apt:// - Todella mahtava idea

[moonstone]

http://www.cypherbios.org/blog/?p=41&language=en

Protokolla mahdollistaa ohjelmien asentamisen webbisivuilta pakettivarastoa käyttäen yhdellä hiiren klikkauksella

Lukekaa myös blogimerkinnät.

[eDIT]

Yhdyn sanoihisi.

Tässähän mennään jo Windowssin ohi helpoudessa (vaikka todellisuudessa ohjelmien asentaminen on ollut aina helpompaa linuxin puolella).

Nytkun saataisin tämä vielä Gutsyyn, niin tätä voisi ruveta yleisesti foorumeilla etc. käyttämään.

[MikkoJP]

yhden napsautuksen installointi kolmannen osapuolen ohjelmavarastoista vaikuttaa varmalta keinolta levittää haittaohjelmat linux-maailmaan...

"älkää kokeilko tätä kotona". Beavis ja Butthead eivät ole roolimalleja.

[Ankka]

Jos tuohon tulee joku pätevä salaus/tunnistus/sertifikaattisysteemi tms millä voidaan taata turvallisuus, vaikuttaa todella pätevältä.

[moonstone]

Hienoahan tässä on se, että jos ideasta tulee toimiva ja turvallinen voisivat ohjelmien kotisivuille laittaa napin jossa lukee "jos sinulla on ubuntu asenna ohjelma painamalla tästä".

[Nakkis]

Ymmärtääkseni tuo tulee asentamaan ohjelmia vain Ubuntun omista pakettivarastoista (tai muista pakettivarastoista, jotka on jo lisätty sources.listiin ja joihin on GPG-avaimet) , joten turvallisuuden ei pitäisi olla ongelma.

[mgronber]

Ymmärtääkseni tuo tulee asentamaan ohjelmia vain Ubuntun omista pakettivarastoista (tai muista pakettivarastoista, jotka on jo lisätty sources.listiin ja joihin on GPG-avaimet) , joten turvallisuuden ei pitäisi olla ongelma.

Kyllä siellä puhuttiin ulkoisten lähteiden käytöstäkin.

"It will also let you to specify a alternative repository (temporally) which is not in the user’s sources.list to install a specific package. More or less like that: apt+http://archive.canonical.com?package=acroread?dist=feisty?section=commercial"

Toivottavasti tuon tekijä ymmärtää olla yhteydessä kio-apt:n kehittäjiin jotta he voisivat yhdessä miettiä tuota eteenpäin. Kio-apt tukee pakettien asentamista jos KPkgManager on asennettuna ja sen lisäksi kio-aptin avulla pystyy etsimään ja tutkimaan paketteja.

[MikkoJP]

Ymmärtääkseni tuo tulee asentamaan ohjelmia vain Ubuntun omista pakettivarastoista (tai muista pakettivarastoista, jotka on jo lisätty sources.listiin ja joihin on GPG-avaimet) , joten turvallisuuden ei pitäisi olla ongelma.

Kyllä siellä puhuttiin ulkoisten lähteiden käytöstäkin.

"It will also let you to specify a alternative repository (temporally) which is not in the user’s sources.list to install a specific package. More or less like that: apt+http://archive.canonical.com?package=acroread?dist=feisty?section=commercial"

Ja seurauksena on windowseista tuttu haittaohjelmien invaasio.

[mgronber]

Ymmärtääkseni tuo tulee asentamaan ohjelmia vain Ubuntun omista pakettivarastoista (tai muista pakettivarastoista, jotka on jo lisätty sources.listiin ja joihin on GPG-avaimet) , joten turvallisuuden ei pitäisi olla ongelma.

Kyllä siellä puhuttiin ulkoisten lähteiden käytöstäkin.

"It will also let you to specify a alternative repository (temporally) which is not in the user’s sources.list to install a specific package. More or less like that: apt+http://archive.canonical.com?package=acroread?dist=feisty?section=commercial"

Ja seurauksena on windowseista tuttu haittaohjelmien invaasio.

