Linux — here to stay

Obwohl es keine große Neuigkeit ist, sollte dennoch darauf hingewiesen werden dass Linux ein System ist, was man sich etwas näher anschauen sollte. Im Laufe der Zeit gab es hier einen deutlichen Professionalisierungsschub der sich manifestiert hat in Submodule wie GTK+, Systemd, ext4 oder den TCP/IP Stack die allesamt zu den besten gehören, was in einem Betriebssystem implementiert werden kann. Zählt man die zahlreichen freien Desktopprogramme wie Lyx, Libreoffice, kdenlive oder LMMS noch hinzu, so kann Linux heute stolz von sich behaupten, der unangefochtene Marktführer im professionellen Bereich zu sein. Das war nicht immer so. Um das Jahr 2000 herum gab es eigentlich nur die Slackware-Diskettenversion die noch dazu ohne eigentlichen Window-Manager daherkam und man dort mit Tools arbeiten musste wie dem Midnight-Commander und einem Dateisystem namens ext2 was kaum jemand kannte. Heute hingegen ist Linux unterbewertet. Einerseits ist die Software technisch sehr weit entwickelt, gleichzeitig setzen es nur wenige aktiv ein. Währrenddessen es bei Microsoft und Mac OS X genau umgekehrt ist. Beide genießen einen hervorragenden Ruf eines Allzweckbetriebssystem mit dem sich effektiv arbeiten lässt, in Wahrheit jedoch wird der Anwender von Lizenzen, Trojaner-Dialern und MS-Word genervt, die komplett untauglich sind für produktives Arbeiten.

Das interessante am Linux-Kosmos ist vermutlich, dass aus sich selbst heraus eine Reproduktion möglich ist. Eine Compiler-Infrastruktur gehörte von Anbeginn zum festen Bestandteil des Systems, und heute kann man mit Tools wie Python, Eclipse, Java und LLVM sehr komfortabel Software entwickeln. Insofern kann man davon ausgehen, dass auch in 20 Jahren Linux noch zum Weltstandard gehören wird.

Windows vs Debian

Vor einiger Zeit habe ich mich bereits an einer sachlichen Kritik an ArchLinux versucht, was erstens sehr erheiternd war und mir im ArchLinux Forum den Titel „Troll des Monats“ eingebracht hat https://bbs.archlinux.de/viewtopic.php?id=23612 Zugegeben, ich habe die Sachlage damals etwas überspitzt formuliert und vor allem kannte ich im Jahr 2013 noch nicht Antergos. Heute würde ich sagen, dass die Kombination Antergos/ArchLinux das beste Betriebssystem ist was man installieren kann und deshalb ist es an der Zeit ein anderes Betriebssystem näher zu beleuchten um dieses bloßzustellen. Ausgesucht habe ich mich dafür Debian. Viel Spaß beim Lesen.

Debian gilt noch immer als das ursprüngliche Linux-Betriebssystem. Das GNU Projekt von Richard Stallman und Debian sind ein und dasselbe. Debian ist deshalb jenes Betriebssystem was bis heute auf vielen Uni-Rechnern vorinstalliert ist und worauf stabile Webserver betrieben werden. Wenn man Debian und Ubuntu zusammenzählt ist es auch jene Distribution mit der größten Marktdurchdringung. Es gibt extrem viel Fachliteratur dazu und sogar mehrere Konferenzen mit internationaler Bedeutung. Wenn man jedoch einmal von der technischen Seite Debian beurteilt wird man feststellen, dass es zu Unrecht so breite Zustimmung erhält.

Die in „Debian stable“ verwendete Webkit Version ist hoffnungslos veraltet. Laut Debian O-Ton handelt es sich dabei um eine manuell gefixte Version des Upstreams die um zahlreiche Backports sehr sicher gemacht wurde, tatsächlich ist ein Debian PC auf dem Chromium läuft angreifbar aus dem Internet und es ist reines Glück, dass dies bisher noch nicht großflächig ausgenutzt wurde. Der Sicherheitsstandard in Debian ist vergleichbar mit einem Android 2.3 was seit mehreren Jahren nicht mehr mit Updates versorgt wird und wo es noch nichtmal eine Infrastruktur gibt die auf Besserung hoffen lässt.

