[English]Unschöne Geschichte oder technische Notwendigkeit? In der Raspberry Pi-Community ist jedenfalls die Kacke am dampfen, nachdem ein Update des Raspbian-Betriebssystems heimlich ein Microsoft Repo installiert hat. Dieses löst bei jedem Update einen Ping auf einem Microsoft-Server aus.
Anzeige
Der Raspberry Pi ist ein kleiner Einplatinen-Computer, der von Bastlern gerne zum Erlernen des Programmierens und zum Erstellen von Projekten eingesetzt wird. Für die Platinen ist ein auf Debian basierendes modifiziertes Linux-Betriebssystem namens Raspbian verfügbar bzw. wird mitgeliefert. Daher ist das am meisten installierte Betriebssystem auf dem Raspberry Pi. Über nachfolgenden Tweet bin ich auf einen merkwürdigen Sachverhalt gestoßen.
Vivek Gite schreibt in diesem Artikel, dass mit einem kürzlich durchgeführten Update das Raspberry Pi OS ein Microsoft apt Repository auf allen Rechnern, auf denen Raspberry Pi OS läuft, ohne das Wissen der Person oder des Administrators, installiert habe . Jedes Mal, wenn ein Raspbian-Gerät mit diesem Repository aktualisiert wird, pingt es einen Microsoft-Server an.
Vivek Gite scheint es so, dass das Repo VS Code IDE für das Raspberry Pi-OS enthält. Da aber die Microsoft-Telemetrie einen schlechten Ruf in der Linux-Gemeinschaft hat, gab es bald ziemlichen Aufruhr im Raspberry Pi-Forum. Leider ist die Geschichte dann entgleist, denn die Admins des offiziellen Raspberry Pi-Forums haben die Themen-Threads schnell, mit der Behauptung, es sei "Microsoft-Bashing", gesperrt und gelöscht.
Anzeige
Es scheint, dass die RPi Foundation offiziell die MS IDE empfiehlt. Daher vermutet Gite, dass diese Microsoft IDE dem Raspberry Pi OS beigefügt wurde. Viele Power-User benutzen den Raspberry Pi als Git-Server oder Adblocker etc. Da gibt es dann sofort ein Vertrauensproblem, wenn unerwünschte Software-Repos konfiguriert und gpg-Schlüssel heimlich installiert werden.
Der Artikel von Vivek Gite enthält weitere Details (u.a., wie man das Ganze verifiziert) und Erklärungen für interessierte Leser. Ich würde mal sagen: Da ist eine Aktion (auch wenn es mutmaßlich ein inzwischen korrigierter Bug gewesen sein soll) ziemlich in die Hose gegangen – und da hier im Blog einige Leute schon mal angeben, einen Raspberry Pi zu verwenden, wollte ich euch dies nicht vorenthalten.
Anzeige
Das liest sich mal gar nicht gut, werd mal weiter gucken.
Danke für die Info.
Guten Morgen!
Bin auf Debian Stretch, hab schon vor einiger Zeit gewechselt, da war das Repo nicht mit bei.
Allen einen schönen Tag.
Boah, das ist sowas von ranzig. Ohne Vorwarnung und Notwendigkeit wird der Mist einfach mit installiert.
Und der Kommentar im Forum spricht dann ja auch Bände: "Thank you, everyone, for your feedback, this won't be changing because it makes the first experience for people who do want to use tools such as VSCode easier."
Meine deutsche Interpretation dazu: "Microsoft kam mit dicken Geldköfferchen vorbei und hat uns aufgekauft. Es geht uns völlig am Ar… vorbei, was ihr wollt. Wir sagen einfach, daß unbedarfte Neueinsteiger unbedingt Zugriff VSCode benötigen und nicht imstande sind – wie bei allem anderen – eigenständig Repos und gpg's zu importieren."
Kein Ding. Gibt auch andere SoC's. Mit der Mentalität gibt es von mir keinen einzigen Cent mehr. Jetzt muß ich erst mal meine RPi-Armada "bereinigen" und "desinfizieren"…
Herzlichen Dank, Günter, für die Info!
Wer Schiss vor Micrsoft hat, sollte auch kein Github mehr verwenden, das gehört denen auch.
Du hast den Sinn hinter den Beschwerden nicht verstanden. Hier agieren die Macher von Raspbian wie Malware/Trojaner: Es werden UNGEFRAGT nicht notwendige Repos mitsamt Sicherheitsschlüssel ungefragt, klammheimlich installiert. Das ist in der Linux-Welt einfach undenkbar, da man – egal wofür – die passende Repos selbst installiert.
