eben, nen einfach über die Powershell zu bedienenden Paketmanager für Windows zu entwickeln, als Gegenpol zum Windows Store, bei dem nur die Software gelistet wird, die MS zulässt.

Wie war das doch gleich mit DRM und EFI? Welchen Unterschied kennst du? Chocolatey geht in die gleiche Richtung.

Jetzt wirds abstrus. Chocolatey ist open source. Wenns dir irgendwann nicht mehr passen sollte in welche Richtung sich das Projekt entwickelt, dann kannst du es forken.
Außerdem muss Chocolatey ja nicht das einzige Community Repo bleiben.

 

[silentdragon95]

Hoffentlich kann man diesen Linuxdreck umgehen.

Da hat jemand nicht ganz verstanden worum es geht. Auch ist die Assoziation falsch - Linux = Überlegen wäre richtig.

Aber im Ernst, wird langsam Zeit, dass Microsoft ihr System auf aktuellen Stand bringt. Noch vor gar nicht all zu langer Zeit war Windows im Kern irgendwo bei NT 4 stehen geblieben.

 

[Krethi & Plethi]

Hoffentlich kann man diesen Linuxdreck umgehen.

magst nicht mal den artikel lesen?

 

[PsychoPC]

tja, wenn man schon nix alleine auf die beine stellen kann, dann kopiert man eben gz M$ aber trotzdem werde ICH einen riesiegen bogen um euch und eure produkte machen, danke nochmals hierbei an Edward Snowden!

als Kopiert Linux nicht auch von Windows ab?

zum thema was habe ich von PowerShell mit Paketmanager OneGet bitte?Sieht für mich nicht anders aus als die Eingabeaufforderung , und heißt es jetzt wenn ich unter Win10 ein programm wie VLC installieren will muss ich das mit der PowerShell machen?

Apropo Linux

Fünf Jahre gereift Suse Linux Enterprise 12 veröffentlicht 27.10.2014 20:59

grad mal es auf 10 kommentare geschafft

 

[Almalexia]

@PsychoPC
Seit wann arbeitest du mit der Powershell in Windows?
Sei beruhigt, du wirst deinen VLC Player weiterhin als EXE installieren können.


Ja Klar, SLES, du weißt aber schon was SLES ist? Sowas wie der Windows Server 2012 R2. Das ist kein Linux, was man sich als Ottonormalverbraucher installiert ... für Ubuntu gibts Ubuntuuser und dort wird dir feinsäuberlich erklärt, was du unter Ubuntu wie machen sollst. Lesen musst du schon können.

 

[Krethi & Plethi]

und heißt es jetzt wenn ich unter Win10 ein programm wie VLC installieren will muss ich das mit der PowerShell machen?

du kannst es so installieren, kannst es aber auch so wie die letzten jahre machen.
aber das hättest du beim lesen des artikel auch erfahren!

 

[silentdragon95]

Lesen ist nicht so die Stärke der Leute. Die lesen "Windows Paketmanager wie Linux", sehen das Bild, das aussieht wie eine Eingabeaufforderung und bekommen Angst um ihre bunten, klickbaren Icons. Wenige machen sich Gedanken, wie (und ob!) das unter ihrer tollen Oberfläche alles funktioniert. Denn, wie ich bereits sagte, Windows hat da einiges an Nachholbedarf.

 

[boarder-winterman]

Das ist eine gute Nachricht.
Wenn da jetzt vernünftige Paketquellen folgen, wo alle wichtigen Programme enthalten sind, kann ich meinen DAUs ein Script auf den Desktop legen, mit dem alle Programme geupdatet werden.
Sicherheit deutlich erhöht!

 

[Torty]

Wurde auch mal Zeit, dass M$ diesen Weg geht. Unter Arch Linux, zum Beispiel, updatet eine Eingabe von "sudo pacman -Syu" das komplette System mit allen Apps, die aus den Repositories kommen. Blitzschnell sind alle Programme aktuell.

Unter Windows: Man erfährt, ohne das Internet zu durchstöbern, meist nichts von neuen Programmversionen. Für jedes Programm muss man einzeln auf den jeweiligen Herstellerseiten nach Updates schauen, dann wahrscheinlich noch die ganzen Werbebanner und Popups weg klicken, Installer runterladen, Installer starten, Installationsroutine ablaufen...
Aus diesem Grund hielt ich Linux, ganz besonders, was das betrifft, sehr viel unkomplizierter und Windows um Längen voraus.

 

[B.XP]

Wo sind jetzt die Leute, die rumposaunen, dass MS nur noch Apps aus dem Store erlauben wird. So...ganz sicher?!

