Beiträge von HelloWorld im Thema „Sicherheit von Roling Releases“

Zitat von El Pollo Diablo

Bei GrapheneOS vetraust Du aber auch Deinem Distributor (der die Pakete ja baut, testet, signiert und ausrollt), dass er keinen Blödsinn macht.

Bitte nicht falsch verstehen, ich will keinem Distributor etwas unterstellen, aber ist nicht auch der Sinn von Open Source Software das man eben nicht einfach einer Instanz vertrauen muss ob sie richtig arbeitet?

Zitat von El Pollo Diablo

Und dafür sollten wir dankbar sein

Bin ich ja auch sehr

Zitat von El Pollo Diablo

Standardmäßig ist jeder GrapheneOS User im Stable Channel für System Updates. Wer so risikofreudig ist, in den Alpha oder Beta Channel zu wechseln, der nimmt in Kauf, dass ein Update das System schrottet. Dann aber eher aus Gründen von Programmfehlern, als durch Sicherheitslücken.

Ich würde mich sicherer fühlen wenn ich Updates noch einmal selbst bestätigen müsste und dann 1en Tag warten könnte ob jemand etwas entdeckt

Zitat von Kater

Natürlich. Das würde aber auch klappen wenn es ein Stable Release wie zb. Mint oder Ubuntu ist. Ich habe deshalb auch Abstand genommen von Softwareinstallation aus Fremdquellen wie zB. PPA's.

Fremde Paket Quellen sind ja noch was anderes, aber dann klickg man ja selbst auf aktualliseren

Zitat von Caho

Der wäre aber auch ganz schnell weg vom Fenster wenn das rauskommt. Und glaube mir das kommt raus und das sehr schnell. So eine Fall gab es mal bei einer Android Rom im XDA Forum.

Dann ist der Schaden bei vielen Nutzern ja schon angerichtet

Zitat von kim88

Was verstehst du unter "automatisch"?

z.B bei meinem Handy wo GrapheneOS drauf läuft sehe ich oft wenn ich mein Handy neugestartet habe eine Anzeige das gerade Updates installiert werden

Zitat von kim88

HelloWorld ich verstehe den Zusammenhang mit Rolling Release nicht. Wenn ich als Paketmaintainer bei Debian, Ubuntu oder Fedora arbeite kann ich das doch auch.

Aber dann wird es nicht automatisch installiert da.das ja Stable ist

Zitat von kim88

Alle Rolling Release Systeme die ich kenne: (Arch, Manjaro, openSUSE Thumbleweed, Micro OS, Gentoo, etc) haben ein vorab Testing. Es ist auch unter Rolling Release selten das du eine Software "sofort" bekommst. Quasi Entwickler haut um 14:00 ein Release aus - bedeutet nicht das du um 15:00 das Update hast.

Also könnte jemand der die volle Kontrolle über die Organisation hinter einem Rolling Release hat nicht wenn er wollte eine Schadsoftware als.Update raussenden?

Ich weiß nicht ob das ein dummer Gedanke ist:
Könnten Anbieter von Rolling Release Systemen, die sofort installiert werden sobald eine Internet Verbindung besteht ohne das der User irgendwas bestätigen muss, einfach ein Update bringen was Schadsoftware enthält die gezielt nach sensiblen Daten aller Art sucht und diese an den Betriebssystem Anbieter beziehungsweise einen Angreifer der sich Kontrolle über das Update System verschafft hat schickt.
Selbst wenn das System Open Source ist kann ja im Moment des Angriffs noch niemand externes den Code überprüft haben um seine Bösartigkeit festzustellen, wenn das dan geschieht ist der Schaden schon angerichtet.

Sind somit Rolling Release Betriebssysteme wie GrapheneOS oder viele Linux Distributionen ein großes Sicherheitsrisiko oder habe ich einfach etwas nicht bedacht?