Auge: Die xscreensaver-Eskalation

Beitrag lesen

Hallo

Mir gehen da noch ein paar Gedanken zum Vorgehen des Autors von xscreensaver (a.k.a. jwz) durch den Kopf.

Der Autor von xscreensaver beschwert sich, dass Debian eine uralte Version vertreibt, und zwar nicht, weil sie einfach nur alt ist: Er bekommt alle Nase lang Beschwerden von Benutzern wegen Fehlern, die teils seit Jahren behoben sind – darunter auch sicherheitskritische.

Falsch, zumindest teilweise. Der Autor von xscreensaver beschwert sich keineswegs darüber, dass speziell Debian eine uralte Version vertreibt, sondern dass überhaupt, von welchem Distributor auch immer, uralte Versionen vertrieben werden. Seine Aufregung ist erst einmal völlig unabhängig von Debian.

Seine Warnung setzt dabei am Alter der Version an.

Ich verstehe, dass jwz Bugmeldungen zu längst behobenen Fehlern leid ist. Ich verstehe auch, dass er die Nutzer seiner Software grundsätzlich darauf hinweisen möchte, dass sie veraltete Versionen benutzen und dass es Aufgabe ihrer Distributoren ist, Fehler zu beheben/Versionsstände anzuheben. Ich halte seine Methode aber nicht zielführend.

Wie gesagt, macht jwz den Status der Version an der seit ihrer Erstellung vergangenen Zeit fest. Sind seitdem eineinhalb Jahre vergangen, wird dem Benutzer beim Start des Screensaverprogramms die Warnmeldung angezeigt. Was aber, wenn diese eineinhalb Jahre alte Version, aus welchen Gründen auch immer, die Aktuellste ist? Was ist, wenn die Fixes für Fehler, die nach der Veröffentlichung der Version bekannt und behoben wurden, zurückportiert wurden, also der Grund, aus dem der Autor die Maßnahme ergriffen hat, wegfällt, die Warnmeldung also am Thema vorbeigeht?

Die Prüfung funktioniert mMn so, wie er sie eingebaut hat, schlecht. Es gibt nun mehrere Möglichkeiten.

  • Der Versions- und oder der Patchstand kann statt mit dem Versionsalter mit dem gegenwärtig möglichen Stand verglichen werden. Dazu müsste das Programm vermutlich nach Hause telefonieren. Das wird aber in den meisten Fällen vom Anwender unerwünscht sein (Ein Screensaver, der nach Hause telefoniert?).
  • Der Autor kann den Distributoren zutrauen, dass sie aktuelle Versionen bereitstellen oder Fehlerbehebungen zurückportieren. Das ist aber ganz offensichtlich nicht der Fall.
  • Die Distributoren entfernen den Warnhinweis. Dass jwz diese Überlegung mit scharfen Worten [1] angreift und auf sein Urheberrecht pocht, obwohl die von ihm gewählte Lizenz (GPL2) eine (und somit auch diese) Änderung zulässt, finde ich ein wenig komisch.
  • Die Software fliegt aus den Repos der Distributoren raus.

Tschö, Auge

--
Wir hören immer wieder, dass Regierungscomputer gehackt wurden. Ich denke, man sollte die Sicherheit seiner Daten nicht Regierungen anvertrauen.
Jan Koum, Mitgründer von WhatsApp, im Heise.de-Interview

  1. Der Tonfall, in dem Teile der Diskussion (von beiden Seiten) in der Debian-Mailingliste ausgetragen wurden, fand ich regelrecht erschreckend. Dagegen sind wir hier bei allen™ hier auftretenden Eskalationen der prototypische Kindergarten. Das soll nicht heißen, dass ich alles, was hier passiert, gut heiße (auch nicht alles, was ich schreibe (zumindest im Nachhinein). ↩︎