[linux-l] Slightly off topic: Jagd auf Spam

Jan Krueger jk at microgalaxy.net
Mi Okt 29 17:32:03 CET 2003


On Sunday 26 October 2003 22:56, Steffen Dettmer wrote:
> Na, aber auch hier kann man die angebotene Leistung (also z.B.
> Webserver trozdem noch empfindlich stören, beispielsweis aus dem
> chroot herraus Unfug anstellen, weil der Server vielleicht
> TCP-Verbindungen "darf", weil da ein URL-Validator liegt oder so.
Diese verflixte Komplexität ist noch komplexer als ich dachte...

> Ja, die Sicherheitslücke "Adminstrator" ist auch nicht zu
> verachten. Es sollte schon KISS sein, damit man dem Kram noch
> trauen kann...
Was meinst Du, wenn Du "KISS" schreibst?

> Na ja, die "Sandbox"-Idee ist ja so schlecht nicht, finde ich.
Ja, find ich auch, den normalen Wuser zu sandboxen sollte Standard sein.
Mac OS X macht es ja beinahe vor.
Geht aber mit den existierenden Filesystem-Hierarchie-Standards nicht so 
richtig wirklich da Wuser-kram und Systemkram schön miteinander vermixt 
sind ...

> Ja, eine sehr interessante Aussage! Vielleicht ist ein solch
> buntes System mit Millionen von Funktionen (die man vielleicht
> gar nicht braucht ;)) mit den gewohnten Techniken einfach nicht
> sicher zu realisieren.
Da bin ich mir auch nicht so sicher. Ich hoffe immernoch, daß eines der 
nächten BeLUG Patente (welches nicht unbedingt von mir sein muß) einen Weg 
aus dieser Software-Krise aufzeigen kann :)

> Möchte man es "unten" abfangen, hat man
> Ärger, Aufwand, Funktionseinschränkung und sowas, "oben" kann man
> es nicht abfangen, weil viel zu kompliziert. Macht man einen
> Kompromis und nennt den POSIX? mmm...
Gut, dann nehme man diesen Kompromis, schmeiße all das raus was unsicher ist 
und sowieso überflüssig und nenne es POSIX light oder POSIX secure und ist 
schon mal einen schritt weiter oder man baut einen neuen Kompromiss welcher 
dann dank seiner Natur neu zu sein, neue Erkenntnisse umsetzt und nicht auf 
den Erkenntnissen welche vor 20 Jahren aktuell waren, beharrt.

> > und zu besonderer Vorsicht und Bedachtsamkeit mahnt, ein
> > anderer möchte vielleicht die Frage nach der Wirksamkeit der
> > auf OpenBSD beworbenen Code-Audits stellen, wieder andere mögen
> > nach dem Wert von "open" fragen, wenn eine derartige Lücke in
> > einer derart verdächtigen Datei derart lange unentdeckt
> > bleibt.]
>
> Ja, das fragt man sich dann! Letzeres mag wohl wieder mal an der
> Komplexität liegen.
Nun, nicht nur, ich denke, daß hier auch sämtliche Vendors welche OpenSSH 
einsetzen (OpenSSH wird auch ohne Linux in zahlreichen Kommerziellen 
Produkten eingesetzt, ich meine aber auch Rotk. und Susie) ihrer 
Verantwortung nicht nachgekommen sind. Verkaufen ja, Code audit, wozu?
Vielleicht tue ich Susie und Rotk. damit unrecht, weiß nicht, jedenfalls steht 
auf den Webseiten viel Marketingbla und bitte kaufen. Audit?
Rotk. und Susie tun ja einiges für die Community, das muß man ihnen schon zu 
gute halten.

