Fedora diskutiert Ende des alten Bios-Supports

[Marco Moock]

Hallo zusammen,
bei Fedora scheinen die sowas früher oder später umsetzen zu wollen:
https://www.golem.de/news/linux-distribution-fedora-diskutiert-ende-des-alten-bios-supports-2204-164434.html

Betroffen wäre da Geräte älter als 2012. Manche haben zwar UEFI, andere
aber nicht.
Selbst Win 11 unterstützt noch das Legacy-BIOS, wenn auch inoffiziell.

[Andreas M. Kirchwitz]

Marco Moock <mo...@posteo.de> wrote:

> bei Fedora scheinen die sowas früher oder später umsetzen zu wollen:
> https://www.golem.de/news/linux-distribution-fedora-diskutiert-ende-des-alten-bios-supports-2204-164434.html

Mit solchen Ansagen vertreibt man den schnorrenden Pöbel.
Absolut richtig so! Community ist lästig und wer so alten
Trödel betreibt, der bringt kein Geld fürs Hauptprodukt.

> Betroffen wäre da Geräte älter als 2012. Manche haben zwar UEFI, andere
> aber nicht.
> Selbst Win 11 unterstützt noch das Legacy-BIOS, wenn auch inoffiziell.

Betroffen sind auch viele erheblich neuere Geräte, denn so rund läuft
UEFI nicht, Updates gibt es oft nach kurzer Zeit keine mehr. Und BIOS
ist oft die stressfreiere Wahl, gerade wenn man exklusiv ein Linux
draufspielen möchte. Kenne viele, die stellen als erstes auf BIOS um,
das funktioniert einfach so. Bei Problemen ist das sowieso nach wie
vor der Standardratschlag.

Gab in der internen Diskussion ziemlichen Gegenwind. Gar keine Frage,
Legacy-BIOS wird nicht ewig leben, es wird irgendwann nur noch UEFI
geben. Aber da sind wir einfach noch nicht, und zwar noch lange nicht.
Jetzt so eine Diskussion loszubrechen, man will wohl die normalen
Nutzer vergraulen, indem man solche Perspektiven kommuniziert.

Für Server nimmt man Debian. Was nimmt man denn eigentlich für den
"Desktop" heutzutage, einen dieser Entwicklungszweige von Debian oder
eher pragmatisch Ubuntu, obwohl man sich dabei ja gleich wieder in die
Abhängigkeit der nächsten Firma begibt?

Grüße, Andreas

[Ulli Horlacher]

Andreas M. Kirchwitz <a...@spamfence.net> wrote:

> Kenne viele, die stellen als erstes auf BIOS um, das funktioniert einfach
> so. Bei Problemen ist das sowieso nach wie vor der Standardratschlag.

Ich mache das auch so, sowohl bei PCs wie auch Server.

> Für Server nimmt man Debian. Was nimmt man denn eigentlich für den
> "Desktop" heutzutage, einen dieser Entwicklungszweige von Debian oder
> eher pragmatisch Ubuntu, obwohl man sich dabei ja gleich wieder in die
> Abhängigkeit der nächsten Firma begibt?

Ubuntu ist spaetenes mit seiner Fehlentscheidung viele wichtige Pakete nur
noch als snap anzubieten gestorben.
Ich werde demnaechst auf (XFCE) Mint umsteigen.

--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: horl...@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: http://www.tik.uni-stuttgart.de/

[Andreas M. Kirchwitz]

Ulli Horlacher <fram...@rus.uni-stuttgart.de> wrote:

>> Für Server nimmt man Debian. Was nimmt man denn eigentlich für den
>> "Desktop" heutzutage, einen dieser Entwicklungszweige von Debian oder
>> eher pragmatisch Ubuntu, obwohl man sich dabei ja gleich wieder in die
>> Abhängigkeit der nächsten Firma begibt?
>
> Ubuntu ist spaetenes mit seiner Fehlentscheidung viele wichtige Pakete nur
> noch als snap anzubieten gestorben.

Danke für die Warnung, dann ist Ubuntu raus. Fedora hat freilich
ähnliche Pläne, statt Snap verwenden sie Flatpak, vergleichbare Idee.
Allerdings scheint das erst mal versumpft zu sein in einem ihrer Spins,
so nennen sie ihre Unter-Varianten, ich habe nicht weiter recherchiert.

> Ich werde demnaechst auf (XFCE) Mint umsteigen.

Das basiert auf Ubuntu, lese ich gerade. Wird Mint dann nicht
ebenfalls auf Snap gehen (müssen)?

Einfache Dinge kompliziert machen ... Andreas

[Thomas Klix]

Ulli Horlacher wrote at Thu, 7 Apr 2022 21:24:59 +0000 (UTC):
> Andreas M. Kirchwitz <a...@spamfence.net> wrote:

>> [...]

>> Für Server nimmt man Debian. Was nimmt man denn eigentlich für den
>> "Desktop" heutzutage, einen dieser Entwicklungszweige von Debian oder
>> eher pragmatisch Ubuntu, obwohl man sich dabei ja gleich wieder in die
>> Abhängigkeit der nächsten Firma begibt?
>
> Ubuntu ist spaetenes mit seiner Fehlentscheidung viele wichtige Pakete nur
> noch als snap anzubieten gestorben.
> Ich werde demnaechst auf (XFCE) Mint umsteigen.

Xubuntu habe ich noch ohne snap laufen; parallel läuft Siduction. Und ich
bin permanent am Überlegen, welches das "leading" System sein soll, weil
Nachteile haben beide.
Ich glaube, Mint mit XFCE werde ich mir nochmal anschauen.

Thomas

[Marco Moock]

Am Donnerstag, 07. April 2022, um 20:44:48 Uhr schrieb Andreas M.
Kirchwitz:

> Betroffen sind auch viele erheblich neuere Geräte, denn so rund läuft
> UEFI nicht, Updates gibt es oft nach kurzer Zeit keine mehr. Und BIOS
> ist oft die stressfreiere Wahl, gerade wenn man exklusiv ein Linux
> draufspielen möchte. Kenne viele, die stellen als erstes auf BIOS um,
> das funktioniert einfach so. Bei Problemen ist das sowieso nach wie
> vor der Standardratschlag.