Es ist nicht akzeptabel, daß für das große Microsoft hier eine Extra-Nummer geschoben wird. Der Shitstorm folgt zu recht. Der würde auch folgen, wenn es nicht Microsoft, sondern Cisco, Apple, Huawei, Walt Disney wäre.
@ 1ST1
[_] Du weisst was ein GPG-Key zum signieren von Paketen ist.
[_] Du weisst was es bedeutet, wenn jemand das auf dein System installiert.
[_] Dir ist der Unterschied zwischen Dienstleister und Code bekannt.
[X] Du wolltest dich ohne Hintergrundwissen mitteilen.
Beim nächsten mal lesen was Github ist, da sind viele Projekte die mit MS null zu tun haben. Absolut frei/libre, quelloffen und dem Linux-Gedanken entspringen.
Installiere doch mal meinen GPG-Key auf deinem System mit vollem Vetrauen. Na merkste selbst wo dein Fehler in dieser Denke ist?
Dass eine solche Geschichte bei einem Open-Source-OS schnell auffliegt, hätte den Machern von Raspbian eigentlich klar sein müssen.
Deshalb kann ich mir nicht vorstellen, dass sie dies mit Absicht getan haben könnten.
Dass dann ein Shitstorm über sie kommen würde, dürfte auf der Hand liegen.
Sollte es unabsichtlich geschehen sein, sollten sie das schnell und öffentlich kommunizieren.
Ich finde es grundsätzlich nicht gut, wenn etwas im Hintergrund, ohne Wissen und ohne vorher die Zustimmung des Benutzers eingeholt zu haben, eingeschleust wird. Vollkommen unabhängig davon, ob es sich um unbedenklichen Kram handelt.
Das gehört sich einfach nicht und es führt in der Tat zwangsläufig zu einem Vertrauensverlust.
> Deshalb kann ich mir nicht vorstellen, dass sie dies mit Absicht getan haben könnten.
Dem widerspricht aber der Umgang mit den Beschwerden darüber in den Foren.
Fehler passieren, keine Frage. Und auch in OS-projekten. ABER, dann sollte man damit professionell in Diskussion gehen und zur Aufklärung beitragen, statt einfach Threads zu schließen/löschen. Das zeugt nur von arschüberheblicher Selbstherrlichkeit. Offensichtlich waren die Geldkoffer dick genug. Vom Timing her hätte das nicht besser kommen können, hatte mir schon einen Pi400 auf die "Einkaufsliste" gesetzt gehabt, das Vorhaben wird nun erst mal ausgesetzt.
Na ja, bei allem Verständnis für die Empörung der Nutzer in den Foren, sollte man sich mit wüsten Beschimpfungen und üblen Beleidigungen doch zurückhalten. Ich hatte das mitverfolgt und gesehen, was dort zum Teil abgesondert wurde.
Das Schließen und Löschen solcher Threads und Kommentare ist nun mal die logische Konsequenz, die auf Kommentierungen auf solchem unterirdischen Niveau folgt. Das braucht sich kein Forenbetreiber bieten zu lassen.
Wenn es um die Art und Weise der Kommentierung geht, hast Du leider Recht. In der Sache wäre es dienlich gewesen, wenn es von den Mods kommuniziert worden wäre. Ich kenne es aus MS Answers, dass es einen Wiki-Beitrag oder gepinnten Post der Art "Das ist Sache" gibt, wo man drauf verweist. Dann kann man Threads zum Kommentieren schließen und einen Link setzen. Aber ich gebe dir Recht: Ist schwierig mit der Diskussionskultur, sehe ich gelegentlich selbst hier im Blog.
Wobei es hier aber wirklich noch gesittet zugeht.
@A.N. Da stehe ich auch noch vor – es kann, wird und soll unterschiedliche Positionen geben – solange es gesittet zugeht, möchte ich nicht eingreifen. Wenn es einreißt, verwarne ich. Es gibt nur sehr wenige Leute (kann ich an einer Hand abzählen), die ich sperren musste – weil Verwarnungen fruchtlos blieben.
Kommunikations- und Diskussionskultur reißen gefühlt immer mehr ein, oder?
Ich habe den Eindruck, viele "radikalisieren" sich, zumindest verbal. Dass man sich mal von anderen mit guten Argumenten überzeugen lässt oder auch nur zugesteht, dass es auf der anderen Seite positive Aspekte gibt bzw. nicht alles schwarz/weiß ist – leider nur sehr selten anzutreffen.
Das ist schon seit 20 Jahren in Foren der Fall. Keine Neuerscheinung. Jeder hat seinen Standpunkt, den er verteidigt und egal welche Argumente man vorbringt, man bellt sich eigentlich nur gegenseitig an.
