Flatpak und Snap sind nicht die Lösung des Problems, sondern machen es noch schlimmer

Im Moment wird heftig darüber diskutiert, ob der Support von Flatpak in Fedora 27 weiter ausgebaut werden soll oder nicht.

Ich persönlich halte Flatpak und Snap für den völlig falschen Ansatz, das Problem mit der Bereitstellung von Software für verschiedene Distributionen zu lösen. Beide haben in meinen Augen das große Problem, das im Grunde jedes Snap-/Flatpak-Paket seine eigenen Versionen von benötigten Shared-Objects mitbringt und man damit irgendwann so etwas ähnliches, wie die DLL-Hölle von Windows hat: zig verschiedene Versionen eines Shared-Object von denen die meisten im schlimmsten Fall auch noch verwundbar für Angriffe sind.

Zumal die meisten technisch unbedarften Anwender wahrscheinlich davon ausgehen werden, das der Paketmanager des Systems (z.B. dnf oder PackageKit) auch die Shared-Objects der Flatpak-Pakete aktualisiert, was aber eben genau nicht der Fall ist. Stattdessen müssen sich die Nutzer darauf verlassen, das die Anbieter der von ihnen verwendeten Flatpaks/Snaps verwundbare Versionen der von ihren Apps verwendeten Shared-Object zeitnah aktualisieren – eine Wette, die ich persönlich nicht eingehen möchte. Das funktioniert ja schon bei Windows Anwendungen eher bescheiden, warum sollte es dann diesmal besser klappen?

Nein, Flatpak und Snap sind in meinen Augen das, was man sprichwörtlich „den Teufel mit dem Beelzebub austreiben“ nennt: ein Problem lösen und dabei ein anderes Problem schaffen. Man macht es einfacher, Anwendungen für verschiedene Distributionen bereit zu stellen, öffnet damit aber ohne Not zusätzliche Angriffsvektoren, indem man dem Paketmanager die Kontrolle über einen Teil der installierten Software entreißt und die Anwender damit zwingt darauf zu vertrauen, das Dritte – von denen man im Grunde nicht weiß, wie vertrauenswürdig sie sind – ihre Hausaufgaben machen!

IMHO ist der Kommentar von Fedora-Blog.de.
IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Gnome Wetter: Braucht das noch wer, oder kann das weg?

Gnome Wetter ist im Prinzip eine ganz nützliche App, die einem das Wetter an verschiedenen Orten anzeigen kann. Nur blöderweise ist sie durch die de-facto fest codierten Wetterstationen der glibweather wahrscheinlich für viele Menschen kaum zu gebrauchen, wenn es darum geht, die Wettervorhersage für den eigenen Wohnort abzurufen.

Ich mache das mal an meinem Beispiel etwas deutlicher: Ich wohne in Coburg, einer Stadt mit circa 40.000 Einwohnern. Die einzigen Wetterstationen in der Nähe, die Gnome Wetter kennt, sind Nürnberg, Würzburg und Hof. Alle 3 Städte sind aber mindestens 100 Kilometer entfernt, womit die dortigen Wetterdaten für mich unbrauchbar sind. Und da die Entwickler der glibweather nur Städte mit mindestens 100.000 Einwohnern in die Liste aufnehmen wollen, schaut man in den ländlichen Regionen oft in die Röhre, da es in diesen Regionen kaum Städte gibt, die diese Anforderung erfüllen.

IMHO ist der Kommentar von Fedora-Blog.de.
IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Chromium ist (momentan) ein Sicherheitsrisiko!

Die Chromium-Pakete aus den Fedora Repositories sind zur Zeit ein echtes Sicherheitsrisiko, da sie vor über einem Monat zuletzt aktualisiert wurden. In der Zwischenzeit hat Google eine neue Version (55) seines Browsers Chrome (der auf Chromium basiert) veröffentlicht, in der unter anderem auch Sicherheitsprobleme beseitigt wurde.

Da die Chromium-Version 54 aus den Fedora Repositories diese Sicherheitskorrekturen allem Anschein nach nicht enthält, kann man momentan nur davon abraten, Chromium aus den Fedora Repositories zu installieren. Wer jedoch nicht auf Chromium verzichten möchte, kann entweder bei COPR schauen, ob dort jemand eine aktuellere Version anbietet oder gleich zu Chrome wechseln, bis die Chromium Pakete wieder auf einem aktuellen Stand sind.