Ich hatte mit meinen Geräten (MoBo von ASUS, Laptop von HP) mit dem
UEFI noch keine Probleme.
Bei bestimmten Herstellern (Acer+Medion) ist das aber wohl anders.

> Für Server nimmt man Debian. Was nimmt man denn eigentlich für den
> "Desktop" heutzutage, einen dieser Entwicklungszweige von Debian oder
> eher pragmatisch Ubuntu, obwohl man sich dabei ja gleich wieder in die
> Abhängigkeit der nächsten Firma begibt?

Ich nutze noch Ubuntu und bin von dem snap-Problem nicht betroffen, da
ich weder Chromium noch Firefox nutze.
Bei der nächsten Neuinstallation denke ich aber schon über Debian nach.
Bei meinem Server (Athlon XP) benötige ich eh ein 32-Bit-OS, da ist es
eh schon Debian.

[Marco Moock]

Am Freitag, 08. April 2022, um 01:18:08 Uhr schrieb Andreas M.
Kirchwitz:

> Ulli Horlacher <fram...@rus.uni-stuttgart.de> wrote:
> > Ich werde demnaechst auf (XFCE) Mint umsteigen.
>
> Das basiert auf Ubuntu, lese ich gerade. Wird Mint dann nicht
> ebenfalls auf Snap gehen (müssen)?

Es gibt bei Mint auch die Debian-Edition, die auf Debian basiert.
https://linuxmint.com/download_lmde.php

> Einfache Dinge kompliziert machen ... Andreas

Für den Anwender, die Entwickler haben durch snap ein paar Vorteile.

[Marco Moock]

Am Donnerstag, 07. April 2022, um 20:25:51 Uhr schrieb Andreas Kohlbach:

> On Thu, 7 Apr 2022 20:44:48 -0000 (UTC), Andreas M. Kirchwitz wrote:

> >
> > Marco Moock <mo...@posteo.de> wrote:
> >
> >> Betroffen wäre da Geräte älter als 2012. Manche haben zwar UEFI,
> >> andere aber nicht.
> >> Selbst Win 11 unterstützt noch das Legacy-BIOS, wenn auch
> >> inoffiziell.
> >
> > Betroffen sind auch viele erheblich neuere Geräte, denn so rund
> > läuft UEFI nicht, Updates gibt es oft nach kurzer Zeit keine mehr.
> > Und BIOS ist oft die stressfreiere Wahl, gerade wenn man exklusiv
> > ein Linux draufspielen möchte. Kenne viele, die stellen als erstes
> > auf BIOS um, das funktioniert einfach so. Bei Problemen ist das
> > sowieso nach wie vor der Standardratschlag.
>

> 2012 bin ich mit einer Linux-Installation von 2009 (da war UEFI
> nicht/kaum verbreitet) auf das Laptop vor mir umgezogen; d.h. die
> Festplatte importiert. Reingesteckt, lief nicht. Hatte nie von UEFI
> gehört und musste mich erst schlau machen. Musste auf "Legacy-BIOS"
> umstellen, bis die alte Platte bootete.

Logisch, denn mit UEFI only wird es so nicht gehen. Hätte man aber
sicher anpassen können.

> Für das "neuen" Computer, auf den ich hoffentlich bald umziehen kann,
> habe ich eine noch ältere Platte (da müsste neben Linux Windows Vista
> drauf sein) benutzt. Da aber Linux (Debian Buster?) und Windows
> veraltet waren, aber ich alles platt gemacht.

> Ich denke auch, dass es für BIOS noch Interesse gibt.

Klar, denn haufenweise Rechner damit sind noch in Betrieb und völlig
ausreichend.

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:

>Für Server nimmt man Debian. Was nimmt man denn eigentlich für den
>"Desktop" heutzutage, einen dieser Entwicklungszweige von Debian oder
>eher pragmatisch Ubuntu, obwohl man sich dabei ja gleich wieder in die
>Abhängigkeit der nächsten Firma begibt?

Ich benutze seit über 15 Jahren Debian unstable auf dem Desktop; die
Anzahl der Fälle in denen ich was reparieren musste kann ich an den
Fingern einer Hand abzählen. Für einzelne Pakete auf den Stand von
Testing zurückgehen während man auf den Fix eines kritischen Bugs
wartet vielleicht zwei, dreimal im Jahr.

An solchen Macken wächst man eher als dass sie einen behindern.

Grüße
Marc, der aber auch für den Fall der Fälle ein Ersatzgerät vorhält und
ein Datenbackup hat
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Ulli Horlacher]

Andreas M. Kirchwitz <a...@spamfence.net> wrote:

> > Ubuntu ist spaetenes mit seiner Fehlentscheidung viele wichtige Pakete nur
> > noch als snap anzubieten gestorben.
>

> > Ich werde demnaechst auf (XFCE) Mint umsteigen.
>
> Das basiert auf Ubuntu, lese ich gerade.

Das war miteintscheidend fuer meine Wahl :-)
Damit wird der Umstieg einfacher, man muss nicht an dutzenden Stellen neu
konfigurieren.
Meine User werden davon erst gar nichts mitbekommen.

> Wird Mint dann nicht ebenfalls auf Snap gehen (müssen)?

https://de.wikipedia.org/wiki/Linux_Mint

"Außerdem wird auf das Ubuntu-Softwarepaket Snap verzichtet"

Anderswo (Quelle leider vergessen) hab ich gelesen, dass sie die fehlenden
Pakete dann selber bauen/anbieten.

[Ulli Horlacher]

Thomas Klix <wot...@web.de> wrote:

> Ich glaube, Mint mit XFCE werde ich mir nochmal anschauen.

Laesst sich prima mit linuxclone installieren:

https://fex.belwue.de/linuxtools/linuxclone.html

[Ulli Horlacher]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Marc, der aber auch für den Fall der Fälle ein Ersatzgerät vorhält und
> ein Datenbackup hat

Backup ist doch nur was fuer Feiglinge!