Jep, enkä usko että tätä ongelmaa pystytään ratkaisemaan PKI:n avulla kuten tuolla kommenteissa ehdoteltiin.

On tietysti totta että netistä sokkona suoritettavat sudo-ohjeet ovat vaarallisia mutta niiden ajaminen on sentään hieman vaivalloisempaa ummikolle. Potentiaalisesti vaarallisista asioista ei saa tehdä liian helppoja. Klik-klik-klik-BOOM kuulostaa ihan Windowsilta.

Loppujen lopuksi tästä päästään siihen että kone kuin kone¹ vaatii osaavan ylläpitäjän eikä sitä pystytä ratkaisemaan millään "hokkus pokkus" -tempuilla kuten ylläpidon näennäisellä helpottamisella.



¹ Tämä koskee myös Windows-koneita. Voisi jopa sanoa että siellä ylläpitäjän osaamiselle asetetaan suuremmat vaatimukset koska kone on lähtökohtaisesti varsin turvaton. Linux-puolella riittää varsin pitkälle että ylläpitäjä osaa päivittää koneensa säännöllisesti ja sen lisäksi pitää näppinsä erossa asioista joita ei ymmärrä: ei avaa palvelimia ilman että perehtyy niiden asetuksiin, ei suorita komentoja tai tee asetusmuutoksia ilman että ymmärtää niiden vaikutukset, ei käännä eikä asenna vieraita ohjelmia arvioimatta lähteen ja koodin luotettavuutta.

[Owdy]

http://news.opensuse.org/?p=133
http://forum.ubuntu-fi.org/index.php?topic=7177.msg90018#msg90018

On tietysti totta että netistä sokkona suoritettavat sudo-ohjeet ovat vaarallisia mutta niiden ajaminen on sentään hieman vaivalloisempaa ummikolle. Potentiaalisesti vaarallisista asioista ei saa tehdä liian helppoja. Klik-klik-klik-BOOM kuulostaa ihan Windowsilta.

Kyllä se kysyy pääkäyttäjään salasanaa (ainakin opensusessa), eli mitään ei suoriteta ilman lupaa. Toi  avaa pakettienhallinnan, asentaa k.o softan ja lisää tarvittaessa tarvittavan repon samalla kertaa. Mutta ennen asennusta salasana vaaditaan, joten tietoturva on kunnossa. Eli ideana on että tuo yhdistää ja automatisoi kolme asiaa, paketin haku, tarvittavan repon lisääminen ja itse softan asennus. Erittäin käyttäjäystävällistä. Uskon että tuo leviää nopeasti useampiin distroihin.

[Kari Argillander]

Mutta vasta-alkaja kyllä aivan varmasti antaa salasanan kaikkeen mitä vaan kysytään tai pyydetään, mutta emmehän voi olettaa että hän tietäisi ettei kaikkeen saa antaa, koska uusi ja outo käyttis.

[Owdy]

Mutta vasta-alkaja kyllä aivan varmasti antaa salasanan kaikkeen mitä vaan kysytään tai pyydetään, mutta emmehän voi olettaa että hän tietäisi ettei kaikkeen saa antaa, koska uusi ja outo käyttis.

Juu, mutta sama 'ongelma' on perinteistä pakettienhallintaakin yms käytettäessä. Ei tuo eroa siitä mitenkään. Tuo web sivuilla oleva linkki vaan avaa asennussoftan. Käyttäjä onkin edelleen pahin tietoturvaongelma

[muep]

Tämä nyt liittyy vähän myös openSUSEssa olevaan one click install -systeemiin tuon apt://:n lisäksi.

Saattaa ehkä hankaloittaa pakettienhallinnan toiminnan tajuamista, jos niitä käyttöliittymiä on kovin monta? Varsinkin kun nimenomaan webissä yleensä kehoitetaan olemaan erityisen varovainen, kun taas äkkiseltään Järjestelmä->Ylläpito/vastaavasta valikosta löytyvään ohjelmaan tuntuisi ihan loogiselta luottaa.