Das Spiel wiederholt sich bei selben Themen dann fortwährend.
Ist ein Dauerläufer und für mich damals ein Grund gewesen aus dem "aktiven Forendienst" auszusteigen. Verschwendete Lebenszeit mit einer 5-6 stellen Anzahl hilfreicher Beiträge (kein Spam).
Hier habe ich jetzt meine Ersatzbefriedigung gefunden. Und wenn ich genervt bin, kommentiere ich einfach tagelang gar nichts. :D
Ein anonymer User "anon" schreibt am Feb 4, 2021 @ 17:21 als Kommentar unter dem Artikel von Vivek Gite )
> There's nothing secret about this despite this article's clickbaity title. The inclusion of the Microsoft Apt repos on lite server images was a bug. See this commit where the bug was introduced: https://github.com/raspberrypi/pico-project-generator/commit/75d4a56b22fb82b437ed00ad9582af42603057cf
>
> There's nothing secret there, it was 100% public. Furthermore, the bug was fixed 3 days ago as you can see here: https://github.com/raspberrypi/pico-project-generator/commit/a6e454696342984c236015fa9f22a7db635fd86e#diff-6c936ccf51a28154c16cf78e753d9d67fb655b29e6e7d01ca29b1f360d4a38ddL709
Macht es aber auch nicht besser. Wenn es ein Bug war, hätten die Forenmods das problemlos im Forum unter die Artikel schreiben können. Die Folgekommentare auf den Post von "anon" bringen es auf den Punkt. Wenn es offen kommuniziert worden wäre, hätte dies der Sache gedient, wobei ich mich frage, was VS-Code für eine IDE in einem Linux für den Raspberry Pi zu suchen hat?
Naja, VS Code ist schon wirklich gut. Das ist ein Source Code Editor, der sich mittels Plugins zu einer IDE für diverse Programmiersprachen erweitern läßt. Der kommt zwar von MS, ist aber komplett Open Source (MIT-Lizenz). Der Hauptentwickler ist Erich Gamma (Gang of Four), was ja schon für sich spricht. Weil VS Code Cross-Compiling-Fähig ist, genießt er auch unter Linux Developern hohes Ansehen.
Jetzt kommt das "aber": es gibt auch VSCodium – Binarys aus dem originalen MS-Quellcode, aber ohne "Ping nach Hause". Warum man die nicht vorinstalliert hat, ist rätselhaft. Vermutlich gibts kein fertiges Repository für die Updates…
Die MS-Paketliste und der zugehörige GPG-Schlüssel kommen durch das Paket raspberrypi-sys-mods, konkret durch das postinst-Skript: https://github.com/RPi-Distro/raspberrypi-sys-mods/blob/master/debian/raspberrypi-sys-mods.postinst
Diese Änderung wurde am 25. Januar eingepflegt. Siehe auch im offiziellen Raspi-Forum: https://web.archive.org/web/20210208113533/https://www.raspberrypi.org/forums/viewtopic.php?f=63&t=301011
Was hat nun pico-project-generator mit einer Änderung/Bugfix vom 21. Januar damit zu tun? Ich sehe den Zusammenhang nicht.
Grüße
@Fritz
Installiere doch meinen GPG-Key mit vollem Vertrauen auf deinen System mit Fernzugriff. Ich will auch mal meinen Code pushen können.
Wenn du jetzt noch nicht siehst wo dein Denkfehler ist, dann hilft nichts mehr.
Ist halt immer cool wenn Microsoft-only Nutzer in einem Linux-Artikel kommentieren und man sofort merkt, dass sie fachfremd sind.
Ist natürlich ein dickes Ding, was da passiert ist. Wer was alternatives nutzen möchte/will, dem kann ich dietpi empfehlen. Das basiert blank auf Debian, super einfache Installation und eine gute Community. Ich habe selbst seit vielen Jahren einen Raspi B+ damit in Betrieb.
https://dietpi.com/docs/
https://dietpi.com/
Dietpi ist wohl auch betroffen. Kam hier über Friendica rein, samt Schreenshot.
Wenn man da nicht basteln will bleiben Debian und Q4OS.
Danke dir, Friendica war/ist mir unbekannt. Kenne ich nicht.
Das ist ärgerlich und einer der Gründe warum ich weiterhin auf x86 setze. Da brauche ich keine fertigen Images von denen ich dann doch wieder nicht weiß was wirklich drin ist.
Ja ich weiß man könnnte auf dem Raspi auch selber Debian installieren aber manchmal möchte ich einfach nur das es funktioniert und nich stundenlang basteln.