... ich hab 3 backup-Systeme im Einsatz. Gleichzeitig. Oberfeigling :-)

[Marc Haber]

Marco Moock <mo...@posteo.de> wrote:
>Am Freitag, 08. April 2022, um 01:18:08 Uhr schrieb Andreas M.
>Kirchwitz:
>
>> Ulli Horlacher <fram...@rus.uni-stuttgart.de> wrote:
>> > Ich werde demnaechst auf (XFCE) Mint umsteigen.
>>
>> Das basiert auf Ubuntu, lese ich gerade. Wird Mint dann nicht
>> ebenfalls auf Snap gehen (müssen)?
>
>Es gibt bei Mint auch die Debian-Edition, die auf Debian basiert.
>https://linuxmint.com/download_lmde.php

Das ist etwas, was ich nicht verstehe. Jemand, der für sein Produkt
mal eben die technische Basis tauscht, verdoppelt sich doch auch
seinen Aufwand für das, was auf diese technische Basis drauf gebaut
wird. Dauerhaft dasselbe Produkt auf zwei verschiedenen technischen
Basen anzubieten, erscheint mir nicht als effiziente Nutzung der
eigenen Ressourcen.

Grüße
Marc

[Marco Moock]

Am Freitag, 08. April 2022, um 09:38:25 Uhr schrieb Marc Haber:

> Marco Moock <mo...@posteo.de> wrote:
> >Am Freitag, 08. April 2022, um 01:18:08 Uhr schrieb Andreas M.
> >Kirchwitz:
> >
> >> Ulli Horlacher <fram...@rus.uni-stuttgart.de> wrote:
> >> > Ich werde demnaechst auf (XFCE) Mint umsteigen.
> >>
> >> Das basiert auf Ubuntu, lese ich gerade. Wird Mint dann nicht
> >> ebenfalls auf Snap gehen (müssen)?
> >
> >Es gibt bei Mint auch die Debian-Edition, die auf Debian basiert.
> >https://linuxmint.com/download_lmde.php
>
> Das ist etwas, was ich nicht verstehe. Jemand, der für sein Produkt
> mal eben die technische Basis tauscht, verdoppelt sich doch auch
> seinen Aufwand für das, was auf diese technische Basis drauf gebaut
> wird. Dauerhaft dasselbe Produkt auf zwei verschiedenen technischen
> Basen anzubieten, erscheint mir nicht als effiziente Nutzung der
> eigenen Ressourcen.

Wobei der Grund hierfür klar ist: Die Richtung von Ubuntu gefällt dem
Mint-Projekt nicht. snap, Einstellung von i686...

[Andreas M. Kirchwitz]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Ich benutze seit über 15 Jahren Debian unstable auf dem Desktop; die
> Anzahl der Fälle in denen ich was reparieren musste kann ich an den
> Fingern einer Hand abzählen. Für einzelne Pakete auf den Stand von
> Testing zurückgehen während man auf den Fix eines kritischen Bugs
> wartet vielleicht zwei, dreimal im Jahr.

Ich kenne bisher nur Debian Stable (von der Arbeit für Server),
da sind Pakete gut aufeinander abgestimmt, alles sehr ausgereift.

Wie muss ich mir Debian Testing vorstellen? Bauen die Maintainer
wildwüst ihre Pakete und man hat immer wieder Probleme, dass die
neue Version X einer Software nicht mit der alten Version Y einer
Library funktioniert, bis deren Maintainer sich irgendwann bequemt,
eine neue zu bauen? Oder kann man Software Version X gar nicht erst
installieren, wenn Version Y einer benötigten Library noch zu alt ist?

Bin kein APT-Experte. Kenne das nur von Fedora (DNF), dort ist das
manchmal so, dass vorhandene Updates zurückgestellt werden, weil
erst noch Abhängigkeiten erfüllt werden müssen. Das macht Fedora
alles für mich automatisch, das System ist stets perfekt aufeinander
abgestimmt.

Sorry, ist vielleicht eine dumme Frage, aber meine Debian-Erfahrung
ist echt mau. Kenne nur Stable (und das auch erst seit Debian 10),
das verhält sich sehr wohlwollend, kann man nichts falsch machen. :-)

> Marc, der aber auch für den Fall der Fälle ein Ersatzgerät vorhält und
> ein Datenbackup hat

Daten-Backup habe ich zwar, aber Ersatzgeräte halte ich keine vor,
was eigentlich naiv ist, weil man heutzutage ja doch sehr abhängig
ist von der IT. Naja, anderes Thema. :-)

Grüße, Andreas

[Andreas M. Kirchwitz]

Marco Moock <mo...@posteo.de> wrote:

>> Das basiert auf Ubuntu, lese ich gerade. Wird Mint dann nicht
>> ebenfalls auf Snap gehen (müssen)?
>
> Es gibt bei Mint auch die Debian-Edition, die auf Debian basiert.
> https://linuxmint.com/download_lmde.php

Das klingt wiederum positiv. Da ich Mint nicht näher kenne,
sei mir vielleicht die Frage gestattet, was die Besonderes
machen, also welchen Mehrwert sie hinzufügen, dass man nicht
direkt Debian oder Ubuntu nehmen könnte?

>> Einfache Dinge kompliziert machen ... Andreas
>
> Für den Anwender, die Entwickler haben durch snap ein paar Vorteile.

Ich verwende Flatpak (so ähnlich wie Snap), und ich finde das okay
für Exotensoftware, die ich nur selten benötige, die ich vielleicht
nur mal kurz ausprobieren möchte und wo ich mir mein Basissystem
nicht zumüllen möchte mit womöglich hunderten von Abhängigkeiten.

Verwende ich eine Software regelmäßig, sehe ich es als zwingend an,
dass sie für mein konkretes System kompiliert ist, egal ob ich das
selbst mache oder ein rpm/dpkg-Paket verwende.

Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.
Mir ist schon klar, dass es keinen Spaß macht, solche Monster
mit all ihren Abhängigkeiten mit jeder Version neu zu kompilieren,
aber das ist für mich ein wesentlicher Sinn einer Distribution,
genau diesen Job zu erledigen, damit man am Ende ein performantes
und vor allem auch in sich stimmiges System hat und nicht ein
holpriges Flickwerk von Flatpak/Snap-Gedöns.

