Browsersuche - Brave

[Lutz E. Cerning]

Hallo allerseits,
von Chromium habe ich mich ja nun wieder schnell verabschiedet.
Was haltet ihr denn von den (vollmundigen) Sicherheitsversprechen von
<https://brave.com/de/>? Immerhin landet er im Programme-Verzeichnis...

--
Grüße von LutzeC*54 aus
(ca.) 52.64736,13.550518

[Stefan Kanthak]

"Lutz E. Cerning" <luc...@gmail.com> schrieb:

> Hallo allerseits,
> von Chromium habe ich mich ja nun wieder schnell verabschiedet.
> Was haltet ihr denn von den (vollmundigen) Sicherheitsversprechen von
> <https://brave.com/de/>?

NICHTS: dieses Zeux nutzt .NET Framework und ist somit trivial angreifbar.

Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

[Lutz E. Cerning]

Andreas Kohlbach schrieb :

> Lass aber vielleicht mal wissen, welche Browser Du sonst noch
> getestet oder ins Auge gefasst hattest, aber (und warum) ablehntest?

Also ich habe schon Mosaic (Compuserve), Netscape; Opera ab Version 2
oder 3 (bezahlt sogar), Firefox, IE, Edge, Vivaldi, Safari, Chrome,
Yandex und wer weiß noch was alles durch.
Ich möchte eigentlich einfach ganz bescheiden nur keinen aus doofen
Ländern und keinen zu gesprächigen...

[Andreas M. Kirchwitz]

Andreas Kohlbach <a...@spamfence.net> wrote:

>> von Chromium habe ich mich ja nun wieder schnell verabschiedet.
>> Was haltet ihr denn von den (vollmundigen) Sicherheitsversprechen von
>> <https://brave.com/de/>? Immerhin landet er im
>> Programme-Verzeichnis...
>

> Da er "default" nicht im Paketmanager von Linux auftaucht (die Diskussion
> darüber wurde unlängst in der browser.misc Gruppe geführt), nichts.

Brave bietet meines Wissens für gängige Distributionen selbst ein
Repository an, so wie auch Google das für Chrome macht. Direkt vom
Hersteller, das ist doch okay, wenn der die Mühe auf sich nimmt.
Das ist doch der Clou der Paketverwaltung bei Linux-Distributionen.
Warum sollte das gegen Brave sprechen?

Unter Windows aktualisiert sich Brave nach der Erstinstallation
selbst, da muss man als Anwender nichts mehr machen.

Grüße, Andreas

[Arno Welzel]

Andreas Kohlbach, 2022-08-05 17:01:

> On Fri, 05 Aug 2022 09:23:20 +0200, Lutz E. Cerning wrote:
>>
>> von Chromium habe ich mich ja nun wieder schnell verabschiedet.
>> Was haltet ihr denn von den (vollmundigen) Sicherheitsversprechen von
>> <https://brave.com/de/>? Immerhin landet er im
>> Programme-Verzeichnis...
>

> Da er "default" nicht im Paketmanager von Linux auftaucht (die Diskussion
> darüber wurde unlängst in der browser.misc Gruppe geführt), nichts.

Was soll denn "im Paketmanager von Linux" sein? Es gibt etliche
Distributionen und jede entscheidet anders, welche Browser sie mitliefern.


--
Arno Welzel
https://arnowelzel.de

[Arno Welzel]

Andreas M. Kirchwitz, 2022-08-06 01:27:

> Andreas Kohlbach <a...@spamfence.net> wrote:
>
>>> von Chromium habe ich mich ja nun wieder schnell verabschiedet.
>>> Was haltet ihr denn von den (vollmundigen) Sicherheitsversprechen von
>>> <https://brave.com/de/>? Immerhin landet er im
>>> Programme-Verzeichnis...
>>
>> Da er "default" nicht im Paketmanager von Linux auftaucht (die Diskussion
>> darüber wurde unlängst in der browser.misc Gruppe geführt), nichts.
>
> Brave bietet meines Wissens für gängige Distributionen selbst ein
> Repository an, so wie auch Google das für Chrome macht. Direkt vom
> Hersteller, das ist doch okay, wenn der die Mühe auf sich nimmt.
> Das ist doch der Clou der Paketverwaltung bei Linux-Distributionen.
> Warum sollte das gegen Brave sprechen?