> Schreibt man ne
> Routersoftware, hat man vermutlich in der Regel höhere
> Qualitätsansprüche als an ein PC Programm, von dem ja eh jeder
> erwartet, daß 10% der Funktionen nur in 10% der Fälle richtig
> funktionieren ;)
Dieses angelernte Niedrigsterwartungsverhalten zeugt doch nur von der 
schlechten Qualität, oder? Nicht umsonst gibt praktisch keiner Funktions- 
geschweige den Sicherheitsgarantien für seine Software (außer djb).
Ein wichtiger Schritt in Richtung Beherrschbarkeit von Software wird der 
Schritt zu höheren Programmiersprachen sein. Es ist schon ein Unterschied ob 
ich erstmal 100 Zeilen Programmieren muß, bis ich ein Fenster habe, dann ein 
Menü, dann Menüeinträge, Fensterinhalt, buttons oder ob ich schreibe 
(lisp-like):

(window
	(menu
		(submenu1)
		(submenu2))
	(frame
		(image "/root/tollesbild.jpg")
	(button "bla")))

> > Ich sehe mich getäuscht und Stelle fest, daß Kompatibilitätsdrang,
> > Trägheit ("we always did it like that, there is no need to change")
> > stärker sind als Innovationskraft.
> Na ja, einfach mal menschlich, sowas, oder?
Ja, ist es. Ich kenne das auch :)

> Aber oft und leicht fällt man dann doch dahin, zu
> bauen was einem selbst gefällt oder was gerade am meisten Spaß
> macht oder sowas.
Das ist ja häufig nicht verkehrt, zusätzlicher Nutzwert kann schon nützlich 
sein (zb. Sokoban in Emacs :) und spielen (auch spielen mit code) ist 
gesund :)

> Baut man es
> ein, und es dauert 50ms je Event länger, braucht die GUI
> plötzlich 3 Minuten zum updaten und man fragt sich, ob man nu
> die Authentikation, CORBA oder lieber gleich die GUI weglassen
> sollte ;)
Schön formuliert :)


> > Weiterhin konnte ich beobachten, daß sich die innovativen
> > Leistungen (hier die wenigen revolutionären) von OSS letztlich
> > aus der Kompetenz (umfassend, also sozial, organisatorisch,
> > technisch, usw.) einzelner Individuen ergibt.
>
> Interessant, dann ist OSS also ein prima Beispiel für "CMM Level 0"
>
> :) Keine Community, sondern eine Einzelkämpfersammlung?
Möchte ergänzend hinzufügen:
... einzelner Individuen ergibt, welche eine ihnen gerechte und entsprechende 
community um sich scharen. (Weil sie ja auch soziale Kompetenz besitzen. Das 
können dann followers sein, oder belivers, oder zealots, oder ebenso 
kompetente individuen, oder Mountain biker, oder Boarder, oder trekkies, der 
Phantasie sind keine Grenzen gesetzt.) Das sind die wenigen zb. RMS, Linux, 
Hans Reiser, OpenBSD Theo (von manchen liebevoll "The the Rat" genannt), usw.
Die Masse der OSS Entwickler sind wohl eher zu eint, zu weit oder zu dritt 
unterwegs. Ich glaub das könnte man durch analyse von SourceForge bestätigen.

> Na, das KDE funktioniert dann mindestens genauso schlecht wie
> WinXP, ist dafür bißchen bunter.
Jupp, mein neuester Favorit ist der, daß die Verzeichnisse in Baumansicht 
ständig an meinem Mauszeiger kleben bleiben obwohl ich nur einmal drauf 
klicke, also die Maustaste gleich wieder löse, aber irgendwie ignoriert KDE 
das lösen der Maustaste...

> Ich wäre für ne Struktur.
Ja, das ist ne gute idee, ne struktur die einen zur gewünschten funktion durch 
sinvolle bezeichnungen leitet ...

Microsoft Longhorn, hab mir die Demo Videos im Netz angeschaut, whooaa, coool. 
Ich glaub da wird die OSS Community ne ganze Weile hinterherhecheln wenn das 
weiter so geht mit den X-Forks (Hat jemand mitgezählt wie viele X-Forks und 
Y-Versionen es schon gibt?)

> Aber bei den Internet-Domains sieht man, was die Mehrzahl
> wünscht: ne Domain direkt unter TLD.
Vielleicht liegt bei diesem speziellen Beispiel daran, daß bei den Domains 
einfach keine Struktur angeboten wird?

> > Der Nachahmungstrieb wird ersichtlich, die Innovation bleibt
> > unsichtbar.
>
> Ja, eigentlich erstaunlich. Da gibt's ein Linux, weil Leute was
> freies mit anderen Eigenschaften wollte. War ne Elite übermüdeter
> Studenten oder so, egal. War schick, daß es einfach nur läuft,
> wen interessiert bunt und GUI und sowas. Dafür druckts auch wenn
> man es eilig hat.
:)
Jo, nur mit drucken allein kann man den Desktop nicht erobern.