Grüße, Andreas

[Ulli Horlacher]

Andreas M. Kirchwitz <a...@spamfence.net> wrote:

> Das klingt wiederum positiv. Da ich Mint nicht näher kenne,
> sei mir vielleicht die Frage gestattet, was die Besonderes
> machen, also welchen Mehrwert sie hinzufügen, dass man nicht
> direkt Debian oder Ubuntu nehmen könnte?

Bei Ubuntu: sie ersetzen die *ZENSIERTEN* snap-Pakete durch
tranditionelle dpkg Pakete.

> Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
> Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.

NOCH schlimmer ist, dass snap-Pakete sich selbststaendig aktualisieren!
Wenn dir mitten in einer Praesentation der Webbrowser ausgetauscht
wird, macht das RICHTIG VIEL SPASS und ergibt haemische Kommentare "Mit
Windows waer das nicht passiert!"


Deshalb ist Ubuntu fuer mich gestorben.

[Thomas Klix]

klaus reile wrote at Fri, 8 Apr 2022 11:03:55 +0200:
> [...]
> Bei Ubuntu warte ich jetzt die 22.04er
> Version ab. Ich ahne aber jetzt schon, es wird der letzte Versuch sein.

+1
Ratten, sinkendes Schiff? :-)

Thomas

[Thomas Klix]

Marc Haber wrote at Fri, 08 Apr 2022 06:50:17 +0200:
> [...]

> Ich benutze seit über 15 Jahren Debian unstable auf dem Desktop;

Nutzt du Debian unstable direkt als Quelle, oder verwendest du (wie ich als
Alternativsystem) Siduction? Oder noch etwas anderes?
Sorry, bin neugierig. Man will ja dazulernen.

Thomas

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:

>Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
>Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.

Ist das vielleicht sogar eine Kapsel, die für Security taugt? Dass ein
Amok laufender Browser nicht auf meinen ssh-Agent oder meinen
aufgeschlossenen Yubikey zugreifen könnte, würde ich begrüßen und
dafür durchaus etwas Overhead inkauf nehmen.

Gab es nichtmal eine security-orientierte Distribution die so etwas
machte?

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:

>Marc Haber <mh+usene...@zugschl.us> wrote:
>
>> Ich benutze seit über 15 Jahren Debian unstable auf dem Desktop; die
>> Anzahl der Fälle in denen ich was reparieren musste kann ich an den
>> Fingern einer Hand abzählen. Für einzelne Pakete auf den Stand von
>> Testing zurückgehen während man auf den Fix eines kritischen Bugs
>> wartet vielleicht zwei, dreimal im Jahr.
>
>Ich kenne bisher nur Debian Stable (von der Arbeit für Server),
>da sind Pakete gut aufeinander abgestimmt, alles sehr ausgereift.
>
>Wie muss ich mir Debian Testing vorstellen? Bauen die Maintainer
>wildwüst ihre Pakete und man hat immer wieder Probleme, dass die
>neue Version X einer Software nicht mit der alten Version Y einer
>Library funktioniert, bis deren Maintainer sich irgendwann bequemt,
>eine neue zu bauen? Oder kann man Software Version X gar nicht erst
>installieren, wenn Version Y einer benötigten Library noch zu alt ist?

Debian Testing ist in sich immer stimmig, dafür dauert es halt mal
eine Weile bis ein gefixtes Programm nach testing kommt, und dabei
wird auf security-relevante Bugs keine große Rücksicht genommen. Ich
persönlich halte Debian testing für die schlechteste aller Varianten,
nur noch unterboten von einem Frankendebian.

In Unstable kann es Dir passieren, dass ein upgrade versucht, dir das
halbe System aufgrund eines Librarykonflikts zu deinstallieren (Nein
sagen, weiterarbeiten, morgen gehts wieder) oder dass das Update eines
Pakets aktuell nicht möglich iss.

Aber dass das System dir wie oben beschrieben "um die Ohren fliegt"
kommt eigentlich nicht vor, und wenn schon, dann ist das ein Bug.

>Bin kein APT-Experte. Kenne das nur von Fedora (DNF), dort ist das
>manchmal so, dass vorhandene Updates zurückgestellt werden, weil
>erst noch Abhängigkeiten erfüllt werden müssen. Das macht Fedora
>alles für mich automatisch, das System ist stets perfekt aufeinander
>abgestimmt.

So läuft das in Debian auch. Immerhin sind yum und dnf ja von apt
abgekupfert, in der guten alten Zeit, als Debian noch technologisch
führend war.

Aber warum bleibst Du nicht einfach bei Fedora?

Grüße
Marc

[Marc Haber]

Ich benutze Debian unstable direkt als Quelle, ich bin ja schließlich
DD.

Grüße
Marc

[Thomas Dorner]

Ulli Horlacher <fram...@rus.uni-stuttgart.de> writes:
> Andreas M. Kirchwitz <a...@spamfence.net> wrote:
>> Für Server nimmt man Debian. Was nimmt man denn eigentlich für den
>> "Desktop" heutzutage, einen dieser Entwicklungszweige von Debian oder
>> eher pragmatisch Ubuntu, obwohl man sich dabei ja gleich wieder in die
>> Abhängigkeit der nächsten Firma begibt?
>
> Ubuntu ist spaetenes mit seiner Fehlentscheidung viele wichtige Pakete nur
> noch als snap anzubieten gestorben.

Das sehe ich nach über 16 Jahren Ubuntu (seit Breezy Badger) ganz genauso.

> Ich werde demnaechst auf (XFCE) Mint umsteigen.

Da schwimme ich gegen den Strom ... ;-)
... und wechsele zu Debian.

Viele Grüße, Thomas
--
Adresse gilt nur kurzzeitig!

[Thomas Dorner]

Ulli Horlacher <fram...@rus.uni-stuttgart.de> writes:
> Andreas M. Kirchwitz <a...@spamfence.net> wrote:
>> Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
>> Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.
>
> NOCH schlimmer ist, dass snap-Pakete sich selbststaendig aktualisieren!
> Wenn dir mitten in einer Praesentation der Webbrowser ausgetauscht
> wird, macht das RICHTIG VIEL SPASS und ergibt haemische Kommentare "Mit
> Windows waer das nicht passiert!"