Sorry, aber wer einen Browser wie Chromium, der eine gewisse Popularität hat, in die Fedora Repositories bringt, von dem darf man dann auch erwarten, das er Upstream-Updates zeitnah in Form von aktualisierten Paketen weiterreicht.

Und es kann auch nicht sein, das man einen Bugzilla-Report aufmachen muss, um dem Paketbetreuer daran zu erinnern, seine Pakete aktuell zu halten. Entweder man kümmert sich als Paketbetreuer gewissenhaft um die Pakete, die man betreut, oder man lässt es bleiben und gibt die Betreuung der Pakete ab.

IMHO ist der Kommentar von Fedora-Blog.de.
IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Fedora und veraltete Software

Irgendwann vor 8 oder mehr Jahren wollte man mit dem Echo Icon-Theme Fedora ein eigenes Icon-Theme spendieren, damit sich Fedora noch ein wenig mehr von anderen Distributionen abhebt. Immerhin ist das derzeitige Fedora Icon-Theme im grunde nur eine Erweiterung des Mist Icon-Themes. Wie so oft bei solch ambitionierten Projekten schlief die ganze Sache aber irgendwann ein und somit dümpelt Echo seit fast 8 Jahren ohne Update als Zombie in den Repositories herum. Das dieses Theme wohl kaum mit aktuellen Versionen von Gnome, KDE, Xfce und Co vernünftig zu nutzen ist, dürfte wohl jedem einleuchten.

Ich frage mich jedoch, ob es wirklich sein muss, das solche Zombies jahrelang in den Fedora Repositories herumdümpeln, obwohl das Upstream Projekt inzwischen tot ist. Solange sich die Pakete ohne Fehler bauen lassen hat sie vom Fedora Projekt natürlich auch niemand auf dem Radar – wahrscheinlich nicht einmal mehr die eigentlichen Maintainer. Lassen sie sich irgendwann nicht mehr bauen, fliegen sie halt nach einer gewissen Zeit aus Fedora raus und fertig.

Wie wäre es jedoch, wenn man Pakete, die z.B. seit mehr als 2 Jahren nicht mehr aktualisiert wurden und alle Pakete, die von diesen abhängig sind, in ein standardmäßig deaktiviertes Legacy-Repository verschieben würde? Die Pakete, die sich in diesem Repository befinden würden der Einfachheit halber nur noch im Ramen des Massrebuilds vor jedem neuen Fedora-Release neu gebaut werden. Schlägt der Rebuild jedoch fehl, fliegt das Paket mitsamt seinen Abhängigkeiten mangels Paket für die betreffende Fedora-Version quasi automatisch aus der Distribution.

Das würde die Haupt-Repositories von Fedora übersichtlicher halten und man müsste sich nicht mehr mit veralteten Paketen herum ärgern, die sich zwar noch problemlos bauen lassen, aber (wie beispielsweise Themes) mittlerweile einfach nicht mehr vernünftig funktionieren.

IMHO ist der Kommentar von Fedora-Blog.de.
IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Erste Eindrücke von Fedora 24

Ich bin jetzt seit einigen Tagen mit Fedora 24 unterwegs und von einigen Abstürzen hier und da, die aber wohl eher auf den Alpha-Status zurück zu führen sind, läuft das System bereits jetzt erstaunlich rund.

Das Upgrade auf Fedora 24 habe ich diesmal nicht wie bisher mittels dnf distro-sync, sondern mittels dnf system-upgrade gemacht. Das ganze lief wie zu erwarten extrem geschmeidig und ohne irgendwelche Probleme ab: Zuerst hat dnf die benötigten Pakete heruntergeladen und lokal zwischengespeichert. Anschließend wurde das System in den selben Modus, der auch für Offline-Updates verwendet wird, gebootet und das eigentliche Upgrade wurde durchgeführt. Nachdem alle neuen Pakete installiert waren, wurde das System neu gestartet und das war es dann.

Allerdings scheint es im Kernel 4.5 von Fedora 24 einen Bug zu geben, der dafür sorgt, das die Akku-Anzeige nicht mehr korrekt funktioniert. Würde es nach der Anzeige gehen, wäre der Akku permanent vollständig geladen, was ein absoluter Traum wäre 😉 Somit muss notgedrungen wohl bis dieser Bug gefixt ist, weiter den Kernel 4.4.5 von Fedora 23 nutzen.

Auch das seit gestern verfügbare Gnome 3.20 macht, wie auch schon die letzten 3.19er Releases, einen sehr guten Eindruck. Besonders gefällt mir, das sich Mediaplayer (sofern sie MPRIS2 unterstützen) direkt aus den Benachrichtigungen heraus steuern lassen.

