Du machst deinem Namen alle Ehre 
1 „Gefällt mir“
Kann man so nicht behaupten, viel zu grob. Welches Linux ist gemeint? Welches Android?
Welche Sicherheit soll erreicht werden? Man kann ein AOSP verhunzen, genauso auch ein Linux. Man kann einen Linux-Kernel exakt den eigenen Bedürfnissen nach kompilieren, genauso die restliche Umgebung selbst bestimmen.
Was an einen Qubes „benutzerunfreundlich und häufig extrem komplex“ soll, ist genau der Punkt, warum man so nicht über „Sicherheit“ lamentieren kann. Denn Abstriche wird man irgendwo machen müssen. Und wenn man Sicherheit haben will, dann wird man genau an den Automatismen und tollen „Errungenschaften der Bequemlichkeit“ Abstriche machen müssen, sonst wird das nichts mit der Sicherheit.
1 „Gefällt mir“
Nein kann man nicht. Wenn es das Ökosystem dazu nicht gibt, dann kann man es sich nicht einfach herzaubern.
Was für ein nichts-sagendes Geschreibe.
1 „Gefällt mir“
Nur im Smartphone-Bereich.
Forschung sowohl im Sinne von Sicherheitsforschern als auch von der „Malware-Industrie“
Problematisch ist, dass diese Schwachstellen und die dazu passende Malware überwiegend mehrere Android Versionen betreffen (meistens Android >11) und somit schon seit längerem existieren und ausnutzbar sind. Wenn zum Großteil nur neuere Versionen betroffen wären, würde ich dir zustimmen, aber das Bild sieht eben anders aus.
Die von Sicherheitsforschern entdeckten Sicherheitslücken sind für sich genommen nicht das eigentliche Problem, sondern die dazugehörige Malware die in freier Wildbahn unterwegs ist.
Nein, überhaupt. Schau bei Statista nach.
Dir ist schon klar, dass es zahlreiche Privilege-Escalation-Bugs in Linux gab, die fast 10 Jahre existierten und unter Android nichts ausmachten, da das Sicherheitmodel die Verwendung gar nicht zulaß?
Ja und? Die gibt und wird es immer geben. Du reitest auf Dingen herum, die wenig Relevanz für die Beurteilung von OS-Sicherheit haben. Wie willst du über ein Thema diskutieren, wenn du nicht einmal weißt, was der Maßstab der Beurteilung ist?
1 „Gefällt mir“
Ah okay verstehe, wenn man die Absolutzahlen nimmt, dann ja. Ich persönlich würde nicht alle Gerätearten wie Server, Embedded-Devices, usw. in einen Topf werfen, weil Android nicht auf allen Gerätetypen läuft, aber sei’s drum.
Die Sicherheit hängt u.a. von zwei Dingen ab: Eine Sicherheitslücken und jemanden, der diese ausnutzt. Eine Sicherheitslücken die keiner nutzt, weil zu komplex oder sehr strenge Vorraussetzungen notwendig sind, kann man eher vernachlässigen als andere die einfacher ausgenutzt werden können. Keiner dem etwas an IT-Sicherheit liegt würde beispielsweise einen Exchange Server offen ins Netz hängen (klar gibt es welche die so naiv sind).
Das Problem ist, dass der allergrößte Teil der Lücken nicht öffentlich bekannt ist, von daher macht es auch keinen Sinn diese als Vergleich heranzuziehen. Die Frage ist viel mehr, was das System macht, damit die Lücken entweder nicht oder nur mit extrem hohem Aufwand auszunützen sind, wobei wir wieder beim Sicherheitsmodel wären. Das Sicherheitsmodel ist entscheidend.
1 „Gefällt mir“
Wenn Schwachstellen aktiv ausgenutzt werden, spielt es keine Rolle ob die Informationen dazu öffentlich verfügbar sind oder nur wenigen. Sie werden ja bereits aktiv ausgenutzt. Der Google Bericht bezieht sich nur auf die in freier Wildbahn.
Ich habe jetzt mehrfach erklärt, dass das für den Vergleich von Desktop-Linux Systemen zu Android nahezu irrelevant ist. Obwohl du nicht einmal die absoluten Basics verstehst, beharrst du weiterhin auf diesem Unsinn. Ich bin deshalb raus aus der Diskussion.
1 „Gefällt mir“
Das ganze Thema scheint ein wenig abzudriften.
Für mich ging es eigentlich nicht darum zu sagen, dass Linux unsicher ist.
Das ist es so sicherlich pauschal nicht zu sagen.
Es ging mir lediglich darum, dass Linux bereits durch seinen Ursprung in UNIX andere Sicherheitskonzepte hat, als die die modernere Systeme haben. Bis diese (oder ob diese) in Linux nachgereicht werden ist noch nicht bekannt.
Möglicherweise machen in Zukunft Distributionen auf Basis von Chrome OS, Android oder eines ganz anderen Systems so große Fortschritte, dass diese besser zum einfachen Endanwender passen.