Und bei Security Updates von Bibiliotheken müßte man theoretisch
kontrollieren, welches Snap Paket welche Version benutzt.

Nein Danke, meine Security-Architektur sieht anders aus!

> Deshalb ist Ubuntu fuer mich gestorben.

Volle Zustimmung!

vgt

[Andreas M. Kirchwitz]

Marc Haber <mh+usene...@zugschl.us> wrote:

> persönlich halte Debian testing für die schlechteste aller Varianten,
> nur noch unterboten von einem Frankendebian.

Okay, Unstable, ich bringe Testing und Unstable noch oft
durcheinander. Kenne/Nutze bisher nur Stable, weil eine
freie Alternative zu RHEL & Co. gefordert war.

> So läuft das in Debian auch. Immerhin sind yum und dnf ja von apt
> abgekupfert, in der guten alten Zeit, als Debian noch technologisch
> führend war.

Na ja, kommt drauf an, wo man den Fokus setzt. Guckt man
in Richtung Server, sehe ich Debian durchaus ganz vorne.

Beim Desktop wäre Debian spontan nicht meine erste Wahl,
so wie es beispielsweise auch RHEL & Co. nicht wären.
Nicht missverstehen, man kann damit einen prima Desktop
betreiben für manche Szenarien, aber wenn ich damit moderne
Medien konsumieren will, geht das nicht mit altem Unterbau,
dafür brauche ich aktuelle Software.

> Aber warum bleibst Du nicht einfach bei Fedora?

Das war der Anfang des Threads, dass Fedora möglicherweise
sehr schnell vom BIOS weg will. Dass sie alle komplexere
Software in Flatpak stecken wollen, ist leider auch nicht
vom Tisch. Da bin ich dann raus.

Für andere mag es die große Erfüllung sein, das ist okay.
Deshalb gibt es ja verschiedene Distributionen, und man
darf in seinem Leben durchaus mal wechseln. :-)

Grüße, Andreas

[Ulli Horlacher]

Marc Haber <mh+usene...@zugschl.us> wrote:
> "Andreas M. Kirchwitz" <a...@spamfence.net> wrote:
> >Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
> >Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.
>
> Ist das vielleicht sogar eine Kapsel, die für Security taugt? Dass ein
> Amok laufender Browser nicht auf meinen ssh-Agent oder meinen
> aufgeschlossenen Yubikey zugreifen könnte, würde ich begrüßen und
> dafür durchaus etwas Overhead inkauf nehmen.

Snap ist kein VM-Container. Zugriff aufs Filesystem ist jederzeit moeglich.

[Marco Moock]

Am Freitag, 08. April 2022, um 19:11:18 Uhr schrieb Marc Haber:

> "Andreas M. Kirchwitz" <a...@spamfence.net> wrote:
> >Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
> >Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.
>
> Ist das vielleicht sogar eine Kapsel, die für Security taugt? Dass ein
> Amok laufender Browser nicht auf meinen ssh-Agent oder meinen
> aufgeschlossenen Yubikey zugreifen könnte, würde ich begrüßen und
> dafür durchaus etwas Overhead inkauf nehmen.

Das wäre sinnvoll, aber ist sicher auch ohne snap realisierbar.
AppArmor sollte sowas können.

[Marc Haber]

Ulli Horlacher <fram...@rus.uni-stuttgart.de> wrote:
>Marc Haber <mh+usene...@zugschl.us> wrote:
>> "Andreas M. Kirchwitz" <a...@spamfence.net> wrote:
>> >Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
>> >Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.
>>
>> Ist das vielleicht sogar eine Kapsel, die für Security taugt? Dass ein
>> Amok laufender Browser nicht auf meinen ssh-Agent oder meinen
>> aufgeschlossenen Yubikey zugreifen könnte, würde ich begrüßen und
>> dafür durchaus etwas Overhead inkauf nehmen.
>
>Snap ist kein VM-Container. Zugriff aufs Filesystem ist jederzeit moeglich.

Ist es nichtmal ein chroot?

[Andreas M. Kirchwitz]

Marc Haber <mh+usene...@zugschl.us> wrote:

>> Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
>> Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.
>
> Ist das vielleicht sogar eine Kapsel, die für Security taugt?

Beworben wird es als "Sandbox" mit eingeschränkten Rechten,
und es wird natürlich mit tollem Sicherheitsgewinn vermarktet.

> Dass ein
> Amok laufender Browser nicht auf meinen ssh-Agent oder meinen
> aufgeschlossenen Yubikey zugreifen könnte, würde ich begrüßen und
> dafür durchaus etwas Overhead inkauf nehmen.

"Etwas" Overhead sind Flatpak/Snap nicht, sondern der Overhead
kann nah in Richtung einer ausgewachsenen virtuellen Maschine
gehen, insbesondere bei RAM und Storage.

Es führt die Idee, Linux auf einer eher schlichten oder etwas
älteren oder möglichst langlebigen Hardware laufen zu lassen,
konzeptionell ad absurdum.

Flatpak/Snap passt eigentlich nur zu Software, die in sich
geschlossen ist. So etwas Proprietäres wie der Spotify-Player
ist beispielsweise die Zielgruppe für Flatpak/Snap. Aber eben
nicht ein Webbrowser, Mailreader oder eine Office-Suite.

Mit Flatpak/Snap kann ein Hersteller einen Fremdkörper bequem
ins System einbringen, und Flatpak/Snap gibt sich etwas Mühe,
dass der Hersteller nicht arg so viel Unsinn treiben kann.

Flatpak/Snap erhöht keine Sicherheit, sondern versucht die
Sicherheitslücke, die es selbst aufgerissen hat, notdürftig
wieder zu kitten.

> Gab es nichtmal eine security-orientierte Distribution die so etwas
> machte?

Die Geräte, mit denen ich täglich arbeite, sind längst übersicher,
die schiere Masse an Sicherheitsebenen zwingt mich dazu, immer
mehr Löcher reinzubohren, damit ich sinnvoll damit arbeiten kann,
was die Sicherheit natürlich total untergräbt.

