Software nur von der Herstellerseite beziehen?

Zitat von TmoWizard

Nicht wirklich, sieh dir mal meinen entsprechenden Link zu Firefox 21 an! Also wie war das mit dem SDK und der entsprechenden API? Das war 2013, also voriges Jahr.

Wenn du schon mit etwas argumentierst und das auch noch mit Fett- sowie Kursivschrift für mich hervorhebst, dann solltest du aber selbst wissen, was das bedeutet. Da liegst du nämlich falsch. Das SDK ist bereits so alt wie ich es gesagt habe, es wurde mit Firefox 4 eingeführt. "Integrated add-on SDK loader and API libraries into Firefox" bedeutet, dass die APIs direkt mit Firefox mitgeliefert werden. Vorher musste jedes Add-on die verwendeten APIs selbst mitliefern, das ist seit Firefox 21 nicht mehr notwendig, weil sie bereits in Firefox integriert sind. Für die Entwicklung der Add-ons macht das überhaupt keinen Unterschied, nicht eine einzige Sache hat sich für Entwickler dadurch geändert und auf die Kompatibilität hatte das schon gar keine Auswirkungen, abgesehen davon, dass Firefox 21 vorausgesetzt wird für Add-ons, die ohne mitglieferte APIs daherkommen. Die einzige wirklich spürbare Konsequenz daraus ist, dass mit dem SDK erstellte Add-ons seit dem wesentlich kleiner sind als vorher.

Das verbirgt sich hinter dem, wenn in meinen Add-ons im Changelog, zum Beispiel bei https://addons.mozilla.org/de/firefox/add…board/versions/, steht:

"Liefere Erweiterung ohne SDK-APIs aus. Reduzierung der Dateigröße von 197KB auf 14KB. Erfordert mindestens Firefox 21."

Das war Version 2.1.2 vom Juli 2013. Also wie man schon an der Versionsnummer erkennt, war das SDK da absolut nicht neu, da gab es bereits die 14. Version (!) des SDKs. Die erste Version dieses SDK basierten Add-ons erschien im Februar 2012. Du findest auf AMO auch was aus dem Jahr 2011 von mir, auf dem Add-on SDK basierend.

Zitat von TmoWizard

Die Seite kenne ich bereits, aber irgendwie ist das so für mich nicht in Ordnung! Wenn ich das Add-on offiziell bei AMO anbiete dann nur, wenn es mit allen mir zur Verfügung stehenden Systemen funktioniert, also verschiedene Versionen von Linux und Windows. Das ist derzeit nicht der Fall, also hat sich AMO im Moment für mich erledigt.

Also ohne nachvollziehbaren Grund, du willst halt nicht. Muss man so akzeptieren.

Zitat von TmoWizard

Da fällt mir gerade ein: Kann man OS X auch so irgendwo offiziell downloaden und dann in einer VM wie Virtual Box installieren? Das wäre eventuell auch nützlich für die weitere Entwicklung von clamdrib, da ich selbst das ja gar nicht testen kann!

Die Lizenzbestimmungen erlauben die Installation nur auf Apple-Hardware, alles andere ist gemäß EULA nicht legal. Auf einem Mac-Computer dürftest du OS X auch in einer virtuellen Maschine ausführen, auf einem PC nicht. Inwieweit die Bestimmungen nach unserem Rechtssystem zulässig sind, kann ich nicht beurteilen, bei sowas gibt es ja häufig auch eine Diskrepanz zwischen Hersteller-Bestimmungen und geltendem Recht. Allerdings düfte es schwierig bis unmöglich sein, ohne Apple-Hardware OS X zu erwerben, das wird nicht auf Datenträgern ausgeliefert.

Aber nicht für Firefox Add-ons! Was Heise online stellt, das kommt doch nicht zwangsläufig von AMO, sprich die Mozilla-Überprüfung kann hier vollständig fehlen und es sich um ganz andere Versionen handeln, das ist demnach keine zusätzliche Überprüfung, bei Heise hast du absolut null Gewissheit darüber. Und deren Überprüfung ist nicht wirklich relevant. Vielleicht überprüfen die auf Schadsoftware, toll, aber darum geht es doch bei AMO überhaupt nicht, das ist nur ein Teil der Überprüfung, die Mozilla vornimmt. Bei Add-ons auf AMO wurde vorher zusätzlich a) die Funktionalität überprüft und ob irgendetwas gegen die Mozilla-Richtlinien verstößt, was Heise ganz sicher nicht prüft, b) wird der Code der Erweiterung auf Kompatibilitätsprobleme analysiert, was Heise ganz sicher auch nicht macht und c) wird der Code der Erweiterung auf Sicherheits-Aspekte hin überprüft, was Heise ebenfalls ganz sicher nicht macht. Mozilla hat einen ziemlich hohen Sicherheits-Standard, was Add-ons betrifft, und erlaubt ein paar Dinge nicht, die Google beispielsweise für Chrome erlaubt, zum Beispiel das Einbinden von JavaScript vom einem Server. Okay in Chrome, ein No-Go in Firefox Add-ons. Das prüft Heise definitiv nicht. Dass das überprüft wurde, das garantiert dir nur AMO.