> [...gut gewählte worte...] Haben wir
> dann 2006 nicht sowieso schon ein boot-KDE mit integriertem
> Alles, was dann eh nix anderes mehr als ein WinXP heute ist? :)
Dahin wird die KDE-Reise wohl gehen...
Hab mir mal verschiedene IDEs angeschaut: Quanta, Kdevelop, NetBeans, Eclipse 
Daraufhin habe ich beschlossen mich wieder in emacs einzuarbeiten, den ich 
damals, vor Jahren, für einen Texteditor zu groß befand (6MB bei 32MB RAM), 
heute aber als schlanke IDE (Nur 12MB), welche leicht zu erweitern ist, 
betrachte :)  besonders im vergleich zu oben erwähnten Monstern von denen 
eine nichtmal Zeilenumbrüche kapiert, andere core-dumpen ohne ende und wieder 
andere stark einschränkend sind bezüglich der unterstützten Sprachen. Dies 
ist auch ein Vorteil von Emacs, so ziemlich jede Programmierpsrache wird 
irgendwie unterstützt, auch Erlang :)

> > Ja, der Linux Netzwerk-Stack ist schneller als der von Windows.
>
> ... und gerade dieses Argument hat sicherlich wenige von denen
> überzeugt, die Linux selbst verwenden.
> Vielleicht spielt es bei
> gewissen Entscheidungsträgern eine Rolle, aber das war's auch
> schon. Und man muß ja dagegen halten, daß jeder Sicherheitsbug
> teurer ist, als ne CPU mit 100 MHz mehr :)
Ja, hast recht, so habe ich das noch nicht gesehen. Das Hautargument für Linux 
ist wohl, daß es in _wohl_definierten_ Bereichen (Server, "desktops" mit klar 
eingegrenzten Funktionsbereichen, also zb. darstellung einer eingabemaske für 
Versicherungskram und e-mail) konstengünstig einzusetzen ist und dabei 
gleichzeitig genügend flexibilität für eventuelle erweiterungen bietet.
Aber als Wuser Desktop ist das nix, weil der Wuser alles will, jetzt, sofort, 
per Mausklick, Fehlerfrei, Bunt? egal, Benutzerfreundlich. Treiber? Wozu?
-> Start!

> Weil auch die Mail schon so lang ist: Was will die Community
> eigentlich heute?
Hihi, was die Community will kann man leicht ersehen, wenn man sich die 
Diskussionen in den verschieden Foren, Mailinglisten usw. anschaut:
-> Microsoft is evil <- destroy
-> Apple is Software-Patent <- destroy
-> Linux sucks <- destroy
-> OpenBSD must die, anyway <- destroy
-> FreeBSD, the devil himself <- destroy
-> SkyOS is not Linux <- destroy
usw.
Als Endergebnis bleiben die Überreste eines
gewaltigen Kettensägen Massakers, blutverschmierte Code-Fetzen oder so.
Naja, hab ein bißchen übertrieben, hoffe ich :)
möchte mich daher anders ausdrücken:
Ich glaub die Community will nix. Einzelne Individuen, kleine Gruppen wollen 
vielleicht das, oder jenes ...

> Und was ist die Community heute? [...] Ist irgendwie ne
> andere Zielgruppe, die auch andere Anforderungen stellt. [...]
> Universal-Server aus'm Supermarkt,
Gibts von Dell, der Server für zu Hause, 500 Euro.

> SuSE-Small-Office vielleicht (vielleicht gibt's sowas schon
> heute, ich glaub ja fast, daß ja). Paßt man sich eben dem System
> an, und nicht umgekehrt. Bloß dann kann man sich eigentlich auch
> gleich Windows anpassen, finde ich.
Jupp, kommt eh mit beinahe Jedem Rechner mit, den man sich kauft. Und Longhorn 
hat wirklich nützliche Features, welche einem den Umgang mit dem REchenr 
erleichern (vorrausgesetzt Sie funktionieren).

Gruß
Jan





Mehr Informationen über die Mailingliste linux-l