# Adobe! find ich gut!

## marc

http://www.pro-linux.de/news/2005/7974.html

Erbärmlich. 

Raus aus dem Portage damit. Was ist das nächste? Trojaner?

----------

## Voltago

Ach was, das ist mit ein bißchen LD_PRELOAD-magic sicher ganz schnell ausgehebelt. Aber ein bißchen unverschämt isses ja schon (wenn's kein April-Scherz ist).

----------

## Mr. Anderson

Das Ding ist im Portage Tree?

 *Voltago wrote:*   

> Ach was, das ist mit ein bißchen LD_PRELOAD-magic sicher ganz schnell ausgehebelt.

 

Macht das einen Unterschied? Nicht alle User wissen davon und es ist ja eine grundsätzliche Frage. Hat man das eine ausgeschaltet, wird man bei Adobe andere Wege suchen.

----------

## marc

 *Mr.Anderson wrote:*   

> Das Ding ist im Portage Tree? 

 

http://packages.gentoo.org/search/?sstring=adobe

 *Mr.Anderson wrote:*   

> Macht das einen Unterschied? Nicht alle User wissen davon und es ist ja eine grundsätzliche Frage.

 

Genau so sehe ich das auch.

Leider benutze auch einen Closed Source Treiber von NVidia. Wenn da was passiert bin ich auch selber schuld.

Ist schon traurig das alles.

----------

## Aldo

 *Quote:*   

> Ach was, das ist mit ein bißchen LD_PRELOAD-magic sicher ganz schnell ausgehebelt.

 

Ähem, das heißt?

Ganz großes Fragezeichen...

----------

## Voltago

 *Aldo wrote:*   

>  *Quote:*   Ach was, das ist mit ein bißchen LD_PRELOAD-magic sicher ganz schnell ausgehebelt. 
> 
> Ähem, das heißt?
> 
> Ganz großes Fragezeichen...

 

Falls sich der Adobe Reader für seine Spyware-Aktionen auf irgendwelche externen Bibliotheken verläßt, kann man die Funktionsaufrufe per LD_PRELOAD an eigene, spezielle Bibliotheken umleiten. Allerdings kann der Softwarehersteller das relativ leicht wieder umgehen, indem er nämlich fragliche Bibliotheken statisch einbindet solange das deren Lizenz zulässt. Also mit Apache-Libs kann man es machen, mit LGPL-Libs nicht.

Aber ich seh's ja ein, LD_PRELOAD ist nicht die ideale Lösung, weder technisch noch politisch.

----------

## ChrisJumper

Hmmm,

dieser Artikel... so wie ich den verstanden hab hat dort eine Firma, ihren Kunden angeboten PDF-Dokumente mit dieser "Funktion" auszustatten. Und das hat funktioniert. Und Adobe kann doch nichts dafür..?

Hier kommt es aber so rüber als habe Adobe diese "Spy-Effekt" eingebaut..?

----------

## Aldo

@Voltago

Danke, wieder was dazugelernt...

----------

## Genone

Also so wie ich diesen Artikel verstehe ist das keine Funktion des Acrobat Readers sondern schlicht und durch die JavaScript Integration möglich. Insofern müsste man also wohl auch so ziemlich alle Browser aus dem Portage Tree nehmen, die können schliesslich auch JavaScript in HTML Seiten ausführen  :Twisted Evil: 

Das eigentliche Problem ist wohl eher dass die meisten Leute (mich eingeschlossen) bislang nicht wussten, dass PDFs neuerdings anscheinend auch JavaScript enhalten können.

----------

## Mr. Anderson

 *ChrisJumper wrote:*   

> Hmmm,
> 
> dieser Artikel... so wie ich den verstanden hab hat dort eine Firma, ihren Kunden angeboten PDF-Dokumente mit dieser "Funktion" auszustatten. Und das hat funktioniert. Und Adobe kann doch nichts dafür..?
> 
> Hier kommt es aber so rüber als habe Adobe diese "Spy-Effekt" eingebaut..?

 

Also Mal angenommen, der Artikel stimmt.

Es ist erst durch Adobe möglich, Dokumente entsprechend auszurüsten. Und einen anderen sinnvollen Einsatz kann ich mir da auch nicht vorstellen. Wozu sollte ein statisches Text-Dokument wie pdf etwas aus dem Netz wollen?

Sieht so aus, als fehlen uns einige Informationen, um ein klares Bild zu bekommen...