Noch gefährlicher ist jedoch, dass man bei Debian auch keinerlei Einsicht in dieses Problem zeigt. Man glaubt, es wäre eine gute Policy wenn man eine Webkit Version von vor 2 Jahren nimmt, diese umetikettiert, im Sourcecode kleine Änderungen an den Kommentaren vornimmt und das dann als stabilen Debian Desktop bezeichnet.

Vergleichen wir das mit einem Windows 10 System, also mit propritärer Software aus dem Hause Microsoft. Für Windows 10 gibt es regelmäßige Updates, und der hauseigene Browser Edge ist von Grund neu designt. Sobald neue Patches verfügbar sind werden diese durch Microsoft eingespielt. Wenn man aus rein technischer Sicht eine Empfehlung abgeben muss, dann würde ich lieber dazu raten ein Windows 10 mit vorinstalliertem Edge Brower einzusetzen, bevor man Debian bei sich auf der Festplatte installiert.

Mag sein, dass Debian einmal mit den besten Absichten gestartet ist, das Projekt ist jedoch zu selbstgefällig geworden und ist unfähig die eigenen Schwächen zu benennen. Die ausgelieferte Software liegt weit hinter Microsoft und Apple zurück und das dürfte auch der Grund sein, warum viele Debian-Maintainer privat einen Windows PC nutzen. Weil anders als bei Debian kann man damit halbwegs sicher ins Internet gehen und die Anwenderprogramme laufen stabil. Insgesamt macht die Debian Community auf mich den Eindruck als wäre die Zeit dort stehengeblieben. Man glaubt noch immer Anfang der 1990’er Jahre zu sein, wo Linux gerade erfunden wurde und man stolz ist ein freies Betriebssystem anbieten zu können. Vermutlich glauben Debian-Maintainer, dass eine „@debian.org“ E-Mail Adresse ein Status-Symbol ist und das der Upstream vor Ehrfurcht in die Knie geht. Tatsächlich muss Debian heute froh sein, dass es von Projekten wie xscreenserver oder Gnome überhaupt noch die Erlaubnis erhält, diese Software in Debian zu verwenden. Denn es besteht die Gefahr, dass darunter das Image leidet.

Brandbrief eines Webkit-Developers aufgetaucht

Das Debian durch den Programmierer von XScreensaver bereits unter Beschuss geraten ist, dürfte allgemein bekannt sein. Er hat sich darüber beschwert, dass er Fehlerreports von Leuten erhält, die eine alte Version von Debian verwenden, obwohl diese Probleme längst im Upstream gelöst wurden. Das ganze kann im Fall von Xscreensaver als Nebensächlichkeit abgetan werden, weil zu keinem Zeitpunkt sicherheitsrelevante Bugs darunter waren.

Jetzt ist aber ein neuer Brandbrief aufgetaucht https://blogs.gnome.org/mcatanzaro/2016/02/01/on-webkit-security-updates/ diesmal von einem Webkit Entwicker. Webkit wird von dem Chromium Browser verwendet und wenn darin Sicherheitsprobleme auftreten sind die Folgen dramatisch (geklaute Kreditkarten, Rechner mit Spionagesoftware versehen, Festplattenverschlüsselung durch Hacker usw).