Das übliche Argument ist, dass nur Pakete, die in der Distributionen
dabei sind, auch auf Sicherheit und Kompatibiltät getestet sind und auch
nur dann wirklich freie Software ist während bei Repositories von
Dritten auch unfreie Software enthalten sein kann, die nicht unbedingt
geprüft wurde.

Dass hat allerdings weder Heartbleet noch das damalige "OpenSSH-Debakel"
mit unsichern Schlüsseln bei Debian verhindert. Menschen machen Fehler,
das kann man nicht immer verhindern.

[Andreas M. Kirchwitz]

Andreas Kohlbach <a...@spamfence.net> wrote:

>>>> Da er "default" nicht im Paketmanager von Linux auftaucht (die Diskussion
>>>> darüber wurde unlängst in der browser.misc Gruppe geführt), nichts.
>>>
>>> Brave bietet meines Wissens für gängige Distributionen selbst ein
>>> Repository an, so wie auch Google das für Chrome macht. Direkt vom
>>> Hersteller, das ist doch okay, wenn der die Mühe auf sich nimmt.
>>> Das ist doch der Clou der Paketverwaltung bei Linux-Distributionen.
>>> Warum sollte das gegen Brave sprechen?
>>
>> Das übliche Argument ist, dass nur Pakete, die in der Distributionen
>> dabei sind, auch auf Sicherheit und Kompatibiltät getestet sind und auch
>> nur dann wirklich freie Software ist während bei Repositories von
>> Dritten auch unfreie Software enthalten sein kann, die nicht unbedingt
>> geprüft wurde.
>

> Danke, das war genau mein Grund. Hätte ich nicht besser sagen können.

Dieses "übliche" Argument ist das, was gern vorgeschoben wird,
aber es ist halt so pauschal Unsinn, um das mal klar zu sagen.

Auf Sicherheit oder Kompatibilität getestet wird eh nichts
speziell, sondern die Distributionen compilieren das Zeug und
wenn keiner meckert, geht's so raus an die Allgemeinheit.
Um die Abhängigkeiten kümmert sich das Paket-Management.

> Meine altes sources.list schwillt über mit "Third Party" Einträgen. Das
> will ich bei der neuen Installation vermeiden, soweit es geht.

Die meisten Distributionen entscheiden sich bei komplexer Software
wie z.B. einem Web-Browser für nur genau eine Software, bestenfalls für
eine sehr kleine Auswahl. Interessante Web-Browser gibt es aber diverse,
und hier sind zusätzliche Repositories die passende Lösung.

Distributionen können nicht alles selbst abdecken. Darum gibt es ja
gerade das Konzept, zusätzliche Repositories einzubinden.

Eine alternative Anwendung für externe Repositories ist, wenn es
Kummer mit Lizenzen gibt und die Distribution das nicht nativ
unterstützen kann, so gern sie das auch möchte. Also kümmert sich
jemand anders darum.

Natürlich ist nicht Sinn der Sache, für jede winzige Software ein
weiteres Repository einzubinden, aber z.B. Chrome und VirtualBox
sind eigentlich Klassiker für externe Repositories. Manchmal auch
Treiber für Grafikkarten. Ebenfalls Brave, früher der Flash-Player

Ein anderer Weg wäre z.B. Flatpak, doch das im Alltag oft eine
Krücke, denn derart eingebundene Software fühlt sich prinzipbedingt
manchmal als Fremdkörper an, was teilweise nicht weiter stört,
teilweise aber unerwünscht ist.

Fazit, zusätzliche Repositories sind etwas Gutes, und die üblichen
Argumente dagegen sind primär dazu da, um Mitbewerber mies zu machen.