Ein besonderes Schmuckstück ist aber auch das neue Hintergrundbild von Fedora 24. Im Vergleich dazu wirkt das Hintergrundbild von Fedora 23 schon fast langweilig:

Das neue Hintergrundbild von Fedora 24

Nichts desto trotz würde ich momentan noch davon abraten, das Upgrade auf Fedora 24 zu machen, es sei denn, man weiß, was man tut und kann das System zur Not auch mal über die Konsole wieder zum Leben erwecken. Alle anderen sollten noch mindestens bis zur Beta warten. Bis dahin sollte sich der meiste Staub gelegt haben und die gröbsten Ecken und Kanten sollten beseitigt sein.

IMHO ist der Kommentar von Fedora-Blog.de.
IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Habt Ihr noch alle Latten am Zaun?!? (Rant) [Nachtrag]

Bei FESCO existiert momentan ein (stark ideologisch geprägtes) Ticket, das aufgrund Mozillas Addon-Signierung erstellt wurde und diese u.a. als „DRM“ verunglimpft.

Der Autor des Tickets möchte erreichen, das alle Updates für Firefox so lange von FESCO blockiert werden, bis es wieder möglich ist, die Addon-Signierung zu deaktivieren, da es ansonsten nicht mehr möglich ist, Firefox-Addons aus den Fedora Repositories zu installieren. Als Ultima-Ratio schlägt der Autor vor, einen ähnlichen Weg wie Debian zu gehen und zukünftig eine modifizierte Version von Firefox unter anderem Namen auszuliefern.

Um ganz ehrlich zu sein, fällt mir dazu nur eine Frage ein

Ja habt Ihr noch alle Latten am Zaun?!?

Wie lange ist denn jetzt schon bekannt, das Mozilla eine strikte Addon-Signierung (BTW: Chrome/Chromium geht da einen noch restriktiveren Weg) einführen möchte? Und wie lange ist bekannt, wie der Fahrplan dazu aussehen soll?

Jetzt zu kommen und zu jammern, das Mozilla böse ist, weil deren böse Addon-Signierung keine Installation von Addons aus den Fedora Repositories mehr erlaubt, hat was von der bekannte Schüler-Ausrede

Herr Lehrer, ich konnte meine Hausaufgaben nicht machen, weil unsere Katze auf mein Heft gekotzt hat.

Nur weil Ihr den Arsch nicht rechtzeitig hoch bekommen habt, um mit Mozilla einen Weg zu finden, die globale Installation von Addons aus den Fedora-Repositories weiterhin zu ermöglichen, ist Mozilla jetzt der Böse?

Interessanter wäre ja fast noch die Frage, wie oft dieses „Feature“ überhaupt genutzt wird, bevor man so ein Fass aufmacht.

Und nein, anders als auf der Desktop-Liste behauptet, ist Epiphany (zumindest für Power-User) absolut keine Alternative zu Firefox oder Chrome. Das Ding taugt aller höchstens als kastrierter Zweitbrowser.

Nachtrag: Ich habe mal nachgeschaut, wie viele paketierte Erweiterungen es bei Fedora überhaupt gibt: sage und schreibe 5 – in Worten fünf! Und dafür dieser ganze Zirkus? Wegen lumpiger 5 Addons? Ihr habt echt Probleme!

IMHO ist der Kommentar von Fedora-Blog.de.
IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Empathy ist so gut wie überflüssig!

Braucht man als GNOME-Nutzer eigentlich noch einen standalone Chat-Client wie Empathy?

Ich behaupte mal, das die einzige Daseinsberechtigung von Empathy eigentlich nur noch die Buddylist der eigenen Chat-Kontakte ist. Für IRC gibt es mit Polari einen reinrassigen Client, der sich deutlich besser in die GNOME-Shell integriert und dank der Chat Status Extension ist der eigene Online-Status nur noch einen Mausklick entfernt und man braucht Empathy eigentlich nur dann zu starten, wenn man selber eine Konversation starten will. Auf Nachrichten anderer kann man schon seit GNOME 3.0 relativ bequem aus der GNOME-Shell heraus antworten.

Wenn es also jemand hinbekommen würde, die Buddylist z.B. als Extension direkt und ohne Abhängigkeiten zu Empathy in die GNOME-Shell zu integrieren, dann könne man sich bei Empathy ernsthaft fragen:

braucht das noch wer – oder kann das weg?

IMHO ist der Kommentar von Fedora-Blog.de.
IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).