RadioTux Sendung November 2016
Graue Tage
Es ist mitunter, als wären alle Fäden abgeschnitten... als wäre alles um dich her weitab und leer, ein toter Raum,
und du dir selbst ein fremder Traum...
...als käme nie die Sonne wieder, als klänge nie ein Lied mehr durch, als höre alles langsam auf...
und plötzlich flimmert's durch die Wolken und plötzlich trifft ein Klang ans Ohr und leise fliegt auf goldenem Flügel ein Schmetterling am Weg empor!
-- Cäsar Flaischlen (1864-1920)
Die Tage werden schon ganz kurz und es wird kalt draußen. Wir widmen uns daher dem heißem Thema Paketformate und stellen euch Borg vor.
Wir wünschen wie immer viel Spaß!
Shownotes
- Borg
- RadioTux Mai 2015
- RadioTux Dezember 2014
- AppImage
- Autopackage
- Flatpak
- Nix Paketmanager
- Snaps
- Liste von AppImages Apps
- UAppExplorer Snappy Pakete
- Liste von einigen Flatpak Apps
- The madpix Project mit Wish you where here (CC-BY-NC-SA)
Musik:
2016-11-29.RadioTux.Magazin.November2016.mp3 2016-11-29.RadioTux.Magazin.November2016.ogg 2016-11-29.RadioTux.Magazin.November2016.m4a 2016-11-29.RadioTux.Magazin.November2016.flac 2016-11-29.RadioTux.Magazin.November2016.opus MP3 Low-Version
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
tuxflo am :
Hallo! Vielen Dank erstmal für die aktuelle Ausgabe, ihr habt es geschafft einen guten Überblick über die neuen Paketformate zu verschaffen. Ich hätte allerdings noch zwei kleine Fragen:
a) Mit dem Zugriff auf das Dateisystem bin ich etwas durcheinandergekommen: welche der Formate haben jetzt Zugriff auf welche Daten? Also Appimage kann auf alle Dateien des Nutzers lesend und schreibend zugreifen (was im Falle eines versteckten Cryptotrojaners fatal wäre) und bei Snap und Flatpak kann der Zugriff konfiguriert werden?
b) Bezieht sich zum Teil auf die erste Frage: Ihr habt einen Rollback-Mechanismus erwähnt: wie sieht das aber mit den Konfigurationsdateien/Datenbanken der Applikationen aus? Beispiel digikam (welches auch als Appimage angeboten wird): Ich habe Version 5.0 installiert, möchte aber mal die neuste Version 5.4 testen. In 5.4 gab es Änderungen im Datenbankschema, beim Start mit einer alten DB werden die Daten migriert. Ich stelle nach kurzer Zeit fest, dass ich lieber bei der stabilen Version bleiben möchte und starte wieder Version 5.0. Wie kann sichergestellt werden, dass bei einem Rollback auch die Konfigurationen/Datenbanken u.ä. wieder "zurückgerollt" werden.
Zum Schluss noch eine kleine konstruktive Kritik an eurer Homepage: bei der gewählten Schriftart kann ich ein kleines "i" sehr schlecht von einem "l" unterscheiden...
Mit kryptographischen Grüßen, Flo
probono am :
Hallo tuxflo,
Zu a) AppImage kann auf alle Dateien des Nutzers lesend und schreibend zugreifen, aber man kann das optional per Firejail Sandbox auch einschränken: https://firejail.wordpress.com/documentation-2/appimage-support/. In Zukunft können AppImages, die nicht mit einer vertrauenswürdigen GPG-Signatur ausgestattet sind, automatisch in einer restriktiven Firejail Sandbox gestartet werden. Das erfordert aber, dass der optionale appimaged Daemon und Firejail zuvor eingerichtet wurden.
Zu b) Man kann mehrere Versionen einer Software per AppImage parallel betreiben, allerdings liegt es in der Verantwortung der jeweiligen Software wie mit Daten(banken) umgegangen wird. Manche AppImages von Nightly Builds nutzen z.B. statt $HOME/.appname etwas in der Art von $HOME/.appname-nightly o.ä.
Leszek Lesner am :
Zu b) ist die momentane Lage so, dass die Konfigurationsdateien von $HOME übernommen werden. Sprich falls der Umstand wirklich auftritt, dass eine Datenbank so umgeschrieben wird mit einer neuen Version, dass diese nicht mehr zur alten kompatibel ist kannst du diese dann auch nicht mehr für die ältere Version verwenden.
Das stellt in der Tat eine neue Herausforderung für die Progammentwickler selber dar, die solche Situationen evtl. handlen müssen, falls das parallele installieren von älteren und neueren Versionen populär wird. Eine weitere Möglichkeit wäre es natürlich mit Hilfe von Sandboxing dahingehend einzugreifen. Das tolle hier ist also, dass man einem Entwickler nicht unbedingt hilflos ausgeliefert ist, sondern man eigenen Vorstellungen durchsetzen kann.