Heutzutage besteht "Sicherheit" nur noch daraus, dass der Angreifer
nicht sofort wissen kann, welche konkreten Löcher jeder Anwender
individuell gebohrt hat. Security by obscurity.

Schöner wäre es, die Sache grundsätzlich richtig zu denken,
Qualität statt Quantität.

Man merkt wohl, ich bin ein alter Sack ... Andreas

[Sven Hartge]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Aber dass das System dir wie oben beschrieben "um die Ohren fliegt"
> kommt eigentlich nicht vor, und wenn schon, dann ist das ein Bug.

Beispiel: Eine Bibliothek ändert die ABI ohne den SONAME zu ändern und
das kann dann zu Segfaults in die Bibliothek nutzenende Programmen
führen.

Oft erkennen die DDs soetwas schon vorher, wenn das richtige Tooling für
das Paket genutzt wird und Änderungen in den exportieren Symbolen
geprüft wird.

Wenn aber z.B. nur die Definition einer Datenstruktur sich verändert,
wird das schwerer zu erkennen.

Dieser Fall kommt aber selten genug vor, ist immer in Bug und einfach
durch Nutzung der älteren Pakete aus Testing zu umgehen.

S°

--
Sigmentation fault. Core dumped.

[Ulli Horlacher]

Marc Haber <mh+usene...@zugschl.us> wrote:

> >Snap ist kein VM-Container. Zugriff aufs Filesystem ist jederzeit moeglich.
>
> Ist es nichtmal ein chroot?

Ausbruch da draus ist trivial.

[Thomas Klix]

Marc Haber wrote at Fri, 08 Apr 2022 19:16:42 +0200:
> Thomas Klix <wot...@web.de> wrote:
>>Marc Haber wrote at Fri, 08 Apr 2022 06:50:17 +0200:
>>> [...]
>>> Ich benutze seit über 15 Jahren Debian unstable auf dem Desktop;
>>
>>Nutzt du Debian unstable direkt als Quelle, oder verwendest du (wie ich als
>>Alternativsystem) Siduction? Oder noch etwas anderes?
>>Sorry, bin neugierig. Man will ja dazulernen.
>
> Ich benutze Debian unstable direkt als Quelle, ich bin ja schließlich
> DD.

Das wäre mir jetzt doch etwas zu nah am Feuer...

Bei Siduction muss man auch schon sehen, ob dist-upgrade jetzt nicht mal
eben das halbe System weghauen will, aber man hat das Forum - und man
bekommt aktuelle Kernel serviert. :-)

Kernel gebaut habe ich zuletzt, äh, paarundneunzig mit meinem 386er, bei 4
MB(!) RAM musste man sehen, dass man keine überflüssigen Treiber dabei hat.
Heute schätze ich die Bequemlickeit vorgebackener Kernel.

Thomas

[Thomas Klix]

Ulli Horlacher wrote at Fri, 8 Apr 2022 06:45:40 +0000 (UTC):
> Thomas Klix <wot...@web.de> wrote:
>
>> Ich glaube, Mint mit XFCE werde ich mir nochmal anschauen.
>
> Laesst sich prima mit linuxclone installieren:

Eigentlich dachte ich eher an eine Testinstallation, aber du hast mich auf
eine Idee gebracht:
Ich habe mein Ubuntu auf eine neue Partition kopiert und dann die
sources.list auf Mint geändert. Nein, so etwas tut man nicht. Ja, ich habe
jetzt ein Frankenubuntumint. Nein, ich nutze das nicht produktiv. Ist
einfach ein Versuch. :-)
Lief aber besser als erwartet, einige mint-Pakete musste ich gewaltsam mit
--force-overwrite ins System prügeln, aber jetzt sieht es schon ansehnlich
aus.

Kids, don't try it at home!

Thomas

[Andreas M. Kirchwitz]

Thomas Klix <wot...@web.de> wrote:

>> Ich benutze Debian unstable direkt als Quelle, ich bin ja schließlich
>> DD.
>
> Das wäre mir jetzt doch etwas zu nah am Feuer...
>
> Bei Siduction muss man auch schon sehen, ob dist-upgrade jetzt nicht mal
> eben das halbe System weghauen will, aber man hat das Forum - und man
> bekommt aktuelle Kernel serviert. :-)

Warum nimmt man nicht einfach Debian Unstable direkt?
Keine Kritik, sondern ich versteh nur nicht, was genau
der Mehrwert ist...

Grüße, Andreas

[Thomas Klix]

Steht schon oben.
Siduction hat schon sid (also unstable) in den sources, hat aber noch eigene
(wenige) eigene Repos. Und ein Forum, in dem auch Warnungen vor größeren
Upgrades stehen - "stay patient" - ist da nicht ungewöhnlich. :) Füße
stillhalten, nur "apt upgrade" machen, "apt dist-upgrade" funktioniert auch
bald wieder. :)
Und man bekommt aktuelle Kernel serviert - was nur mit "unstable" wohl nur
als Source kommt. Ich bin alt und faul geworden, ich mag keine Kernel mehr
kompilieren.

Thomas

[Andreas M. Kirchwitz]

Thomas Klix <wot...@web.de> wrote:

>> Warum nimmt man nicht einfach Debian Unstable direkt?
>

> Siduction hat schon sid (also unstable) in den sources, hat aber noch eigene
> (wenige) eigene Repos. Und ein Forum, in dem auch Warnungen vor größeren
> Upgrades stehen - "stay patient" - ist da nicht ungewöhnlich. :) Füße
> stillhalten, nur "apt upgrade" machen, "apt dist-upgrade" funktioniert auch
> bald wieder. :)

Weder bin ich Debian-Auskenner, noch kenne ich Siduction, doch meine
naive Annahme wäre, dass es längst eine (große) Community für Unstable-
Nutzer gibt, wo man sich genau darüber austauscht, und letztlich muss
es ja sowieso Debian bei sich fixen, also muss es bei Debian selbst
eine Kommunikation darüber geben.