----------

## pablo_supertux

 *Genone wrote:*   

> Also so wie ich diesen Artikel verstehe ist das keine Funktion des Acrobat Readers sondern schlicht und durch die JavaScript Integration möglich. Insofern müsste man also wohl auch so ziemlich alle Browser aus dem Portage Tree nehmen, die können schliesslich auch JavaScript in HTML Seiten ausführen 
> 
> Das eigentliche Problem ist wohl eher dass die meisten Leute (mich eingeschlossen) bislang nicht wussten, dass PDFs neuerdings anscheinend auch JavaScript enhalten können.

 

So wie ich es verstanden habe, ist das auch kein Javascript Problem, sondern ein Plugin kümmert sich darum. Dort steht es nämlich, wenn man das Plugin Verzeichnis unbenennt, dann triift das nicht mehr auf. Insofern wäre vielleicht nur möglich, ein Patch zu stellen oder von ebuild aus dieses Plugin zu löschen, nachdem alles installiert ist. Man könnte eine USE Flags dafür verwenden. Deshalb finde ich no need to drop the ebuild  :Smile: 

----------

## Freiburg

Man sollte solche Firmen nicht noch unterstützen, auch wenn sich die Fraglichen Funktionen entfernen lassen. Sonst passiert es ganz schnell das man sich mit der ganzen Spyware beschäftigen muß. 

Wehret den Anfängen!

----------

## sirro

 *pablo_supertux wrote:*   

> So wie ich es verstanden habe, ist das auch kein Javascript Problem, sondern ein Plugin kümmert sich darum. Dort steht es nämlich, wenn man das Plugin Verzeichnis unbenennt, dann triift das nicht mehr auf.

 

Ja ist klar, weil dann das Script-Plugin nichtmehr geladen wird.

Aber dann gehen auch AFAIK die Forms nichtmehr und schon ist der grosse Vorteil des Acrobat Readers ueber den Jordan gegangen.  :Wink: 

----------

## ChrisM87

Hi,

ich find auch, dass der Adobe komplett aus Portage raus sollte, wenn sich Adobe schon sowas leistet.

Die freien Alternativen wie KPDF reichen ohnehin für einen Großteil der PDFs vollkommen aus.

ChrisM

----------

## sirro

 *ChrisM87 wrote:*   

> ich find auch, dass der Adobe komplett aus Portage raus sollte, wenn sich Adobe schon sowas leistet.

 

Warum ist man hier so schnell dabei und sagt, dass das Teil ganz raus soll? Kommt mal runter, wenn man das Problem wirklich als kritisch ansieht, dann waere hart Maskieren z.B. eine Alternative.

Wobei ich das Problem noch immer nicht sehe. Aktive Inhalte wie Java-Script bieten doch schon im Prinzip ein Sicherheitsrisiko und keiner kommt auf die Idee Browser oder das Flash-Plugin zu verbieten weil damit potentiell etwas moeglich ist. (Soweit ich weiss kann Flash ja auch Netzwerkverbindungen aufbauen)

Wer Angst vor Binary-only-Paketen hat, der sollte diese Lizenzen ausfiltern. IMO kann es genausogut Spyware in Open-Source-Software geben, gerade bei kleineren Projekten. Den OSS-Hype habe ich noch nie verstanden und nutze weiterhin froehlich meinen Opera  :Smile: 

----------

## ChrisM87

Hi,

normales Javascript bietet überhaupt kein Sicherheitsrisiko, sondern ist bei einer guten Implementierung absolut sicher.

Na gut, ich werde den Acrobat Reader sowieso unter Linux nicht einsetzen, insofern kann mir das egal sein.

ChrisM

----------

## Carlo

 *sirro wrote:*   

> Wobei ich das Problem noch immer nicht sehe. Aktive Inhalte wie Java-Script bieten doch schon im Prinzip ein Sicherheitsrisiko und keiner kommt auf die Idee Browser oder das Flash-Plugin zu verbieten weil damit potentiell etwas moeglich ist. (Soweit ich weiss kann Flash ja auch Netzwerkverbindungen aufbauen)

 

So ist es. Auch mir geht Code, der unbekannten Modulen wesentliche Operationen auf meinem Rechner erlaubt oder gar mein Anwendungsverhalten kontrolliert, gegen den Strich. Insbesondere das Flash-Plugin ist als kritisch anzusehen. Deswegen den Acrobat Reader nicht in Portage zu führen, hieße, neben Flash z.B. auch alle Blizzard/Steam Spiele und was sonst noch zu entfernen. 

Jedes Ebuild hat die Lizenz vermerkt. Die kann man lesen und selber entscheiden!