Mikäli muutkin järjestelmän ylläpitoon liittyvät toimet ruvetaan tekemään webin kautta, niin eikö siinä rupea käyttäjä olemaan aika sekaisin, mikäli tuntemus käyttöjärjestelmän tai selaimen toiminnasta on vähän hakusessa? Mitäs sitten, kun joku tekee pakettienasennussivulta näyttävän huijaussivun? Onko kolmansien osapuolten pakettivarastojen web-käyttöliittymä samanlainen kuin virallisen, vai totutetaanko käyttjä tässä todellakin siihen, että minkä tahansa näköiseltä sivulta on helppoa, kätevää ja turvallista latailla paketteja? Vai tarjotaanko web-käyttöliittymän tekoon tarvittavat softat myös muille käyttöön? Entä miten varmistetaan systeemin oikea toiminta selaimen tietoturva-aukkojen hyödyntämisen varalta? Firefoxistakin on viime aikoina löytynyt huomattavan paljon sellaisia, ja varmaan jatkossa löytyy lisää.

Mikä vika on siinä, että tehtäisiin vain sivu, jolta helposti saa pakettivarastoissa olevia rpm -tai deb -paketteja? Yleensä näiden asentimet tietääkseni osaavat hakea loput riippuvuudet sitten automaattisesti, ja jos eivät osaa, ongelma tuskin on kovin vaikea korjata.

Mikä vika on näissä perinteisissä pakettienhallintajärjestelmissä, lukuunottamatta uusien käyttäjien tapaa hakea niitä ohjelmia aina netistä, eikä jakelun omilla työkaluilla? Eikö olisi pidemmällä tähtäimellä parempi opettaa ihmiset käyttämään niitä?

Toivottavasti ei nyt ihan FUD:n puolelle mennyt. Hienoa, että homma pyritään tekemään käyttäjälle helpoksi, mutta itse koen aika harvan WWW -sivun esim. Synapticia tai varsinkaan Ubuntun gnome-app-installia helpommaksi.

[Owdy]

Mikä vika on siinä, että tehtäisiin vain sivu, jolta helposti saa pakettivarastoissa olevia rpm -tai deb -paketteja?

Se (myös) ideahan tuossa nimenomaan onkin
http://software.opensuse.org/search
Tuo hakee softaa useista eri pakettivarastoista ja kun softa löytyy, linkki avaa pakettienhallintasoftan ja asentaa sen. Jos k.o repoa ei käyttäjältä löydy, se lisätään samalla kertaa (jos käyttäjä sen sallii). Tähän saakka käyttäjän on usein  itse pitänyt etsiä repo mistä haluttu tavara löytyy, lisättävä se manuaalisesti repolistaan ja sitten vasta päässyt asentamaan softaa perinteisesti pakettienhallintaa käyttäen. Nyt tuota hommaa helpotetaan. Tämä ei tietenkään estä tekemästä asiaa kuten tähänkin saakka.

http://news.opensuse.org/?p=133

openSUSE contains thousands of packages that are often spread across various repositories. Great places like the Packman project, Guru’s RPM site and of course the openSUSE Build Service provide thousands of packages for openSUSE users. The problem, however, is frequently the hassle of locating the package, adding the repository that contains it, and then finally installing the package. This can be a tiresome process particularly if you are intending to use many packages from different repositories (say, in the Build Service).

One Click Install removes this hassle.

[MikkoJP]

Tähän saakka käyttäjän on usein  itse pitänyt etsiä repo mistä haluttu tavara löytyy, lisättävä se manuaalisesti repolistaan ja sitten vasta päässyt asentamaan softaa perinteisesti pakettienhallintaa käyttäen. Nyt tuota hommaa helpotetaan. 

Ja tämän jälkeen ulkopuolisten pakettivarastojen käyttö lisääntyy räjähdysmäisesti.

Miksi tämä sitten on ongelma? Siksi, että luotan opensource -pakettivarastoihin, joiden ohjelmat ainakin periaatteessa ovat läpikäyneet vertaisarvioinnin. Nyt automatisoidaan ulkopuolisten repojen liittäminen järjestelmään lähteiksi. Tämä tulee väistämättä lisäämään yhdellä klikkauksella asennettavien, suljettuun koodiin perustuvien haittaohjelmien asentamista Ubuntuihin.

