expertenaustausch > linux.debian.user.german

Florian Dorpmueller (20.09.2005, 11:30)
Unter gibt es den gleichnamigen Browser nunmehr werbe- und
kostenfrei. Hintergrund ist wohl, dass die norwegische Firma wohl ein neues
Geschäftsmodell verfolgt. Bereits zum 10. Geburtstag hatte Opera seinen
Browser in einer Verschenkaktion kostenfrei zur Verfügung gestellt.

Florian
Ulrich Fürst (21.09.2005, 11:10)
"Florian Dorpmueller" <dorpmueller> wrote:
> Unter gibt es den gleichnamigen Browser nunmehr werbe-
> und kostenfrei.


Finde allerdings keine Vernünftige Quelle um das in die sources.list
(von sarge) zu packen. unofficial-debian hat's laut apt-get.org aber
leider nicht tatsächlich.
Auf der Seite von opera.com gibt's auch ein deb-Verzeichnis

deb stable non-free

nur fehlen da Abhängigkeiten:

Package: opera
Version: 7.53-20040716.2
Priority: optional
Section: non-free/web
Depends: libc6 (>= 2.1.3), xlib6g (>= 3.3.6) | xlibs, libqt3-mt (>=
2:3.0.3)

apt-cache policy libqt3-mt
libqt3-mt:
Installed: (none)
Candidate: (none)
Version Table:

Hm, wo krieg ich das jetzt wieder her? Oder lieber einen Bug-Report an
opera.com senden?

Ulrich
Florian Ernst (21.09.2005, 11:50)
Moinmoin,

On Wed, Sep 21, 2005 at 11:08:39AM +0200, Ulrich Fürst wrote:
> Auf der Seite von opera.com gibt's auch ein deb-Verzeichnis
> deb stable non-free
> nur fehlen da Abhängigkeiten:
> Package: opera
> Version: 7.53-20040716.2

^^^^^^^^^^^^^^^
Sicher, dass Du diese Version möchtest? Laut deren Homepage ist 8.5
aktuell, und die alten Versionen bis einschließlich 8.02 (oder so)
sollen teils gravierende Lücken aufweisen...

Kurzum, dieser "Service" scheint nicht mehr gepflegt zu werden.

[..]
> Version Table:
> Hm, wo krieg ich das jetzt wieder her? Oder lieber einen Bug-Report an
> opera.com senden?


Das ist das Ergebnis unter Sarge und Etch, etwas vollständiger sieht
es so aus:
| libqt3-mt:
| Installed: (none)
| Candidate: 2:3.0.3-20020329-1woody2
| Version Table:
| 3:3.3.5-1 0
| 50 unstable/main Packages
| 2:3.0.3-20020329-1woody2 0
| 500 oldstable/main Packages
| 990 oldstable/updates/main Packages
Ulrich Fürst (21.09.2005, 12:20)
Florian Ernst <florian> wrote:
> Moinmoin,
> On Wed, Sep 21, 2005 at 11:08:39AM +0200, Ulrich Fürst wrote:
> ^^^^^^^^^^^^^^^
> Sicher, dass Du diese Version möchtest?


Nein. V.a. weil ich gerade gesehen habe, dass die mit der static-version
identisch ist (die sich natürlich installieren lässt) und diese eben
doch noch das Banner enthällt!

> Laut deren Homepage ist 8.5 aktuell,


Die hab' ich mir auch vorhin installiert. Allerdings eben von Hand von
der Web-Site runtergeladen und mittels dpkg -i installiert.
(Funktioniert problemlos).
Nur wäre ich dankbar, nicht ständig auf die HP von opera gucken zu
müssen, ob's ne neue Version gibt. Da finde ich eben die Möglichkeit mit
apt(itude) sehr angenehm.

> und die alten Versionen bis einschließlich 8.02 (oder so)
> sollen teils gravierende Lücken aufweisen...


O.k. dann will ich die wohl wirklich nicht.

> Kurzum, dieser "Service" scheint nicht mehr gepflegt zu werden.


Schade eigentlich.

Wie macht man das dann am geschicktesten? (Ich meine die Überwachung
ob's da ne neue Version mit Security/Bug-Fixes gibt?

Ulrich
Daniel Leidert (21.09.2005, 12:20)
Am Mittwoch, den 21.09.2005, 11:08 +0200 schrieb Ulrich Fürst:
> "Florian Dorpmueller" <dorpmueller> wrote:
> > Unter gibt es den gleichnamigen Browser nunmehr werbe-
> > und kostenfrei.

> Finde allerdings keine Vernünftige Quelle um das in die sources.list
> (von sarge) zu packen.


Die gibt es auch nicht.

> unofficial-debian hat's laut apt-get.org aber
> leider nicht tatsächlich.
> Auf der Seite von opera.com gibt's auch ein deb-Verzeichnis
> deb stable non-free


Wird angeblich von einem Opera-Mitarbeiter gepflegt und ist hoffnungslos
veraltet. Aktuell ist 8.50 und nicht 7.53. Nutze besser das Web-Formular
und lade dir das aktuelle Paket herunter.