In diesem Brandbrief heißt es:
„We regularly receive bug reports from users with very old versions of WebKit, who trust their distributors to handle security for them and might not even realize they are running ancient, unsafe versions of WebKit.“

Der Programmierer macht darauf aufmerksam, dass Webkit bei Ubuntu überhaupt keine Sicherheitsupdates erhält (es ist dort im Universe Repository gelistet) und das es bei Debian nur dann Updates erhält, wenn man die Testing Version verwendet. Wie auch beim XScreensaver scheint das Problem struktureller Natur zu sein. Das nähmlich die Zusammenarbeit zwischen Upstream und Linux-Distribution nicht richtig funktioniert. Für den Benutzer bedeutet das den absoluten Supergau: wenn er Chromium auf einem Ubuntu System installiert ist es sehr unsicher damit im WWW zu surfen. Und noch schlimmer, es wird sich in Zukunft daran auch nichts ändern, weil die Infrastruktur von Ubuntu oder Debian gar nicht darauf ausgelegt eine aktuelle Version von Webkit einzuspielen. Das bedeutet, dass selbst jetzt wo das Problem benannt wurde, sich gar nichts ändern wird. Es ist eben nicht nur ein weiterer Bug der eine CVE-Nummer bekommt und der in zwei Wochen gefixt sein wird, sondern der Chromium Browser auf Ubuntu LTS Machinen wird noch die nächsten 10 Jahre anfällig sein für Sicherheitslücken.

Dass dieser Brandbrief noch keine größeren Wellen geschlagen hat, ist eigentlich ein Wunder. Normalerweise müssten bei Debian und bei Ubuntu alle Warnlichter angehen. Stattdessen ist auf der Debian Security Liste zu lesen, dass alles super läuft und gerade wieder mehrere Sicherheitsprobleme in Chromium beseitigt wurden: https://www.debian.org/security/2016/dsa-3667 Scheinbar ist also Debian besser über den Sicherheitszustand von Webkit informiert, als es der Upstream ist.

Hier http://askubuntu.com/questions/177207/is-chromium-in-ubuntus-repository-safe-to-use-since-its-so-out-of-date nochmal von anderer Seite ein Bericht über den Sicherheitszustand bei Ubuntu in Verbindung mit Chromium. Das Fazit lautet, dass die Ubuntu Chromium Version komplett veraltet ist und damit das System anfällig ist für jede Art von Virus. Von der Benutzung als Produktivsystem wird entschieden abgeraten. Nur, diese Hinweise kommen keineswegs von Ubuntu selber sondern von außerhalb. Die offizielle Meinung von der Ubuntu Distribution und der Debian Distribution lautet: Lage unter Kontrolle keine Probleme, long-term-stable-release ist das beste was es gibt.

Im Grunde kann man die User nur beglückwünschen bisher um Linux auf dem Desktop immer einen großen Bogen gemacht zu haben. Wenn sie andere Betriebssysteme wie Microsoft Windows 8 einsetzen, erhalten sie wenigstens Sicherheitsupdates. Bei Linux ist das erstens nicht der Fall und noch schlimmer, bei Ubuntu und Co gibt es auch keine Bereitschaft daran etwas zu ändern.

UPSTREAM
Alle Schuld auf die Distributionen abzuladen ist falsch. Denn Sicherheitslücken entstehen beim Upstream. Hätten die Webkit Entwickler in der Vergangenheit keine Fehler gemacht, dann gäbe es die zahlreichen Exploits nicht. Aber, der Upstream ist zumindest bereit, neue Programmversionen bereitzustellen wenn die Fehler verbessert wurden. Der Zustand Stable wird aktiv angestrebt. Bei Debian und Ubuntu hingegen vertraut man auf die Guidelines die vor vielen Jahrzehnten erfunden wurden und die besagen, dass möglichst auf Veränderungen verzichtet wird, es sei denn gewichtige Gründe sprechen dafür. Diese Haltung führt dazu, dass im Zweifel kein Update auf neue Versionen durchgeführt wird und ähnlich wie bei Android auch das System unsicher wird. Das gefährliche daran ist einmal die Praxis als solche aber zusätzlich auch noch die gelebte Debian Kultur die Kritik an diesem System abblockt.