> Und man bekommt aktuelle Kernel serviert - was nur mit "unstable" wohl nur
> als Source kommt. Ich bin alt und faul geworden, ich mag keine Kernel mehr
> kompilieren.

Ich habe nie verstanden, wie Stable, Testing und Unstable miteinander
funktionieren, wenn man sich nicht über die Lebenszeit der Hauptversion
auf feste Versionen von Kernel und Libraries festlegt. Wenn man sich
selbst einen brandaktuellen Kernel baut, wie funktioniert dann noch
der Rest des Systems?

Wie gesagt, ich habe einfach keine Ahnung, deshalb frage ich, bitte
nicht genervt sein, meine Denkweise ist geprägt von Fedora/RHEL.

Grüße, Andreas

[Holger Schauer]

On 10446 September 1993, Andreas M. Kirchwitz wrote:
> Beim Desktop wäre Debian spontan nicht meine erste Wahl,
> so wie es beispielsweise auch RHEL & Co. nicht wären.
> Nicht missverstehen, man kann damit einen prima Desktop
> betreiben für manche Szenarien, aber wenn ich damit moderne
> Medien konsumieren will, geht das nicht mit altem Unterbau,
> dafür brauche ich aktuelle Software.

Ich weiß ja nicht, was genau Du für "moderne Medien konsumieren" willst,
habe ich da irgendwas in den letzten Jahren verpasst? Vor längerer Zeit
gab es mal ein Debian-Multimedia-Repository, aber das habe ich seit
Ewigkeiten nicht gebraucht. Ich setze hier einfach ein Debian stale
als Desktop ein.

Ich weiß gar nicht mehr, ob ich das wg. eines Updates rausgeworden habe
oder ob es das einfach nicht mehr gibt. Und was ich damals aus dem Repo
eigentlich gebraucht habe, weiß ich auch nicht mehr (vermutlich
irgendwelche Codecs).

Holger

--
--- http://blog.find-method.de/ ---
"Keine Shell, kein Prompt, keine Kekse."
-- Jochen Hein in de.comp.os.linux.misc

[Marc Haber]

Thomas Klix <wot...@web.de> wrote:
>Marc Haber wrote at Fri, 08 Apr 2022 19:16:42 +0200:
>> Thomas Klix <wot...@web.de> wrote:
>>>Marc Haber wrote at Fri, 08 Apr 2022 06:50:17 +0200:
>>>> [...]
>>>> Ich benutze seit über 15 Jahren Debian unstable auf dem Desktop;
>>>
>>>Nutzt du Debian unstable direkt als Quelle, oder verwendest du (wie ich als
>>>Alternativsystem) Siduction? Oder noch etwas anderes?
>>>Sorry, bin neugierig. Man will ja dazulernen.
>>
>> Ich benutze Debian unstable direkt als Quelle, ich bin ja schließlich
>> DD.
>
>Das wäre mir jetzt doch etwas zu nah am Feuer...

Probier's einfach mal aus.

[Marc Haber]

Thomas Klix <wot...@web.de> wrote:
>Und man bekommt aktuelle Kernel serviert - was nur mit "unstable" wohl nur
>als Source kommt.

Das ist Unsinn. Wo hast Du das her?

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:

>Ich habe nie verstanden, wie Stable, Testing und Unstable miteinander
>funktionieren, wenn man sich nicht über die Lebenszeit der Hauptversion
>auf feste Versionen von Kernel und Libraries festlegt. Wenn man sich
>selbst einen brandaktuellen Kernel baut, wie funktioniert dann noch
>der Rest des Systems?

Das funktioniert mit einem brandaktuellen, für unstable gedachten und
auf unstable gebautem Kernel auch auf Debian stable völlig problemlos.

[Thomas Klix]

Marc Haber wrote at Mon, 11 Apr 2022 18:42:33 +0200:
> Thomas Klix <wot...@web.de> wrote:
>>Und man bekommt aktuelle Kernel serviert - was nur mit "unstable" wohl nur
>>als Source kommt.
>
> Das ist Unsinn. Wo hast Du das her?

Da ich die fertigen Kernel über Siduction-Repo kriege, war das meine (wohl
falsche) Schlussfolgerung. Okay, ich werde mir nochmal ansehen, was sid
liefert.
(Ich habe echt keinen Bock mehr, mir den Kernel selbst zu bauen. Wenn da ein
paar überflüssige Treiber drin sind, stört mich das bei heutigen RAM-Größen
nicht mehr. Und die letzte Millisekunde rauskitzeln muss ich auch nicht.)

Thomas

[Thomas Klix]

Andreas M. Kirchwitz wrote at Sun, 10 Apr 2022 23:08:58 -0000 (UTC):
> Thomas Klix <wot...@web.de> wrote:
>
>>> Warum nimmt man nicht einfach Debian Unstable direkt?
>>
>> Siduction hat schon sid (also unstable) in den sources, hat aber noch eigene
>> (wenige) eigene Repos. Und ein Forum, in dem auch Warnungen vor größeren
>> Upgrades stehen - "stay patient" - ist da nicht ungewöhnlich. :) Füße
>> stillhalten, nur "apt upgrade" machen, "apt dist-upgrade" funktioniert auch
>> bald wieder. :)
>
> Weder bin ich Debian-Auskenner, noch kenne ich Siduction, doch meine
> naive Annahme wäre, dass es längst eine (große) Community für Unstable-
> Nutzer gibt, wo man sich genau darüber austauscht, und letztlich muss
> es ja sowieso Debian bei sich fixen, also muss es bei Debian selbst
> eine Kommunikation darüber geben.

Damit liegst du nicht falsch.
Siduction ist für mich noch ein kleines Netz, um auch Stolpersteine wie
nvidia etwas einfacher in den Griff zu bekommen. Aber Siduction *ist* im
wesentlichen sid.
Evtl. beherzige ich Marc Habers Empfehlung, nur noch sid zu nutzen - die
Upgrade-Warnungen von Siduction kann ich ja immernoch lesen...

> [...]

> Ich habe nie verstanden, wie Stable, Testing und Unstable miteinander
> funktionieren, wenn man sich nicht über die Lebenszeit der Hauptversion
> auf feste Versionen von Kernel und Libraries festlegt.