[..]
> Version Table:
> Hm, wo krieg ich das jetzt wieder her? Oder lieber einen Bug-Report an
> opera.com senden?


Viel Spaß dabei. Das versuche ich auch schon seit einer Weile. Opera hat
die Datei /usr/share/bug/opera/bugreport dem Paket beigelegt. Würde man
daraus ein /usr/share/bug/opera/control machen und die darin befindliche
Mail-Adresse gegen eine existierende austauschen, könnten Debian-Nutzer
einfach mit reportbug Fehler melden. Aber irgendwie erreiche ich bei
Opera niemanden, der diesen trivialen Fehler fixt. Vielleicht hast du
mehr Glück.

MfG Daniel
Daniel Baumann (21.09.2005, 12:20)
Florian Ernst wrote:
> Kurzum, dieser "Service" scheint nicht mehr gepflegt zu werden.


dafuer gibts ihn da:

deb sarge main contrib non-free
restricted

apt-get update
apt-get install opera8
Ulrich Fürst (21.09.2005, 12:30)
Daniel Leidert <daniel.leidert.spam> wrote:
> Am Mittwoch, den 21.09.2005, 11:08 +0200 schrieb Ulrich Fürst:
> Viel Spaß dabei. Das versuche ich auch schon seit einer Weile. Opera
> hat die Datei /usr/share/bug/opera/bugreport dem Paket beigelegt.
> Würde man daraus ein /usr/share/bug/opera/control machen und die darin
> befindliche Mail-Adresse gegen eine existierende austauschen, könnten
> Debian-Nutzer einfach mit reportbug Fehler melden. Aber irgendwie
> erreiche ich bei Opera niemanden, der diesen trivialen Fehler fixt.
> Vielleicht hast du mehr Glück.


Ich probier's auf jeden Fall mal. Bug-Report ist unterwegs (bin mal
gespannt...)

Ulrich
Daniel Baumann (21.09.2005, 13:10)
Daniel Leidert wrote:
>>Finde allerdings keine Vernünftige Quelle um das in die sources.list
>>(von sarge) zu packen.

> Die gibt es auch nicht.


Nur weil du sie nicht kennst, heisst das nicht, dass es sie nicht gibt.
Daniel Leidert (21.09.2005, 13:30)
Am Mittwoch, den 21.09.2005, 12:53 +0200 schrieb Daniel Baumann:
> Daniel Leidert wrote:
> >>Finde allerdings keine Vernünftige Quelle um das in die sources.list
> >>(von sarge) zu packen.

> > Die gibt es auch nicht.

> Nur weil du sie nicht kennst, heisst das nicht, dass es sie nicht gibt.


Und das Repository wäre? Was ist für dich in diesem Fall eine
"vernünftige Quelle"? Nach meinem Verständnis von "vernünftig", vor
allem in Bezug auf Sicherheitsaspekte, ist der Hersteller der Software
eine "vernünftige" Quelle, vor allem bei Paketen, zu denen es keine
Quellpakete gibt. Nur leider ist das Opera-Repository hoffnungslos
veraltet. Binary-Pakete in privaten Repositories sind mir immer suspekt.
Das scheint mir ein gutes Einfallstor für Malware zu sein.

MfG Daniel
Daniel Leidert (21.09.2005, 14:00)
Am Mittwoch, den 21.09.2005, 13:31 +0200 schrieb Daniel Baumann:
> Daniel Leidert wrote:
>


| Disclaimer: Information on this site is not part of the
| Debian-Project!

Auch hier gilt: Paket ohne Quelle, das angeblich von Opera stammt. Um
das zu prüfen muss die md5-Summe herangezogen werden, was apt-get nicht
tut. Ergo müsste es der User selbst tun und dann kann er sich das Paket
auch von der Originalquelle besorgen. Nochmal: Wodurch wird das
Binary-Paket vertrauenswürdig? Weil dein Name unter
steht? Im Übrigen halte ich:

|$package cannot be uploaded into the official Debian repository, (i.e.
|binary only stuff [..]
^^^^^^^^^^^^^^^^^^

für mehr als zweifelhaft und problematisch. Drittquellen für
closed-source-Software sind per Definition nicht vertrauenswürdig. Wer
überprüft in diesen Fällen, dass das Paket keine Schadfunktionen
enthält? Wer prüft, dass das Paket auf dem Weg vom Hersteller/Autor bis
zu eurem Repository nicht verändert wurde? Tust du das? Woran kann ich
das als (theoretischer) Endbenutzer prüfen?

MfG Daniel
Daniel Baumann (21.09.2005, 14:00)
Daniel Leidert wrote:
> Und das Repository wäre? Was ist für dich in diesem Fall eine
> "vernünftige Quelle"? Nach meinem Verständnis von "vernünftig", vor
> allem in Bezug auf Sicherheitsaspekte, ist der Hersteller der Software
> eine "vernünftige" Quelle, vor allem bei Paketen, zu denen es keine
> Quellpakete gibt. Nur leider ist das Opera-Repository hoffnungslos
> veraltet. Binary-Pakete in privaten Repositories sind mir immer suspekt.
> Das scheint mir ein gutes Einfallstor für Malware zu sein.


