Marc Haber <
mh+usene...@zugschl.us> wrote:
>> Die Idee, dass man Arbeitspferde wie Webbrowser, Mailreader und
>> Office-Suite in Flatpak/Snap kapselt, finde ich völlig absurd.
>
> Ist das vielleicht sogar eine Kapsel, die für Security taugt?
Beworben wird es als "Sandbox" mit eingeschränkten Rechten,
und es wird natürlich mit tollem Sicherheitsgewinn vermarktet.
> Dass ein
> Amok laufender Browser nicht auf meinen ssh-Agent oder meinen
> aufgeschlossenen Yubikey zugreifen könnte, würde ich begrüßen und
> dafür durchaus etwas Overhead inkauf nehmen.
"Etwas" Overhead sind Flatpak/Snap nicht, sondern der Overhead
kann nah in Richtung einer ausgewachsenen virtuellen Maschine
gehen, insbesondere bei RAM und Storage.
Es führt die Idee, Linux auf einer eher schlichten oder etwas
älteren oder möglichst langlebigen Hardware laufen zu lassen,
konzeptionell ad absurdum.
Flatpak/Snap passt eigentlich nur zu Software, die in sich
geschlossen ist. So etwas Proprietäres wie der Spotify-Player
ist beispielsweise die Zielgruppe für Flatpak/Snap. Aber eben
nicht ein Webbrowser, Mailreader oder eine Office-Suite.
Mit Flatpak/Snap kann ein Hersteller einen Fremdkörper bequem
ins System einbringen, und Flatpak/Snap gibt sich etwas Mühe,
dass der Hersteller nicht arg so viel Unsinn treiben kann.
Flatpak/Snap erhöht keine Sicherheit, sondern versucht die
Sicherheitslücke, die es selbst aufgerissen hat, notdürftig
wieder zu kitten.
> Gab es nichtmal eine security-orientierte Distribution die so etwas
> machte?
Die Geräte, mit denen ich täglich arbeite, sind längst übersicher,
die schiere Masse an Sicherheitsebenen zwingt mich dazu, immer
mehr Löcher reinzubohren, damit ich sinnvoll damit arbeiten kann,
was die Sicherheit natürlich total untergräbt.
Heutzutage besteht "Sicherheit" nur noch daraus, dass der Angreifer
nicht sofort wissen kann, welche konkreten Löcher jeder Anwender
individuell gebohrt hat. Security by obscurity.
Schöner wäre es, die Sache grundsätzlich richtig zu denken,
Qualität statt Quantität.
Man merkt wohl, ich bin ein alter Sack ... Andreas