Stable ist, äh, *sehr* stable. Gut abgehangene Software, was für Server zu
empfehlen ist. Bei meinem Desktop habe ich dann doch lieber ein aktuelles
libreoffice.

Auf testing wird die nächste stable aufgebaut. Nur für Debian-Builder
interessant, weil da keine Sicherheits-Updates reinkommen.

Bei unstable (sid) laufen die neuen Pakete der Package-Builder ein. Das kann
problematisch werden, wenn z.B. eine neue KDE-Version rauskommt, und nach
und nach die Pakete aktualisiert werden. Augen auf beim dist-upgrade -
könnte schief gehen. :-)

> Wie gesagt, ich habe einfach keine Ahnung, deshalb frage ich, bitte
> nicht genervt sein, meine Denkweise ist geprägt von Fedora/RHEL.

Niemand ist vollkommen. :-)

Thomas

[Marc Haber]

Thomas Klix <wot...@web.de> wrote:
>Bei unstable (sid) laufen die neuen Pakete der Package-Builder ein. Das kann
>problematisch werden, wenn z.B. eine neue KDE-Version rauskommt, und nach
>und nach die Pakete aktualisiert werden.

Die KDE-Maintainer haben das mit den versioned dependencies inzwischen
solide im Griff; was sich im Brocken installieren lässt funktioniert
in der Regel auch. Wie gesagt, man muss halt aufpassen dass es einem
nicht das halbe System deinstalliert und darf sich von zehn Zeilen
"uninstallable" nicht abschrecken lassen, das sind halt die Pakete die
gerade ohne passende dependencies sind.

>Augen auf beim dist-upgrade -
>könnte schief gehen. :-)

man mache zuerst ein upgrade (sic!), das reduziert die Ausgaben beim
eventuell danach folgenden full-upgrade (sic!) erheblich, dann muss
man da nicht ganz so genau hingucken weil ungewünsche Dinge einem da
viel mehr ins Auge springen.

[Marc Haber]

Thomas Klix <wot...@web.de> wrote:
>Marc Haber wrote at Mon, 11 Apr 2022 18:42:33 +0200:
>> Thomas Klix <wot...@web.de> wrote:
>>>Und man bekommt aktuelle Kernel serviert - was nur mit "unstable" wohl nur
>>>als Source kommt.
>>
>> Das ist Unsinn. Wo hast Du das her?
>
>Da ich die fertigen Kernel über Siduction-Repo kriege, war das meine (wohl
>falsche) Schlussfolgerung. Okay, ich werde mir nochmal ansehen, was sid
>liefert.

Dieselben Kernel-Binärpakete die dann nach testing und beim Release
nach stable kommen, was denn sonst? Auch der Kernel ist nur ein Stück
Software, warum sollte man das sonderbehandeln?

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:

>Marc Haber <mh+usene...@zugschl.us> wrote:
>>> Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
>>> Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.
>>
>> Ist das vielleicht sogar eine Kapsel, die für Security taugt?
>
>Beworben wird es als "Sandbox" mit eingeschränkten Rechten,
>und es wird natürlich mit tollem Sicherheitsgewinn vermarktet.

Die Frage ist, ob es das wirklich ist.

Wird einfach nur LD_CONFIG umgesetzt, ist es ein chroot, ein
"richtiger" Container? Oder welche Technik kommt zum Einsatz um eine
als Flatpak/Snap installierte Software auszuführen?

>> Dass ein
>> Amok laufender Browser nicht auf meinen ssh-Agent oder meinen
>> aufgeschlossenen Yubikey zugreifen könnte, würde ich begrüßen und
>> dafür durchaus etwas Overhead inkauf nehmen.
>
>"Etwas" Overhead sind Flatpak/Snap nicht, sondern der Overhead
>kann nah in Richtung einer ausgewachsenen virtuellen Maschine
>gehen, insbesondere bei RAM und Storage.

Ich glaube, Storage ist egal, der RAM-Bedarf wird vielleicht von KSM
egalisiert (dann könnte man sich allerdings die Auslieferung der
Libraries sparen, wenn es eh dieselben sind). Bleibt der vielleicht
gewollte, vielleicht ungewollte Zugriff auf die Daten des Benutzers
und/oder der Datenaustausch mit anderer Software die auf der Maschine
läuft.

>Es führt die Idee, Linux auf einer eher schlichten oder etwas
>älteren oder möglichst langlebigen Hardware laufen zu lassen,
>konzeptionell ad absurdum.

Das ist bei Fedora aber nie Designziel gewesen.

>Flatpak/Snap passt eigentlich nur zu Software, die in sich
>geschlossen ist. So etwas Proprietäres wie der Spotify-Player
>ist beispielsweise die Zielgruppe für Flatpak/Snap. Aber eben
>nicht ein Webbrowser, Mailreader oder eine Office-Suite.

Das finde ich eine steile These. Warum ist der Spotify-Player dafür
eher passend als Thunderbird?

>Mit Flatpak/Snap kann ein Hersteller einen Fremdkörper bequem
>ins System einbringen, und Flatpak/Snap gibt sich etwas Mühe,
>dass der Hersteller nicht arg so viel Unsinn treiben kann.
>
>Flatpak/Snap erhöht keine Sicherheit, sondern versucht die
>Sicherheitslücke, die es selbst aufgerissen hat, notdürftig
>wieder zu kitten.

Aber eigentlich könnte man daraus mehr machen.

>Schöner wäre es, die Sache grundsätzlich richtig zu denken,
>Qualität statt Quantität.
>
> Man merkt wohl, ich bin ein alter Sack ... Andreas

Ja.

Stell Dir mal den Arbeitsplatzrechner eines Devopsengineers vor, der
den git-Tree des Configuration Management ausgecheckt hat. Wenn der
sich jetzt über den Browser was einfängt, was eine gezielte Änderung
an diesem Tree vornimmt und committed, pusht er es vielleicht
unbemerkt und gibt somit die Infrastruktur der Firma an den Angreifer.

Außer den Browser in irgend einer Art wegzusperren fällt mir da keine
Lösung ein.