Die Engstirnigkeit mancher hier regt mich auf. Da kommt wieder eine neue Möglichkeit dazu, die vielleicht nicht jedem hilft, aber niemandem Schadet. Und viele einfach nur am Meckern weil sie der Meinung sind, dass das jetzt das ist was sie nutzen MÜSSEN. Das war bei den Windows-Apps schon nicht so, das ist bei OneGet nicht anders.

 

[BlasphemieFisch]

Mal gucken, was mir so spontan am Morgen zu den Vorteilen einer paketverwaltung einfällt...

Auf einem typischen Windows system laufen ganz sicher Hintergrund der Adobe Updater, Java Updater, nvidia Updater, <irgendwassoftware> Updater.. Bei mir läuft meine paketverwaltung und ich entscheide, wie neu die Updates sein dürfen, die ich installieren will. Und das Beste, sie werden mir automatisch bei Verfügbarkeit angeboten.

Programm xyz läuft nicht (mehr). Dann kann ich mit einer paketverwaltung prüfen, welche Bibliotheken mein Programm benötigt. Ich kann vermisste Dinge gezielt nachinstallieren. Mein paket Manager überprüft die Integrität meiner Installation, also Ort und Dateinamen der enthaltenen paketdateien, aber auch zeitstempel und kryptographische Prüfsumme. D.h. es werden auf simpler Ebene unerwünschte Änderungen erkannt.

Ich kann, ohne 100 einzelne installer herunterzuladen, aus einer geprüften Quelle Software beziehen, die ich mit einem konsolenbefehl oder ein paar Klicks in meinem gui installieren kann. Und wenn ich die Software nicht mehr möchte, dann wird sie in der Regel ruckstandsfrei entfernt, ohne Dateien anderer Programme zu beschädigen.

Ich kann, da Open source, im Paket nachschauen, was wohin installiert wird. Denn man gibt bei einer Installation dem Paketmanager kurzzeitige schreibrechte in systemkritischen Bereichen. Da will ich wissen, was das Ding macht. Das kann ich mit einer exe Datei wohl kaum machen.

Ergänzungen sind gerne willkommen, statt Einfach nur zu sagen, dass es besser mit paketverwaltung ist

 

[Randy89]

Wenn da jetzt vernünftige Paketquellen folgen, wo alle wichtigen Programme enthalten sind, kann ich meinen DAUs ein Script auf den Desktop legen, mit dem alle Programme geupdatet werden.
Sicherheit deutlich erhöht!

Was ist wenn die Paketquelle selber mit Malware verseucht ist oder jemand es schafft, diese Quelle während des Herunterladens zu komprimitieren?
Wer garantiert mir, dass unter Windows nicht irgendjemand versucht, mir Adware unterzuschieben?

Allein aus dem Grund, bleib ich lieber beim Altbewährtem, scan z.B. die Dateien mit https://www.virustotal.com/de/ und/oder mit verschiedenen On-Demand-Scannern (z.B. Malwarebytes) ab und pass bei den Installationen auf.

 

[gaym0r]

http://de.wikipedia.org/wiki/Paketverwaltung

und trotzdem die Frage was soll das in Windows bringen...in Win 7 und 8 und 8.1 gibt's ja dieses sogenannte Winsxs Verzeichnis..wo die verschiedenen Dlls usw gelagert werden....falls ein Programm ne alte Version davon benötigt

Zusammenhang?

 

[Fonce]

Was ist wenn die Paketquelle selber mit Malware verseucht ist oder jemand es schafft, diese Quelle während des Herunterladens zu komprimitieren?

Sowas kann man absichern durch Prüfsummen(z.B. mit SHA-512 Hash zu der Datei und Prüfung der Dateien nach dem Herunterladen) und absicherung der Verbindung durch SSL. Das wird im Linux Umfeld schon lange praktiziert. Es gab zwar schon Einbrüche in die Repos, aber Schadcode konnte dadurch bisher nie erfolgreich eingebracht werden.

Wer garantiert mir, dass unter Windows nicht irgendjemand versucht, mir Adware unterzuschieben?

Wer garantiert dir das jetzt? Virenscanner können ja ganz nett sein, aber auch sie bieten keinen 100% Schutz und können sogar eher noch selber Lücken aufreisen oder Sicherheitstechniken aushebeln(Die Dinge laufen im Normalfall im Kernelmode und haben damit eigentlich Zugriff auf alles).

 

[DocWindows]

Auf einem typischen Windows system laufen ganz sicher Hintergrund der Adobe Updater, Java Updater, nvidia Updater, <irgendwassoftware> Updater.. Bei mir läuft meine paketverwaltung und ich entscheide, wie neu die Updates sein dürfen, die ich installieren will. Und das Beste, sie werden mir automatisch bei Verfügbarkeit angeboten.