Moniko käyttäjä tietää Windows-maailmassakaan, että asentaessaan .exe -tiedostoina "kivoja" näytönsäästäjiä ja taustakuvia voi saada mukavia troijalaisia yms koneelleen. Nämä automatisoidut ulkopuolisten repojen lisäämiset johtavat väistämättä Linuxin tietoturvallisuuden rappioon. Jatkossa Linux-käyttäjien tulee tietää, mitä ovat asentamassa -- nyt voimme pitkälti luottaa vertaisarvioinnin toimivan ja estävän haittaohjelmien tuloa koneisiin. Verkkoselaimesta klikkaamalla asentuvat pakettivarastot myös hämmentävät eroa "virallisten", turvallisten ja ulkopuolisten ohjelmien välillä.

Seuraavaksi porukan Ubuntut ovatkin sitten yhtä täynnä haittaohjelmia kuin Windowsitkin...

m

[Owdy]

Tähän saakka käyttäjän on usein  itse pitänyt etsiä repo mistä haluttu tavara löytyy, lisättävä se manuaalisesti repolistaan ja sitten vasta päässyt asentamaan softaa perinteisesti pakettienhallintaa käyttäen. Nyt tuota hommaa helpotetaan. 

Ja tämän jälkeen ulkopuolisten pakettivarastojen käyttö lisääntyy räjähdysmäisesti.

Miksi tämä sitten on ongelma? Siksi, että luotan opensource -pakettivarastoihin, joiden ohjelmat ainakin periaatteessa ovat läpikäyneet vertaisarvioinnin. Nyt automatisoidaan ulkopuolisten repojen liittäminen järjestelmään lähteiksi. Tämä tulee väistämättä lisäämään yhdellä klikkauksella asennettavien, suljettuun koodiin perustuvien haittaohjelmien asentamista Ubuntuihin.

Moniko käyttäjä tietää Windows-maailmassakaan, että asentaessaan .exe -tiedostoina "kivoja" näytönsäästäjiä ja taustakuvia voi saada mukavia troijalaisia yms koneelleen. Nämä automatisoidut ulkopuolisten repojen lisäämiset johtavat väistämättä Linuxin tietoturvallisuuden rappioon. Jatkossa Linux-käyttäjien tulee tietää, mitä ovat asentamassa -- nyt voimme pitkälti luottaa vertaisarvioinnin toimivan ja estävän haittaohjelmien tuloa koneisiin. Verkkoselaimesta klikkaamalla asentuvat pakettivarastot myös hämmentävät eroa "virallisten", turvallisten ja ulkopuolisten ohjelmien välillä.

Seuraavaksi porukan Ubuntut ovatkin sitten yhtä täynnä haittaohjelmia kuin Windowsitkin...

  No, en ota kantaa onko kauhukuvasi liioiteltu vai ei, mutta ainakaan tohon openSUSEn systeemiin ei pääse mukaan kuin luotettavia repoja. Kun softan asentaa tuolta, voi olla varma että mitän sontaa ei koneelle tule. Tietysti jos softia asentaa mistä vaan pitkin nettiä, se on toinen juttu, mutta se mahdollisuus on ollut aina. 'Villejä' repoja ja irrallisia softapaketteja on ollut aina. Ei tämä sitä muuta mihinkään. Jotenkin nyt tuntuu että tää koko systeemi on käsitetty vähän väärin...

[mgronber]

Tietysti jos softia asentaa mistä vaan pitkin nettiä, se on toinen juttu, mutta se mahdollisuus on ollut aina. 'Villejä' repoja ja irrallisia softapaketteja on ollut aina. Ei tämä sitä muuta mihinkään.