Grüße, Andreas

[Peter J. Holzer]

On 2022-08-07 03:30, Andreas Kohlbach <a...@spamfence.net> wrote:

> On Sat, 6 Aug 2022 20:48:55 -0000 (UTC), Andreas M. Kirchwitz wrote:
>> Auf Sicherheit oder Kompatibilität getestet wird eh nichts
>> speziell, sondern die Distributionen compilieren das Zeug und
>> wenn keiner meckert, geht's so raus an die Allgemeinheit.
>> Um die Abhängigkeiten kümmert sich das Paket-Management.
>

> Pauschal meine ich, dass wenn die Maintainer meiner Distributionen
> meinen, das eine oder andere Paket nicht anzubieten, sie einen
> (vielleicht von Dir genannten) Grund haben. Das werde ich einfach akzeptieren.

Der Grund kann auch einfach "zu viel Arbeit" oder "kenne ich nicht"
sein.

hp

[Andreas M. Kirchwitz]

Andreas Kohlbach <a...@spamfence.net> wrote:

> Pauschal meine ich, dass wenn die Maintainer meiner Distributionen
> meinen, das eine oder andere Paket nicht anzubieten, sie einen
> (vielleicht von Dir genannten) Grund haben. Das werde ich einfach akzeptieren.

Distributionen müssen eine enge Auswahl treffen, was sie selbst
an Paketen anbieten, denn jedes Paket erhöht den Aufwand. Deshalb
implementieren Linux-Distributionen eine Paketverwaltung und
unterstützen ausdrücklich das Einbinden externer Repositories.

Wer jetzt meint, man er solle besser nichts anderes anbieten als
Software von der Distribution, hat den Sinn von Linux bzw. Unix
nicht verstanden, dann wäre Unix allgemein längst ausgestorben.

Chrome, Brave oder VirtualBox bieten eigene Repositories an,
also direkt vom Hersteller. Da fummeln keine unbekannten Dritten
dran herum. Das sind nicht irgendwelche "wilden" Repositories.

Letzteres ist vielleicht gemeint, wenn vor externen Repositories
gewarnt wird, also unbekannte Quellen einzubinden, bloß weil es
einem gerade bequem erscheint. Da muss man natürlich aufpassen,
weil ein Repository großen Einfluss auf das System hat. Das ist
aber nun kein Problem in dem Fall, um den es hier geht.

> Ich vermute mal, dass es Firefox, Chromium, Falkon und Epiphany (Gnome
> Web, wer denn Gnome als Desktop-Manager will), per *Default* für jede
> Distribution gibt. Brave aber für keine. Vielleicht von spezialisiert
> darauf ausgerichtete Distris abgesehen.

Ja, und? VirtualBox verwendest Du dann auch nicht, weil es die
Pakete nur von Oracle gibt? Chrome nicht, weil es nur Pakete von
Google gibt? Damals den Flash-Player nicht, weil es Pakete nur
von Adobe gab?

Unter Windows installierst Du nur Software aus dem Microsoft Store?

>> Fazit, zusätzliche Repositories sind etwas Gutes, und die üblichen
>> Argumente dagegen sind primär dazu da, um Mitbewerber mies zu machen.
>

> Es ging ja um Brave. Und der Grund "Mitbewerber schlecht zu machen"
> dürfte in dem Fall wohl bei
> <https://de.wikipedia.org/wiki/Brave_(Browser)#Kritik_und_Kontroversen>
> liegen:

Kinderkram, vor allem auch die verlinkten Artikel lesen, denn
der Wikipedia-Artikel für sich ist da missverständlich, sei es
versehentlich oder bewusst. Ist aber hier auch nicht der Punkt.

Auch der meist standardmäßig installierte und aktivierte Firefox
hatte in der Vergangenheit höchst fragwürdige Ideen, und dagegen
ist Brave ein Ponyhof.

> Das reicht mir, ihn *nicht* zu Installieren. Danke Debian Maintainer, den
> *nicht* Default aufgenommen zu haben, sodass ich ihn nicht versehentlich
> installierte.

Haha, der ist gut, also Debian ist nun gerade ein prima Beispiel,
dass man über die Zeit allerlei Scheiße anstellen kann, dafür gibt's
Kritik, sie machen's besser und dann ist eben gut.

Externe Repositories sind und bleiben ein Feature und kein Bug.
So kann man komplexe Software, die aus verschiedensten Gründen
nicht Teil des kleinen Basis-Paketangebots einer Distribution ist,
trotzdem sicher und stabil einbinden.