Bisher haben wir von Seiten des Upstream nur zwei Leute, die sich explizit gegen Debian gestellt haben: das Projekt XScreensaver und jemand aus dem Webkit Team. Es gibt aber im Upstream noch viele weitere Projekte wo Leute sitzen die zu den langen Release Zyklen von Debian schweigen. Es gibt auch keine Konferenzen wo sich namenhafte Entwickler gegen Debian aussprechen. Offenbar ist das Problem doch nicht so groß wie behauptet wird, offenbar ist mit Debian grundsätzlich alles zum besten bestellt?

Anspruch und Wirklichkeit bei Debian

Es gibt viele selbsternannte Linux-Experten welche sich in der Rolle gefallen, gegen Ubuntu Stimmung zu machen, weil dort angeblich das Konzept OpenSource nicht richtig verstanden wurde, Spyware vorinstalliert wäre und überhaupt die Einstiegshürde zu niedrig sei. Das ganze ist eine sehr bequeme Kritik, weil Ubuntu als Mainstream-Distribution mit diesem Image sehr gut leben kann, denn wo gehobelt wird da fallen Späne. Deutlich anspruchsvoller ist es, wenn man versucht sich mit dem Debian Projekt kritisch auseinanderzusetzen. Weil rund um Debian noch immer ein Nimbus existiert.

Schauen wir uns zunächst einmal an, wie laut Selbstdarstellung der Debian Bugtracker sowohl technisch als auch sozial funktionieren soll. Die Idee ist, dass ein Debian Anwender das Betriebssystem auf seinem PC installiert und in einer Anwendung einen Fehler bemerkt. Nehmen wir mal als Beispiel nicht den Linux-Kernel oder obskure Systembibliotheken sondern ein Programm was die meisten Studenten kennen dürften: Lyx. Beispielsweise startet man Lyx und will dort einen Text eingeben und bei aktivierter Rechtschreibkontrolle reagiert das Programm extrem zäh und man kann praktisch nicht tippen. Laut der Debian Philosophie ist jetzt der Moment gekommen einen Bugreport zu verfassen und diesen per E-Mail an den Lyx Maintainer in Debian zu schicken. Der wiederum gibt erste Rückmeldungen und priorisiert das Problem. Bei schweren Problemen leitet der Debian Maintainer den Fehlerreport weiter an den Upstream also zu lyx.org wo es ebenfalls einen Bugtracker gibt.

Soweit entspricht das der Philosophie des Debian Projektes. Schaut man sich jedoch am konkreten Beispiel einmal an wie das konkret abläuft so kann man nur den Kopf schütteln. Derzeit enthält der Debian Bugtracker zu Lyx rund 12 Einträge. Der älteste davon ist aus dem Jahr 2002 wo jemand mit der Lyx Version 1.x ein Problem hatte. Ein Teil dieser Fehlerreports wurden vom Debian Maintainer tatsächlich an den Upstream weitergeleitet, dort konnte man teilweise damit gar nichts anfangen, weil zwischen der Debian Version und der Upstream Version ein Unterschied besteht.

Wie kann man diese Details deuten? Zunächst einmal basiert das Debian Bugtracking System auf sozialer Kommunikation. Es gibt verschiedene Rollen wie Debian Nutzer, Debian Maintainer, Upstream. Zwischen diesen findet in einem mehrstufigen Prozess eine E-Mail Kommunikation statt. Der Debian Nutzer wendet sich zuerst vertrauensvoll an Debian und dort wiederum versteht man sich als Mittler zwischen Nutzer und Upstream. Die Kommunikation selber wird im Bugtracker archiviert.