1 „Gefällt mir“
Könntest Du bitte, für mich doofen, ein einfaches Beispiel für ein Sicherheitskonzept geben? Im Privaten Umfeld, nichts gewerbliches.
Also für mich ist das fehlende Sandboxing und Berechtigungssystem mit einzelnen Abfragen für Zugriff auf Ressourcen ein Problem.
Folgendes Beispiel: Installieren ich ein Programm wie den Firefox in Ubuntu hat es Zugriff auf alle Daten des Benutzers. Ich werde nicht jeweils vom Betriebssystem gefragt, ob Firefox auf Bluetooth, Kamera, mein Home-Verzeichnis etc. zugreifen dar.
Folgendes Beispiel: ich surfe mit dem Firefox auf www.trojander.virus herum und diese Seite schafft es den Firefox zu übernehmen oder eine Böse E-Mail Übernimmt meinen Thunderbird , dann kann das Programm nun meine Fotos, Videos und Dokumente hochladen und alle meine Daten löschen, durch meine Kamera filmen, etc.
Bei den meisten modernen Betriebssystemen müsste ich erst in den Einstellungen sagen, Firefox darf aus seiner Sandbox heraus auf (folgende) Ordner zugreifen (Ja, Nein, Nur einmal), darf auf Kamera Zugreifen (ja, Nein, Nur einmal), auf Bluetooth zugreifen (Ja, Nein, Nur einmal) usw.
Sprich ein Programm kann auch wenn es befallen wird oder vielleicht sogar an sich böswilligen Code enthält (solange nichts schief geht) nur in sich selbst schaden anrichten aber auf keine anderen Programme oder Ressourcen zugreifen.
1 „Gefällt mir“
Ich habe deinen Standpunkt so verstanden:
- Es spielt keine Rolle wie häufig 0-Day-Exploits entdeckt werden - auch wenn 40% aller 0-Day-Exploits modifizierte ältere Exploits sind.
- Es spielt keine Rolle wie viel Malware in freier Wildbahn existiert und auf diese 0-Day-Exploits setzen
- Wichtig ist, wie das Sicherheitskonzept aussieht
Warum das Sicherheitskonzept einen so hohen Stellenwert „genießt“, wenn es offenbar nicht greift bzw. nicht ausreichend greift erschließt sich mir nicht.
Warum auf etwas gesetze werden sollte, was in der Schusslinie steht und sich dadurch einem höheren Bedrohungsrisiko aussetzen, ist für mich nicht nachvollziehbar. Es wäre mMn sinnvoller, wenn man das Bedrohungsrisiko reduziert (sich also aus dieser Schusslinie entfernt) und eher alternativen wie Qubes OS verwendet.
An sich gebe ich dir da vollkommen Recht, aber ich denke wir sollten hier einmal die technische Sicherheit und die Situation mit den stärkeren Fokus von Angriffen auseinander halten.
Nun kommen wir zum obligatorischen Autovergleich eines jeden deutschen Forums.
Android ist ein Auto mir allem Sicherheitssystemen in der Großstadt und Linux ähnelt einem Auto ohne die Systeme in einer Kleinstadt.
Auch wenn das Auto mit den Sicherheitssystemen vermutlich eher in einen Unfall verwickelt wird, ist es das technisch sicherere Auto.
1 „Gefällt mir“
Interessant an Deiner Analogie ist:
Es ist schlau, sich in einer Kleinstadt mit Android zu „bewegen“ und fast eine Lebensversicherung.
Es ist dumm, sich in einer Großstadt mit Linux zu „bewegen“ und wird wahrscheinlich tödlich enden.
Hm … 
Also sollten wir alle Linux deinstallieren und zukünftig meiden, richtig?
1 „Gefällt mir“
Aus welchem Grund?
Nicht unbedingt, es gibt dutzende Autos ohne weitere Sicherheitssyme in Großstädten.
Aber eigentlich wollte ich damit darauf hinaus, dass der Großteil der Sicherheit von Linux als Desktopsystem nicht der Sicherheit des Systems sondern der geringen Verbreitung geschuldet ist.
Nö wieso?
Weil eine meiner zentralsten Fragen in Initialen Post war: „Linux hat einen ausgezeichneten Ruf was die Sicherheit angeht, wogegen Windows als extrem unsicher gewertet wird. Doch woran wird dies festgemacht, wäre Linux tatsächlich weniger anfällig wenn es so verbreitet wie Windows wäre?”
1 „Gefällt mir“
Ich finde die Auto-Analogie ja lustig, aber im Grunde haben wir das viel alltäglicher:
Ständig wird im Polizeibericht verkündet, welche Delikte im vergangenen Zeitraum extrem angestiegen sind.
Ist unsere Gesellschaft also krimineller geworden?
Nein:
Gleichzeitig wird von der Politik verkündet, daß (im selben Zeitraum) die Ermittlungsbehörden extrem aufgestockt wurden.
Es wurden ja bei gleicher Bevölkerungszahl mehr Delikte aufgeklärt. Darauf kommt es an.