----------

## sirro

 *ChrisM87 wrote:*   

> normales Javascript bietet überhaupt kein Sicherheitsrisiko, sondern ist bei einer guten Implementierung absolut sicher.

 

Gibt es 100% sichere Implementierungen von JScript? Wie war das noch? Software ist immer unsicher?

Ich kann mir nicht so ganz vorstellen, dass dieses Verhalten von Adobe so gewollt ist. Es koennte auch ein Implementierungsfehler sein.

 *ChrisM87 wrote:*   

> Na gut, ich werde den Acrobat Reader sowieso unter Linux nicht einsetzen, insofern kann mir das egal sein.

 

Eben, da es genug Alternativen gibt kann jeder waehlen. Sollte diese Problem bestehen bleiben ist natuerlich ein Hinweis im ebuild das mindeste, auch eine maskierung koennte ich verstehen. Aber ein Programm wegen einer Sicherheitproblematik aus dem Tree zu schmeissen halte ich fuer falsch (hat man ja mit RealOne auch nicht gemacht)

Und das mit dem Lizenzen-filtern geht wirklich. Da gabs mal ein Tool zu

EDIT: 2 gefunden

http://gentooexperimental.org/script/repo/show/56

http://gentooexperimental.org/script/repo/show/57

Fuer genones tool habe ich auch mal eine kleine Liste erstellt:

https://forums.gentoo.org/viewtopic-p-1357216.html#1357216

----------

## pablo_supertux

 *ChrisM87 wrote:*   

> 
> 
> normales Javascript bietet überhaupt kein Sicherheitsrisiko, sondern ist bei einer guten Implementierung absolut sicher.
> 
> 

 

das hast du falsch verstanden.

Ich bin kein Anhänger von Javascript, ich hasse es und hab immer deaktiviert. Aber die Rede war nicht, dass Javascript ein Sicherheitsrisiko darstellen würde. Es sind die Skripte, die gefährlich sind. Was wir aus dem portage herausfiltern müssen, sind solche Plugins, nicht das ganze Programm, denn dort stand niergends, dass das eine Adobe Entwicklung sei.

Mit euren Argumenten sollte Opera, Firefox, Mozilla, Kde, gnome usw alles rausfliegen, was Javascript ausführen können.

----------

## andi_s

gibt es unter linux denn keine firewall, die einen per popup warnt, wenn bestimmte programme/prozesse etwas an die aussenwelt senden wollen  :Question: 

unter windows ist eine derartige firewall (neben einer firewall im router) jedenfalls ein MUSS, da jedes 3te programm das versucht... unter linux scheints jetzt ja wohl langsam auch loszugehen )-:

----------

## tuxophil

 *andi_s wrote:*   

> gibt es unter linux denn keine firewall, die einen per popup warnt, wenn bestimmte programme/prozesse etwas an die aussenwelt senden wollen 
> 
> unter windows ist eine derartige firewall (neben einer firewall im router) jedenfalls ein MUSS, da jedes 3te programm das versucht... unter linux scheints jetzt ja wohl langsam auch loszugehen )-:

 

Habe ich gerade erst gefunden: TuxGuardian.

----------

## andi_s

 *tuxophil wrote:*   

>  *andi_s wrote:*   gibt es unter linux denn keine firewall, die einen per popup warnt, wenn bestimmte programme/prozesse etwas an die aussenwelt senden wollen 
> 
> unter windows ist eine derartige firewall (neben einer firewall im router) jedenfalls ein MUSS, da jedes 3te programm das versucht... unter linux scheints jetzt ja wohl langsam auch loszugehen )-: 
> 
> Habe ich gerade erst gefunden: TuxGuardian.

 

was auf der site steht klingt ja ganz gut, aber 1. bin ich zu zeit leider auf kernel 2.6.9 angewiesen (treiberprobleme mit >2.6.9) und leider gibts dafuer scheinbar auch noch kein ebuild (duerfte zwar kein problem sein das einfach selbst zu kompilieren, aber ebuilds sind bequemer, also wer zuviel zeit hat  :Wink:  - werde mir das teil jedenfalls mal notieren und sobald ich >2.6.9 am laufen habe es mal testen...

----------

## marc

Das es aus Portage raus soll war nur so daher gesagt. Wäre auch unsinnig alles was einem nicht passt aus Portage raus zu schmeissen.

Dann können wir ja gleich wieder mit 

./configure 

make

su -c make install

anfangen zu installieren.

Zum Glück darf ja jeder nutzen was er will.

----------