Bei kritischer Betrachtung macht das ganze Prozedure keinerlei Sinn. Erstens ist die Anzahl der Leute die involviert sind zu klein. Wenn man an den Debian Maintainer von Lyx eine Nachricht schickt, dann hängt es stark vom Fachwissen dieser einen Person ab, ob einem geholfen wird oder nicht. würde man das selbe Problem in einem öffentlichen Forum schildern, würden die Chance steigen eine sinnvolle Antwort zu erhalten. Zweitens ist die Kommunikation zwischen Debian und dem Upstream per se zum Scheitern verurteilt, weil Debian eine gänzlich andere Lyx Version einsetzt als aktuell ist. Teilweise sind sich dieser Problematik die Debian Maintainer selber bewusst. Leute die sich noch halbwegs auskennen, überprüfen einen gemeldeten Fehler zuerst in ihrer Debian SID Installation bevor sie im Upstream Bugtracker einen neuen Fehlerbericht erstellen. Aber vielfach unterbleibt das, und die Kommunikation läuft komplett gegen die Wand.

Wir haben in Debian einerseits sehr hohe Ansprüche die in Guidelines veröffentlicht sind. Danach wird als Ziel nicht nur qualitativ hochwertige Software formuliert sondern darüberhinaus wird auch auf gegenseitigen Respekt geachtet. Auf der anderen Seite ist es in der Praxis unmöglich, diesen Ansprüchen gerecht zu werden, weil die verwendeten Prozesse komplett veraltet sind und mit einem Stable-Release System es unmöglich ist auf Fehlerberichte angemessen zu reagieren. Zusätzlich scheint die Debian Community diese Probleme noch nichtmal zu merken. Was im Lyx Bugtracker passiert, ist exakt dasselbe was auch bei Firefox, apache, gnome und all den anderen Kompententen an der Tagesordnung ist. Es ist jedesmal das selbe Spiel: ein Debian Anwender der offenbar seiner Distribution vollends vertraut schickt eine E-Mail an den Maintainer. Und zwar nur an ihn (persönlich). Der wiederum legt den Bug im Bugtracker an, schreibt ein Kommentar dazu und leitet ihn zum Upstream weiter wenn es wichtig ist. Dort versteht man nochnichtmal das Problem und stellt eine Rückfrage. Diese kann nicht beantwortet werden aus Mangel an Fachwissen. Irgendwann erledigt sich das Problem entweder allein, oder aber es entsteht Frust auf allen Seiten. Zusätzlich kommt erschwerend hinzu, dass es im Grunde egal ist ob in der Debian Desktop Version ein Problem gefixt wird oder nicht, weil weltweit geschätzt nur ein halbes Dutzend Debian Desktops überhaupt installiert haben.

BEST PRACTICE
Worum geht es bei OpenSource Software? Im Kern geht es darum dass der Sourcecode einer Software verbessert wird. Es geht darum Programme zu schreiben mit denen der Computer nützliche Dinge tun kann. Diese Arbeit wird nicht von Debian Maintainern oder von den Usern gemacht sondern vom Upstream. Wenn man die Qualität der Software verbessern möchte sollte man dem Upstream zuhören und nicht etwa den Usern. Anders formuliert, es ist völlig egal ob ein Debian Endnutzer Probleme mit seiner Software hat oder ob da Fehlermeldungen aufpoppen. Fehlerbereichte die von unten nach oben durchgereicht werden sind kein geeignetes Mittel um Software zu verbessern. Sondern OpenSource Softwareentwicklung findet TopDown statt. Diejenigen welche ganz oben stehen entscheiden was gemacht wird und drücken ihre Meinung dann durch bis zum Anwender.

Nur, was will der Upstream? Diese Frage ist gar nicht so einfach zu beantworten, vor allem weil nicht klar definiert ist, wer oder was der Upstream eigentlich ist. In einem Textbeitrag war beispielsweise zu lesen, dass neue CVE-Nummern von MITRE der Upstream seien. Andere sagen, Google und Gnome wären Upstream. Aber eines ist sicher: Debian ist nicht der Upstream und die Debian Community ist es erst recht nicht.