Ja, und dazu checkt die Paketverwaltung genauso viele unterschiedliche Quellen wie die ganzen <irgendwassoftware> Updater. Die Anbieter kommerzieller Software werden ihre Softwareverwaltung sicherlich nicht an ein Community-Repo von "Die supertollen Windows-Freunde" auslagern.

Programm xyz läuft nicht (mehr). Dann kann ich mit einer paketverwaltung prüfen, welche Bibliotheken mein Programm benötigt. Ich kann vermisste Dinge gezielt nachinstallieren. Mein paket Manager überprüft die Integrität meiner Installation, also Ort und Dateinamen der enthaltenen paketdateien, aber auch zeitstempel und kryptographische Prüfsumme. D.h. es werden auf simpler Ebene unerwünschte Änderungen erkannt.

Das geht alles im Prinzip auch schon mit MSI. Man muß es nur nutzen. Tun viele aber nicht. Die setzen auf Drittanbieter-Installertechnologien die das alles nicht bieten.
P.S: Wenn dein Programm xyz zwingend eine ältere Voraussetzung braucht als die die bereits installiert ist und von anderen Programmen gebraucht wird, sitzt du ziemlich in der Tinte. Besonders dann wenn die ältere Voraussetzung ihrerseits wieder Voraussetzungen hat die nicht installiert werden können weil neuere schon auf dem System sind.

Ich kann, ohne 100 einzelne installer herunterzuladen, aus einer geprüften Quelle Software beziehen, die ich mit einem konsolenbefehl oder ein paar Klicks in meinem gui installieren kann. Und wenn ich die Software nicht mehr möchte, dann wird sie in der Regel ruckstandsfrei entfernt, ohne Dateien anderer Programme zu beschädigen.

Aus einer Quelle wird das bei Windows sicher nicht kommen. Ich schätze dass jedes Programm ein eigenes Repo eintragen wird. Zumindest die kommerziellen Softwareprodukte.

Ich kann, da Open source, im Paket nachschauen, was wohin installiert wird. Denn man gibt bei einer Installation dem Paketmanager kurzzeitige schreibrechte in systemkritischen Bereichen. Da will ich wissen, was das Ding macht. Das kann ich mit einer exe Datei wohl kaum machen.

Kannst du bei MSI auch.

Ergänzungen sind gerne willkommen, statt Einfach nur zu sagen, dass es besser mit paketverwaltung ist

Sofern MS in diese Paketverwaltung Prüfsummen und Zugangsverwaltung zu Repos einbaut oder schon eingebaut hat, gibt es für Softwareanbieter noch den Vorteil dass sie genau bestimmen können wer wie lange Zugriff auf das Softwareprodukt erhält.

Man könnte z.B. eine Software verkaufen indem man dem Kunden nur noch einen Repo-Link und Zugangscodes aushändigt. Die trägt er ein und bekommt für einen Zeitraum X die Software im Paketmanager zur Installation angeboten. Ist Zeit X abgelaufen wird der Zugangscode ungültig und die installierte Software wertlos (man könnte das Paket vielleicht sogar automatisiert entfernen).
Kaufsoftware die man zu Hause archiviert und nach zig Jahren nochmal installieren kann? Nicht mit dem Paketmanager.

Das alles soll jetzt keine Gegenrede gegen Paketverwaltung sein, sondern einfach nur zeigen dass viele Vorteile jetzt schon realisierbar wären wenn man denn wollte und konsequent wäre. Und es soll auch die Schattenseite zeigen, weil man durch aus der eigenen Hand gegebenes Softwaremanagement auch wieder einen Teil seiner Freiheit verliert.

In dem Punkt hinkt übrigens auch der Vergleich mit der Paketverwaltung unter Linux. Denn dort gehts ja zu 99,9% um die Verteilung von Software die genau dafür vorgesehen ist. Bei Windows ist das meist nicht der Fall. Da möchte der Hersteller meist die Kontrolle behalten und nicht abgeben.

Sowas kann man absichern durch Prüfsummen(z.B. mit SHA-512 Hash zu der Datei und Prüfung der Dateien nach dem Herunterladen) und absicherung der Verbindung durch SSL. Das wird im Linux Umfeld schon lange praktiziert. Es gab zwar schon Einbrüche in die Repos, aber Schadcode konnte dadurch bisher nie erfolgreich eingebracht werden.

Prüfsummen haben aber den Nachteil dass man eine berechnete Prüfsumme gegen eine vorgegebene Summe vergleicht. Sollte ein Angreifer beabsichtigen ein Paket zu manipulieren würde er die neue Prüfsumme natürlich auch als originale Quellprüfsumme versuchen einzutragen.
Ich hätte da lieber digitale Signaturen wo man nicht nur prüfen kann dass die berechnete Summe mit der Quellsumme übereinstimmt, sondern auch wer die Quellsumme erstellt hat (Analogie!)