Dirk Salva (21.09.2005, 14:20)
On Wed, Sep 21, 2005 at 11:58:23AM +0200, Daniel Baumann wrote:
> Florian Ernst wrote:
> > Kurzum, dieser "Service" scheint nicht mehr gepflegt zu werden.

> dafuer gibts ihn da:
> deb sarge main contrib non-free
> restricted


Gibts unofficial eigentlich auch für AMD64?!?

ciao, Dirk
Daniel Leidert (21.09.2005, 14:30)
Am Mittwoch, den 21.09.2005, 13:32 +0200 schrieb Daniel Baumann:

>


Evtl. ein Vorschlag für Euch nachdem ich 10.1 im Todo gelesen habe.
Jarno Elonen hat ein nettes PHP-Skripts namens apt-parse-files.inc
geschrieben, dass es gestattet, automatisch das Repository auszulesen
und eine Übersicht zu generieren [2]. Ich habe diese Skript im Laufe der
Zeit noch etwas erweitert [3][4]. Evtl. wäre das ja was für euch.

[1]
[2]
[3]
[4]

MfG Daniel
Daniel Baumann (21.09.2005, 14:40)
Daniel Leidert wrote:
> | Disclaimer: Information on this site is not part of the
> | Debian-Project!


Und das tut zur Sache?

> Auch hier gilt: Paket ohne Quelle, das angeblich von Opera stammt. Um
> das zu prüfen muss die md5-Summe herangezogen werden, was apt-get nicht
> tut.


Macht ja auch nicht Sinn, das orig.tar.gz mit Upstream zu vergleichen.
Der, der das Paket ins Archiv geladen hat, garantiert mit seinem Namen
nach bestem Wissen und Gewissen dafuer, dass das Paket integer ist.

> Ergo müsste es der User selbst tun und dann kann er sich das Paket
> auch von der Originalquelle besorgen.


Dann soll er das doch machen. Jedem soviel Aufwand, wie er vertraegt.

> Nochmal: Wodurch wird das
> Binary-Paket vertrauenswürdig?


Darum gehts (urspruenglich) nicht. Gefragt war ein Repository, das
aktuelle Opera Pakete fuehrt und zeitnahe Updates hat. Debian Unofficial
erfuellt dies.

> Weil dein Name unter
> steht?


Ob mir jemand vertraut, ist mir voellig egal und ist jedem selber
ueberlassen (und ist auch primaer nicht das Thema dieses Threads).

> Im Übrigen halte ich:
> |$package cannot be uploaded into the official Debian repository, (i.e.
> |binary only stuff [..]
> ^^^^^^^^^^^^^^^^^^


Das ist eine unvollstaendige Liste von Gruenden, warum ein Paket nicht
in Debian sein kann, und darum ein moeglicher Kandidat fuer Debian
Unofficial ist.

> für mehr als zweifelhaft und problematisch. Drittquellen für
> closed-source-Software sind per Definition nicht vertrauenswürdig. Wer
> überprüft in diesen Fällen, dass das Paket keine Schadfunktionen
> enthält? Wer prüft, dass das Paket auf dem Weg vom Hersteller/Autor bis
> zu eurem Repository nicht verändert wurde? Tust du das? Woran kann ich
> das als (theoretischer) Endbenutzer prüfen?


Darum geht es nicht, siehe oben. Wenn du Opera nicht traust, brauchst du
mir auch nicht zu trauen.

Wenn du Opera (oder jedes andere Paket aus Debian Unofficial)
installieren willst, kannst du das auch von der Originalquelle besorgen
und hoffen, dass du moeglichen Schadcode siehst. Wenn du nicht soviel
Aufwand treiben moechtest oder kannst, dann installierst du das Paket
aus Debian Unofficial - denn genau dafuer ist das Repository da: das zur
Verfuegungstellung von Paketen in einem zentralen Repository von
Paketen, die (aus guten Gruenden) nicht in Debian sind, aber trotzdem
viele Leute gerne haben moechten/nutzen. Dass diese in einem einzigen,
unabhaengigen Repository gesammelt sind, ist nur eine Frage der
Bequemlichkeit und Dienstleistung gegenueber den Nutzern.

Falls du je mal ein Paket aus Debian benutzt hast von mir, hoffe ich,
dass du mit genau derselben Paranoia an die Sache rangehst - auch da ist
es ganz gut moeglich, potentiellen Schadcode einzuschleusen den
_erstmal_ niemand entdeckt.
Daniel Baumann (21.09.2005, 14:40)
Dirk Salva wrote:
> Gibts unofficial eigentlich auch für AMD64?!?


Ich hab selber keinen AMD64 und niemanden, der fuer mich die Pakete
bauen wuerde.. bis dahin: leider nein.

Ähnliche Themen