XSCREENSAVER
Interessant ist auch, wenn man sich die Fehlerreports zu einem anderen Linux Package einmal anschaut: XScreensaver. Unter ArchLinux ist derzeit die Version 5.35 installiert welche auch diejenige die der Upstream zum Download bereitstellt. Irgendwelche Warnhinweise, dass das Paket geupdated werden muss erscheint nicht. Und mehr noch, XScreensaver gehört sogar zu den Highlights eines jeden Linux-Desktops, wenn man sich dort einmal durch die Menüs durcklickt findet man viele interessante Animationen. Besonders gelungen ist die Simulation eines alten Röhrenplasma-Monitors wo nachleuchtende Buchstaben zu sehen sind. An dieser Stelle auch von mir ein großes Lob an den Autor.

Xscreensaver besitzt bei ArchLinux ein eigene Webseite wo die pkgbuild Datei gespeichert ist und wo auch der Bugtracker verfügbar ist https://bugs.archlinux.org/?project=1&cat%5B%5D=2&string=xscreensaver dort befinden sich derzeit 0 Bugs. Alles super, die User haben keine Probleme mit der Software. Schaut man sich jedoch einmal die Seite bei Debian PTS an (dem Maintainer Werkzeug) so werden dort 118 Bugs gelistet von denen 7 „important outstanding“ sind.

Aber was macht ArchLinux anders dass dort keine Bugs gemeldet sind? Schauen wir uns doch mal die Historie das Packages an. Bei ArchLinux findet sich folgendes:

Age	Commit message (Expand)	Author
2016-06-27	Update to 5.35	arojas
2015-10-27	upgpkg: xscreensaver 5.34-1	eric
2015-07-22	upgpkg: xscreensaver 5.33-2	eric
2015-07-15	upgpkg: xscreensaver 5.33-1	eric
2014-11-24	upgpkg: xscreensaver 5.32-1	eric
2014-11-18	upgpkg: xscreensaver 5.31-1	eric
2014-09-17	upgpkg: xscreensaver 5.30-1	eric
2014-06-09	upgpkg: xscreensaver 5.29-1	eric
2014-06-07	upgpkg: xscreensaver 5.28-1	eric
2013-12-12	upgpkg: xscreensaver 5.26-1	eric
2013-11-24	upgpkg: xscreensaver 5.23-1	eric
2013-07-16	upgpkg: xscreensaver 5.22-1	eric
2013-02-07	upgpkg: xscreensaver 5.21-1	eric
2012-10-18	upgpkg: xscreensaver 5.20-1	eric
2012-10-07	upgpkg: xscreensaver 5.19-2	eric
2012-07-30	upgpkg: xscreensaver 5.19-1	eric
2012-07-16	upgpkg: xscreensaver 5.18-1	eric
2012-06-24	upgpkg: xscreensaver 5.17-2	eric
2012-06-23	upgpkg: xscreensaver 5.17-1	eric
2012-01-18	upgpkg: xscreensaver 5.15-3	eric
2011-09-30	upgpkg: xscreensaver 5.15-2	eric
2011-09-30	upgpkg: xscreensaver 5.15-1	eric
2011-05-22	upgpkg: xscreensaver 5.14-1	eric
2011-05-14	upgpkg: xscreensaver 5.13-1	eric
2011-03-10	Removed ChangeLog	eric
2011-03-10	upgpkg: xscreensaver 5.12-2	jgc
2010-09-26	upgpkg: xscreensaver 5.12-1	eric
2010-08-24	upgpkg: xscreensaver 5.11-2	jgc
2010-05-17	upgpkg: xscreensaver 5.11-1	eric
2010-01-18	upgpkg: xscreensaver 5.10-3	jgc
2009-10-17	upgpkg: xscreensaver 5.10-2	eric
2009-09-09	upgpkg: xscreensaver 5.10-1	eric
2009-09-04	upgpkg: xscreensaver 5.09-1	eric
2009-06-30	upgpkg: xscreensaver 5.08-2	allan
2009-01-02	upgpkg: xscreensaver 5.08-1	eric
2008-08-12	upgpkg: xscreensaver 5.07-1	eric
2008-07-19	upgpkg: xscreensaver 5.06-1	eric
2008-04-18	Added svn:keywords to all PKGBUILDs	aaron
2008-04-06	Initial import of all packages