Dirk Deimeke am :
Ich bin erst halb durch, habe aber schon eine Anmerkung:
Speicherplatz bezogen auf das mehrfache Vorhandensein von Bibliotheken spielt bei den neuen Paketformaten eher eine untergeordnete Rolle.
Viel entscheidender ist, dass die Bibliotheken (siehe Heartbleed) nicht mehr zentral gepatcht werden können.
probono am :
Hallo Dirk,
bei AppImage sollten fundamentale Systembibliotheken (z.B. glibc etc.) nicht Teil der App sondern Teil des Systems sein und somit vom normalen Paketmanager des Systems gepflegt werden. Andere Bibliotheken, die gebündelt zusammen mit der App kommen, müssen vom Ersteller des AppImages aktuell gehalten werden.
Man kann man übrigens entsprechend ausgestattette AppImages per AppImageUpdate-Tool auf die neueste Version aktualisieren, indem man nur die Bytes, die sich zwischen den Versionen wirklich geändert haben, herunterlädt (binäre Delta-Updates). Wenn sich also z.B. in einem 2 GB großen AppImage nur eine 1 MB große Bibliothek ändert, muss man auch nur 1 MB herunterladen.
Dirk Deimeke am :
Vielen Dank für die Erklärung!
Leszek Lesner am :
Ja da hast du natürlich recht. Der Sicherheitsaspekt ist ein ziemlich wichtiger und die Verantwortung dafür wird, wenn der Paketmaintainer wegfällt, zu einem Großteil an den Autor der Software selber gehen, da er in letzter Instanz entscheiden muss oder kann, ob er eine Bibliothek selber ausliefert in seinem Programm oder von einer Runtime z.B. abhängig macht.
Da es so ein zentraler und wichtiger Punkt für die Sicherheit des Systems ist gibt es zumindest mit dem Sandbox Konzept eine Gegenmaßnahme, eine Art Fallnetz, falls dies nicht geschehen ist. Die neuen Paketformate haben so also Vorteile auf der einen, aber auch Nachteile auf einer anderen Seite, weswegen ich nicht denke, dass diese auch auf lange Sicht unsere bewährten Paketformate ersetzen werden, sondern lediglich ergänzen werden.
svij am :
moin,
Ich bin noch nicht ganz durch mit der Folge, aber zu der Installation von Snaps eine Korrektur: man brauch nicht einen ubuntu one Account um Snap Pakete zu installieren. Den braucht man nur für den Download von snappy ubuntu Core, weil da der ssh Key mit dem Image für etwa dem raspi eingebunden wird (aus Sicherheitsgründen). Ansonsten kann jeder snap Pakete ohne Accounts installieren,wo snapd läuft.
Leszek Lesner am :
Ich denke wir haben, dass in der Folge mehrmals erwähnt, dass man einen Ubuntu One Account hat um per Snap Kommandozeilen Tool die Paketquelle die Canonical momentan als einzige anbietet auch nutzen zu können. Sicherlich kannst du snaps auch so herunterladen und installieren.
Uwe am :
Danke für die interessante Sendung. Ihr habt da einen schönen Überblick gegeben. Persönlich stehe ich diesen neuen Paketdiensten aber sehr skeptisch gegenüber. Denn der vermeintliche Komfort für den Anwender wird, wie ihr es ja auch angesprochen habt, durch ein mehr an Verantwortung erkauft. (i) Verantwortung für den User, sich Pakete aus nur vertrauenswürdigen Quellen zu beschaffen, als auch (ii) noch mehr Verantwortung für den Entwickler, denn Software-Tests in Testing-Distributionen fallen bei einem "Vertriebsweg" über Flatpack und Co. ja praktisch weg. Durch die nun sehr einfache Installation bekommt auch der unbedarfteste Linux-Nutzer in den "Genuss", unausgereifte Software verwenden zu können, weil diese extrem einfach am Paketmanager der Distributionen vorbei installiert werden kann. Hier gleicht man sich ohne große Not der Windows-Welt an.
Ich will die Entwicklung nicht zu schlecht reden. Sicherlich schließen diese neuen Formate besonders für Firmen mit Spezialsoftware oder bei anfangs sehr kleinen Projekten eine Lücke, die einer verbreiteten Anwendung im Wege steht. Aber das Risiko ist hoch, dass diese Entwicklung auf lange Sicht auch zu Problemen führt, die wir eben bisher eher aus der Windows-Welt kannten.
Schöne Grüße aus Hessen Uwe
Florian am :
Immer wieder das gleiche. Da hört man mal wieder richtig gute freie Musik in RadioTux, man besucht die Album-Seite aus den Shownotes und hofft auf weiteres cooles Zeugs, und dann hat die RadioTux Musikredaktion™ doch schon wieder das mit Abstand beste rausgesucht und versendet.
Schlimm sowas!