Brave kann man bequem einbinden, sie bieten selbst ein Repository
für gängige Distributionen an. Wer Brave aus ideologischen Gründen
nicht einbinden will, alles fein, muss er ja nicht, gleiches bei
Chrome, aber zu sagen, externe Repositories seien alle böse
und nur direkt von Red Hat, Debian, Ubuntu oder wem auch immer
sei es gut, der hat das Konzept mit den Paketen und Repositories
nicht verstanden.

Grüße, Andreas

[dennis knorr]

Am 05.08.22 um 15:47 schrieb Stefan Kanthak:

> NICHTS: dieses Zeux nutzt .NET Framework und ist somit trivial angreifbar.

Also, der Browser ist mir ja egal, aber warum ist die Software
angreifbar, wenn sie .NET verwendet?

Dennis Knorr

[Stefan Kanthak]

"dennis knorr" <dennis...@gmx.net> schrieb:

Die "Common Language Runtime" erlaubt, eine beliebige DLL zu laden: siehe
<https://msdn.microsoft.com/en-us/library/bb384689.aspx>
<https://msdn.microsoft.com/en-us/library/ee471451.aspx>

JFTR: besonders unschoen ist, dass die CLR die mit Windows Vista wegen der
schwachsinnigen Benutzerkontensteuerung eingefuehrte Schutzmassnahme
<https://msdn.microsoft.com/en-us/library/bb756926.aspx> fuer mit
hoher Integritaetsstufe alias Administrator-Privilegien ausgefuehrte
.NET-Anwendungen NICHT implementiert hat (und M$FT das NICHT aendern
will und wird).

EINMAL mit Profis arbeiten...
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>

[Arno Welzel]

Stefan Kanthak, 2022-08-11 16:44:

> "dennis knorr" <dennis...@gmx.net> schrieb:
>
>> Am 05.08.22 um 15:47 schrieb Stefan Kanthak:
>>> NICHTS: dieses Zeux nutzt .NET Framework und ist somit trivial angreifbar.
>>
>> Also, der Browser ist mir ja egal, aber warum ist die Software
>> angreifbar, wenn sie .NET verwendet?
>
> Die "Common Language Runtime" erlaubt, eine beliebige DLL zu laden: siehe
> <https://msdn.microsoft.com/en-us/library/bb384689.aspx>
> <https://msdn.microsoft.com/en-us/library/ee471451.aspx>

Du hast sicher ein Beispiel, wo das ohne Eingriffe des Benutzers
ausgenutzt wird.

[Arno Welzel]

Andreas Kohlbach, 2022-08-06 22:23:

> On Sat, 6 Aug 2022 11:11:59 +0200, Arno Welzel wrote:
[...]

>> Das übliche Argument ist, dass nur Pakete, die in der Distributionen
>> dabei sind, auch auf Sicherheit und Kompatibiltät getestet sind und auch
>> nur dann wirklich freie Software ist während bei Repositories von
>> Dritten auch unfreie Software enthalten sein kann, die nicht unbedingt
>> geprüft wurde.
>

> Danke, das war genau mein Grund. Hätte ich nicht besser sagen können.
>

> Meine altes sources.list schwillt über mit "Third Party" Einträgen. Das
> will ich bei der neuen Installation vermeiden, soweit es geht.

Womit dann der zweite Teil meiner Aussage gilt:

[Arno Welzel]

Andreas Kohlbach, 2022-08-06 22:28:

> On Sat, 6 Aug 2022 11:08:55 +0200, Arno Welzel wrote:
[...]

>> Was soll denn "im Paketmanager von Linux" sein? Es gibt etliche
>> Distributionen und jede entscheidet anders, welche Browser sie mitliefern.
>

> Welche Distribution oder der verwendete Paketmanager sollte egal
> sein. Wenn etwa in jedweder Distribution (oder Paketmanager) nicht
> auftaucht, erweitere ich (in der Regel) die Liste nicht.
>
> Meine Distribution ist Debian, falls es doch wichtig ist.

Ja - Debian liefert etliche Dinge nicht mit, die woanders vorhanden sind.