Zur Erläuterung sollte man wissen dass „upgpkg“ ein Bash-Script ist was automatisch die pkgbuild-Datei ändert, wenn der Upstream eine neue Version veröffentlicht. In den letzten 8 Jahren hat ArchLinux also jedesmal wenn ein Update verfügbar war, dass 1:1 weitergereicht. Der Aufwand dürfte für den Maintainer „eric“ im überschaubaren Rahmen geblieben sein. Es gibt auch keine Mailing-Archive bei denen Nutzer von ArchLinux irgendwelche Fehlerreports erstellen um sich über Dinge zu beklagen die funktionieren.

Es gibt zwei wichtige Regeln wenn man mit Computerproblemen zu kämpfen hat. Die erste lautet, dass man den Computer ausschalten und wiedereinschalten sollte. Die zweite lautet, dass man auf die aktuellste Software updaten sollte. Erstaunlicherweise lassen sich damit ein Großteil der Probleme lösen.

Debian als Entwicklerumgebung?

Das am weitesten entwickelte Programm um eigene Software zu erstellen ist Eclipse. Es wird von der Java-Community verwendet um damit Android Software zu programmieren, kann aber auch für C++ oder Python Projekte genutzt werden. Debian liefert derzeit eine Eclipse Version aus dem Jahr „September 2012“ (Version 3.8.1). Um ein Gefühl zu bekommen wann eine Software als veraltet gilt sollte man sich in Erinnerung rufen, dass der Autor des XScreenserver Projektes eine Abfrage eingebaut hat, die eine Warnmeldung ausgibt, wenn das Paket älter als 18 Monate ist (1,5 Jahre). Eclipse in Debian ist derzeit stolze 4 Jahre alt und liegt damit mehrere Iterationsstufen hinter dem Upstream zurück.

Leider haben die Eclipse Entwickler es versäumt auf diesen Mißstand hinzuweisen oder sich sonstwie kritisch zum Debian Projekt zu äußern. Ich finde, man müsste hier deutlicher Stellung zu beziehen zumal auch Ubuntu keine neuere Version verwendet. Aufschlussreich ist auch ein Blick in den Debian Bugtracker wo Probleme mit Eclipse diskutiert werden. Der erste Bug ist fast schon ein wenig ironisch. In der Überschrift heißt es, dass sich Eclipse nicht aktualisieren ließe. Dann gibt es noch Probleme mit Plugins, eingefronenen Dialogboxen und fehlenden Bibliotheken.

Interessanterweise wurde keiner der Fehlerbereichte an die Eclipse Foundation weitergereicht. Der Debian Maintainer wird schon seine Gründe dafür haben, warum er das Problem lieber intern klären will. Und so liest sich die Diskussion auch wie ein E-Mail Chat zwischen einem Debian Endverbraucher der mit einer 4 Jahren alten Installation was auch immer anzufangen gedenkt und einem Debian Maintainer der dafür den Support leistet.

Vermutlich gibt es ein ähnliches Bugtracking System auch in Ubuntu, da habe ich aber gar nicht erst reingeschaut. Wieder einmal bleibt festzuhalten, dass aus gutem Grund bisher Linux den Sprung auf den Desktop nicht geschafft hat. Wer Debian einsetzt um damit Software zu entwickeln, der muss schon hart im Nehmen sein. Ein aktuelles Windows 10 mitsamt Visual Studio wäre um einiges professioneller.

