CleanPress

Schlagwort: Snaps

  • Canonical äussert sich zu Malware im Snap Store

    Canonical äussert sich zu Malware im Snap Store

    Nachdem vor einigen Tagen Malware im Snap Store von Ubuntu in zwei Apps entdeckt und entfernt worden war, äußert sich nun Mark Shuttleworth ausführlich zu Crypto-Mining-Apps und zur Sicherheit des Snap Stores. Shuttleworth stellt eingangs klar, dass es im Snap Store keine Regel gibt, die Crypto-Mining-Apps verbietet und diese Apps auch weder juristisch noch moralisch verwerflich seien. Allerdings müsse der Anwender informiert werden, dass die entsprechende App im Hintergrund CPU-Ressourcen des Nutzer-PCs verwendet, um Cryptowährungen und somit Gewinn für den Autor der App zu generieren.

    Nicolas Tomb, der Autor der beiden Snaps, die jeweils ein Spiel und den Code zum Crypto-Mining enthielten, hatte an keiner Stelle erwähnt, dass die App im Hintergrund Crypto-Mining betreibt. Im Gegenteil hatte er diese Funktionalität verschleiert und mit einer proprietären Lizenz den Einblick in den Code verhindert. Die entsprechenden Apps werden jetzt von vertrauenswürdiger Seite neu verpackt und wieder in den Snap Store eingestellt.

    Sicherheit gewährleisten

    Eine Herausforderung beim Betrieb eines Software-Repositories ist, sicherzustellen, dass die veröffentlichte Software tatsächlich nur das tut, was sie soll. In den klassischen Ubuntu-Repositories basiert die Software auf einer vertrauenswürdigen Infrastruktur, wo Pakete per Entwickler-Schlüssel abgesichert sind.  Snaps ermöglichen es Publishern, ihre Software über eine Vielzahl von Linux-Distributionen schneller an Benutzer zu verteilen, jedoch bei verminderter Kontrolle. Die meisten App-Stores bieten ein automatisches Review auf technische Funktionalität und zusätzlich eine manuelle Durchsicht auf verdächtige Komponenten. Laut Shuttleworth ist beides auch beim Ubuntu Snap Store der Fall.

    Weiterhin meint Shuttleworth:

    Selbst dann ist es aufgrund der inhärenten Komplexität der Software unmöglich, dass ein großes Repository Software erst dann akzeptiert, wenn jede einzelne Datei im Detail geprüft wurde. Das gilt unabhängig davon, ob Quellcode verfügbar ist oder nicht, denn keine Institution kann es sich leisten, jeden Tag Hunderttausende von eingehenden Quelltextzeilen zu überprüfen. Aus diesem Grund basiert das erfolgreichste Vertrauensmodell auf der Herkunft der Software, nicht auf ihrem Inhalt. Mit anderen Worten, vertrauen Sie dem Herausgeber und nicht der Anwendung selbst.

    Keine Ausreden zulässig

    Der letzte Satz drückt aber genau das aus, was anscheinend im Snap Store bisher nicht angewendet wird. Shuttleworth verspricht im weiteren Text, die Sicherheit schrittweise zu erhöhen. Eine der Maßnahmen dazu soll die Verifizierung von vertrauenswürdigen Publishern sein. Snaps aus solchen Quellen sollen dann speziell als vertrauenswürdig ausgewiesen werden. Es bleibt abzuwarten, wie sich die Situation hier verbessert. Im Endeffekt kann sich aber Shuttleworh nicht reinwaschen, indem er sagt, es sei wegen der Komplexität nicht möglich, einen sicheren Snap Store zu betreiben. Wenn das nicht möglich ist, muss das Angebot so eingeschränkt werden, dass die Sicherheit gewährleistet werden kann oder der Laden sollte schließen.

  • Ubuntu 18.04 LTS erleichtert die Handhabung von Snaps

    Ubuntu 18.04 LTS
    Screenshot: ft

     

    Ubuntu 18.04 LTS »Bionic Beaver« soll als erste Ubuntu-Version neben dem herkömmlichen DEB-Format auch einige Pakete im neuen Snap-Format auf dem Image ausliefern. Wollte man unter Ubuntu bisher ein Snap installieren, dass nicht im Stable-Channel war, musste man ein Terminal bemühen und dort etwa sudo snap install spotify --beta eingeben. Mit den aktuellen Daily Builds von Ubuntu 18.04 LTS »Bionic Beaver« kann die Auswahl der Snap Channels nun auch in der Programmverwaltung Software vorgenommen werden. Neben dem als stable bezeichneten Channel gibt es noch daily releases,  candidate, beta und edge.

    Channel-Auswahl per GUI

    Somit ist für jeden Geschmack etwas dabei. Allerdings bieten nicht alle Snaps zu allen Zeiten unterschiedliche Paketversionen in allen Channels an. Wenn unterschiedliche Versionen vorhanden, so ist der Umstieg auf einen anderen Channel denkbar einfach. In Software auf der Spotify-Seite wird in grün der Channel der installierten Version angezeigt. Klickt man hierauf, werden die weiteren verfügbaren Channel mit der jeweiligen Version und einem Button mit der Aufschrift switch angezeigt.

    Transaktionale Updates

    Nach einem Klick auf den Button neben dem gewünschten Kanal erscheint am Kopf der Seite neben Starten und Entfernen der neue Button Aktualisieren. Damit wird auf die gewünschte Version gewechselt. Dabei kommt im Hintergrund die transaktionelle Art der Aktualisierung von Snaps zum Einsatz, die ursprünglich dazu dient, bei einem schiefgegangenen Update ein Zurückrollen auf die funktionierende Version zu erlauben.

    [su_custom_gallery source=“media: 4278″ link=“image“ width=“700″ height=“470″]

    Vom IoT auf den Desktop

    Bei Snap handelt es sich um ein modernes Paketsystem, das aus dem von Ubuntu Touch bekannten Click-Format heraus entwickelt wurde, um zunächst beim Cloud-Computing und dem Internet der Dinge Fuß zu fassen. Mittlerweile wird es von Canonical auch auf dem Desktop verbreitet. Eine alternative Ubuntu-Ausgabe, die nur auf Snaps basiert könnte in nicht allzu ferner Zukunft Realität werden, will man denn den Visionen von Mark Shuttleworth folgen.

    Snap bringt, wie seine Alternativen alle oder die meisten Abhängigkeiten bereits im Paket mit. Snaps sind prinzipilell gegeneinander und gegen das Gastsysystem isoliert. Das funktioniert allerdings nur mit Wayland, sodass Ubuntu 18.04 diesen Vorteil standardmäßig wieder aufgibt, da die im April kommende LTS-Ausgabe wieder von Wayland zu Xorg wechselt, währen Wayland als Alternative bestehen bleibt.  Als Alternative zu Snap gibt es das bei Fedora entwickelte Flatpak sowie AppImage, das nicht einmal einer Installation bedarf.