 

[MountWalker]

Was ist wenn die Paketquelle selber mit Malware verseucht ist oder jemand es schafft, diese Quelle während des Herunterladens zu komprimitieren? ...

Das erste garantieren dir die jeweiligen Maintainer der von dir verwendeten Repositories. Das zweite garantieren dir im Optimalfall, wie das bspw. bei Fedora und RedHat seit zehn jahren der Fall ist, GPG gesicherte Übertragungen zwischen Repo und Client - das brauchst du aber nur, wenn dein Client gezielt angegriffen wird und davon abgesehen ist ein IE/Ff/Chrome-Download-Tool-Download zwischen Softwareseite X und deinem Client auch nicht gesichert. Würdest du ernsthaft jedes einzelne Update für Firefox, Adobe Flash, Office-Tool X, Bildbetrachter Y usw. manuell bei Virustotal scannen wollen? Du bist doch sicherlich froh, dass sich dein Firefox selbst automatisch aktualisiert. Das Problem ist aber, dass derzeit auf Windows bei selbstaktualisierenden Drittanbieterprogrammen etliche eigene Update-Prozesse laufen, die alle für sich allein prüfen - das ist ein ernsthaft lächerlicher Aufwand an Internetzugriffen. Je nachdem, wie viele Zusatzprogramme man so hat, die sich selbst aktualisieren können, hast du dann etliche Updater die gleichzeitig rumfunken - oder man installiert sich ein Drittanbieter-Update-Tool, das aber, abgesehen von Chocolatey, auch nur Hinweise auf Updates gibt und nicht automatisch installiert. Was man dafür an Lebenszeit verschwendet ....

 

[Fonce]

Prüfsummen haben aber den Nachteil dass man eine berechnete Prüfsumme gegen eine vorgegebene Summe vergleicht. Sollte ein Angreifer beabsichtigen ein Paket zu manipulieren würde er die neue Prüfsumme natürlich auch als originale Quellprüfsumme versuchen einzutragen.
Ich hätte da lieber digitale Signaturen wo man nicht nur prüfen kann dass die berechnete Summe mit der Quellsumme übereinstimmt, sondern auch wer die Quellsumme erstellt hat (Analogie!)

Signieren der Pakete gehört natürlich dazu(Wird auch bei allen Linux Distributionen so gehandhabt). Hatte ich nur vergessen zu erwähnen.

 

[Hinterwaeldler]

..., updatet eine Eingabe von "sudo pacman -Syu" das komplette System mit allen Apps, die aus den Repositories kommen. Blitzschnell sind alle Programme aktuell.

OMG, das können nur Anwender eines modernen Linux wissen. Man kann nicht mit Erfahrungen, die vor 10 Jahren mal gesammelt wurden, auf heute schließen. Das funzt einfach nicht und gilt auch für Redakteure von Fachzeitschriften!

Ich kann auch im YaST meines OpenSuse zuerst ein Internet-Update ausführen, um danach eine aktuelle Software zu installieren. Wird sie dann nicht gefunden bzw nicht installiert, dürfte sie kaum dem aktuellen Systemstand entsprechen und ich muss vielleicht noch ein paar Tage warten oder sie gar vergessen. Mit diesem Zustand werden übrigens in einigen Tagen alle OpenSuse-Anwender konfrontiert.

Schlimm? Nein, Gewohnheitssache! Wer das nicht mag verwendet ein LTS-System, dann besitzt er ein BS auf Lebenszeit seiner Hardware, ähnlich wie es mal mit winxp praktiziert wurde.

Nun aber sprechen wir in der Zeit von winseln 8.1 (wieso eigentlich 8.1?) von einer Version 10 und dessen Absatz muss auch gesichert werden. Das will man ebenfalls mit OneGet versuchen!

Zudem unterstützt die Paketverwaltung die Modularität des Systems, so das doppelte Dateien in der Regel nicht vorkommen können. Das reduziert die Datenmenge auf der Festplatte. Eine solche Modularität ist aber nur bei quelloffenen Programmen und Biblotheken (dll's) möglich, die jeder beliebige Coder auch an anderen Stellen in seinen Programmen benutzen kann. Meines Wissens wurde das letztmalig von Borland versucht (Sorry, wenn ich mich irre). Von M$ wurden nur teilweise die APIs und ihre Schnittstellen dokumentiert, jedoch nicht der Quelltext.

[loriot] Fachpresse mit Spitzenmeldung: "Geheime Funktionen von Windoofs entdeckt" [/satire]