Onko se onnistunut yhdellä klikkauksella? Aivan, sitä mahdollisuutta ei ole ollut. Ohjelmasta on pitänyt osata vähintään joko ladata ja asentaa deb/rpm-paketti tai vaihtoehtoisesti lisätä oikea pakettivarasto. Huomattavasti yleisempää kuitenkin on että paketti on lataamisen jälkeen pitänyt purkaa, kääntää ja asentaa.

Nämä ovat loppujen lopuksi helppoja asioita mutta kuitenkin sen verran hankalia että niihin ei kykene jokainen amebaa kehittyneempi olio. Ylläpitäjältä on vaadittu tiettyä osaamisen tasoa ja tämän johdosta ylläpitäjä on yleensä ollut kykenevä arvioimaan edes summittaisesti tekojensa järkevyyttä.

Nyt ollaan rakentamassa järjestelmää jossa satunnaiselta www-sivulta voidaan yhdellä klikkauksella ja salasanavahvistuksella asentaa mikä tahansa ohjelmisto. Itseasiassa tässä ollaan mahdollistamassa minkä tahansa pakettivaraston lisääminen mikä on vieläkin vakavampaa koska pakettivarastoihin luotetaan täysin. Mitä tapahtuu jos johonkin epämääräiseen pakettivarastoon lisätään esimerkiksi openssh-server, jonka versionumero on virallista versiota tuoreempi ja johon on rakennettu takaovi?

[MikkoJP]

Mitä tapahtuu jos johonkin epämääräiseen pakettivarastoon lisätään esimerkiksi openssh-server, jonka versionumero on virallista versiota tuoreempi ja johon on rakennettu takaovi?

Itse olisin enemmän huolissaan siitä, että pakettivarastoihin ilmaantuu beryl, compiz tai joku muu vastaava silmänruokaviritys ssh:lla  "parannettuna". Nämä karkkiviritykset kun tuntuvat olevan monien linux-tulokkaiden suosiossa.

Samaan aikaan jotkut vielä hokevat palomuurin olevan tarpeeton linuxissa...

Lukemani perusteella opensusen viritys vaikuttaa kyllä turvallisemmalta kuin tämä apt:// -- sehän mahdollistaa käsittääkseni minkä tahansa pakettivaraston väliaikaisen lisäämisen sources.conffiin. Opensusen viritys tuntuu puolestaan tarpeelliselta vain niille, jotka eivät halua opetella pois windows-maailmasta tottumistaan tavoista.

Eikö se riittäisi, että yastiin lisättäisiin dialogi esim packmanin ja gurun pakettivarastojen lisäämisestä pakettilähteiksi?

[MikkoJP]

'Villejä' repoja ja irrallisia softapaketteja on ollut aina. Ei tämä sitä muuta mihinkään. Jotenkin nyt tuntuu että tää koko systeemi on käsitetty vähän väärin...

"Villin" ja "virallisen" ero hämärtyy ja lopulta katoaa käyttäjän silmissä, jos apt:// -systeemi automatisoi uusien pakettivarastojen lisäämisen. Ulkopuolisten ohjelmien asentaminen järjestelmään täytyykin pitää vaikeana, vaikka edes ./configure && make && sudo make install ei ole kovin vaikea oppia.

Näkemysero tiivistyykin kenties siihen, että mielestäni jakelun ulkopuolisten ohjelmien asentamisen "vaikeus" on pikemmin Linuxin vahvuus kuin sen heikkous.

[Ilokaasu]

Perusideana kuullostaa hyvältä että voisi helpottaa tätä nykyistä naurettavan helppoa tapaa vielä yhdellä mutta jos se kerta tuo mukanaan uuden pahan...eli tämän että niihin paketteihin voidaan tosiaan lisätä mitä halutaan.Sitten käyttäjä asentaa ne samaan tapaan kuin windowsissa, luullen niitä "oikeiksi" messengereiksi, compizeiksi, irc ohjelmiksi yms.

Siinähän sitten on turha ruveta enään neuvomaan että olisit tehnyt toisin...VAikka se salasanaa kysyykin niin kyllä sen aika herkästi antaa jos luulee tekevänsä oikein. Oma mielipide on että metsään tässä mennään jos se noin helpoksi tehdään..