OpenSource ist ausnahmsweise nicht der Schuldige. Die Eclipse Version unter Windows 10 funktioniert ausgezeichnet und ist eine zeitgemäße moderne Entwicklungsumgebung. Das Problem ist auch nicht der Linux-Kernel oder Gnome, die beide ebenfalls State-of-the-art sind. Sondern das Hauptproblem mit Linux sind seine Distributionen namentlich Debian. Auf Debian aufbauende Distributionen wie Ubuntu sind nicht viel besser und Distributionen wie Slackware oder Gentoo sind ganz schlecht wenn man damit produktiv arbeiten möchte. Jemanden zu empfehlen von einem funktionierendem Microsoft 10 auf ein buggy-Debian Desktop Betriebssystem zu wechseln ist ungefähr genauso sinnvoll als wenn man jemanden sagt, er sollte in Eiswasser baden und sich dabei warme Gedanken machen. Bei Lichte betrachtet, ist Debian eine Anti-Werbung sowohl für Eclipse als auch für OpenSource insgesamt.

Sicherheit von Linux-Distributionen

Auf der letzten Gnome Entwicklerkonferenz gab es einen Vortrag bei dem ungewohnt offen über die Sicherheitsprobleme in Linux-Distributionen aufgeklärt wurde (WebKit Security Updates, GUADEC 2016). Im Kern ging es darum, dass das Webkit Projekt (welches einen zentralen Layer für jeden Webbrowser darstellt) zwar laufend neue Updates erhält, diese aber nicht oder nur verzögert Einzug halten in wichtige Linux-Distributionen. Als vorbildlich wurden genannt Fedora und ArchLinux bei denen die aktuelle Webkit Version vorhanden ist. Leicht schlechter schnit RedHat ab und ganz schlecht sei die Lage bei Ubuntu und Debian, wo insbesondere in den LTS Versionen uralte Webkit Versionen installiert die angreifbar sind für alle möglichen Exploits. Noch viel expliziter wurde es, als die Gründe genannt wurden. Und zwar sei (so der Vortragende) das Mantra von Debian nur stable-Versionen auszuliefern schlichtweg eine Lüge die in der Praxis sich so verhält, dass dem Debian Team zwar bewusst ist, dass die ausgelieferte Webkit Version Sicherheitsmängel besitzt, aber aus Mangel an Manpower, Zeit und Interesse wird darüber nicht geredet in der Hoffnung das schon nichts passiert.

Gleichzeitig wurde aber herausgestellt welche Probleme entstehen können, wenn man eine Rolling-Release Distribution wie Antergos verwendet. Dort gab es in der Vergangenheit wohl nach einem Update mal das Problem, dass der grafische Login-Screen nicht mehr angezeigt wurde, und die Antergos User sich überhaupt nicht mehr einloggen konnten.

Was tun? Soll man abwägen zwischen einem System wie Debian wo niemals sowas passiert oder soll man das Risiko von ArchLinux und Co auf sich nehmen? Meine Empfehlung lautet: grundsätzlich ist Sicherheit wichtiger als ein funktionierendes System. Das heißt, es müssen auch dann Updates eingespielt werden, wenn dadurch das komplette System kaputt geht. Als Fallback ist für solche Fälle ein USB Stick mit einer Live-Distribution wie Antergos empfehlenswert. Also eine ältere Version die nachweislich den Rechner booten kann und womit man zumindest ins Internet kommt und nach einer Lösung zu suchen. Derartige USB-Sticks mit ISO Images enthalten zwar nicht die jeweils aktuellste Programmversion sondern sind mitunter 6 Monate oder älter, für den Fall der Fälle ist das aber ausreichend.

Begleitend dazu begrüße ich, dass von namenhafter Stelle endlich mal Klartext über die Sicherheit bzw. Unsicherheit von Debian geredet wurde. Es gibt da draußen viel zu viel Leute, die das Marketing-Sprach von Debian einfach so akzeptieren. Das geführliche bei Sicherheitslücken die aus dem Internet angreifbar ist dass der Angreifer diese ausnutzt und eben nicht den Computer kaputtmacht sondern im Gegenteil froh ist, wenn er unentdeckt agiert. Anders gesagt, vermutlich gibt es da draußen unzählige Debian-Desktops wo Hacker sich ein Stelldichein geben, Keylogger installieren oder noch schlimmeres und der User bemerkt davon nichts weil sein System suggeriert „stable“ zu sein.