Vertrauen in Heise schön und gut, aber in deren Downloadbereich sind oft genug völlig veraltete Versionen zu finden! Einerseits soll man das System und alle Anwendung auf dem neuesten Stand halten, um dann andererseits Sicherheitslücken über Drittanbieter zu installieren. Folglich Software immer vom Hersteller beziehen, damit man auch wirklich die aktuellste Version hat!

AMO ist wieder eine andere Geschichte, denn dort sind im Allgemeinen immer die aktuellsten Versionen der Add-ons zu finden, nur eben noch zusätzlich vom Mozilla auf Herz und Nieren geprüft! Immerhin laden dort ja die Hersteller selbst ihre Add-ons hoch, also sollte das schon in Ordnung sein. Viele Add-ons bekommt man sowieso nur bei AMO, da der oder die Entwickler gar keine andere Möglichkeit haben!

Zitat von Sören Hentzschel

... zum Beispiel das Einbinden von JavaScript vom einem Server. Okay in Chrome, ein No-Go in Firefox Add-ons. Das prüft Heise definitiv nicht. Dass das überprüft wurde, das garantiert dir nur AMO.

Hier kommen wir nun an einen Punkt, der sich mit der ganzen Sache beißt: Solche Add-ons gibt es tatsächlich, aber eben nur beim Entwickler! Vertraue ich nun diesem oder doch lieber Mozilla, welche solche Add-ons gar nicht erlauben? In dem Fall ist mir dann doch die Meinung von Mozilla wichtiger, aber da scheiden sich wohl die Geister!

Zitat von Sören Hentzschel

Die Lizenzbestimmungen erlauben die Installation nur auf Apple-Hardware, alles andere ist gemäß EULA nicht legal.

Dazu gerade bei Heise gelesen Mac OS X 10.10: Apple veröffentlicht Darwin-Quellcode. Damit kann man OS X ja selber bauen.
Einen Hinderungsgrund für eine Nutzung werden immer noch die Apple-ROMs darstellen, denn die sind immer noch geschützt, damit man keinen MAC nachbauen kann / darf.

Mahlzeit... oder so!

Nur zur Info: Zum Thema clamdrib geht es nun hier weiter, da das ja ein Add-on für Thunderbird und "SeaMonkey Mail & Newsgroups" ist!

Noch einiges zu ClamAV:

Zitat von Bernd.

... weil es zum einen nur on-demand bietet und die realtime-Erweiterung auch schon 8 oder 9 Jahre veraltet ist.

Das gilt für ClamAV selbst und ClamWin, aber nicht für Immunet (hier oder hier). Gerade Immunet ist sogar sehr gut, da er auch die Engine von sehr vielen anderen Virenscannern mit verwenden kann! Norton soll ja sehr gut sein, aber durch den anderen mit installierten und aktivierten Schlonz das ganze System bremsen. Also den ganzen Unfug abschalten und die Engine von Norton mit Immunet benutzen. :mrgreen: Das geht angeblich mit Norton, McAfee, AVIRA, Avast, Kaspersky, MSE, Malwarebytes ...

Testen konnte ich das nur mit AVIRA, Avast, Norton, Kaspersky und MSE, da hat es jedenfalls funktioniert. Einzig die Cloud-basierte Lösung schmeckt mir irgendwie nicht besonders, da habe ich doch so meine Bedenken!

Unter *buntu gibt es übrigens ein inoffizielles Paket mit Signaturen für ClamAV (universe), welches die Erkennungsrate deutlich in die Höhe schnellen läßt. Gerade bei Mails ist das im Bereich "phishing" zu empfehlen, aber damit kommen wir wieder zum eigentlichen Thema des Threads zurück:

Das Paket ist wie geschrieben inoffiziell, wird aber vom Hersteller SaneSecurity/OITC zur Verfügung gestellt! Hier sind wir also wieder beim Vertrauen zur entsprechenden Quelle und der Frage: Ja oder nein, traue ich der Quelle oder nicht? Das Paket ist ja in "universe", wird also von Canonical wohl nicht wirklich geprüft!

ICH zumindest vertraue dieser Quelle, aber eine Garantie gibt es hier garantiert nicht... (welch Wortspiel!)

Wieder der Hinweis auf AMO: Auch dort ist die eigentliche Quelle immer der Hersteller des Add-ons wie auch im Fall dieser inoffiziellen Signaturen für ClamAV bei *buntu.

Man sieht hier also sehr gut, daß man manchmal sehr schnell in eine Zwickmühle kommt: Die Quellen sind zwar die des Herstellers, aber geliefert wird von einem anderen Anbieter. Traue ich nun dem Lieferanten oder nicht? Im Fall von AMO und Canonical vertraue ich dem Lieferanten, obwohl der mir auch eine vergiftete Pizza liefern könnte! Der Hersteller/Pizzabäcker weiß davon ja nichts und wenn etwas passiert, dann ist es zu spät.

Bei den Add-ons für Firefox, Thunderbird und SeaMonkey kann man in den meisten Fällen ja auf die Seite des Entwicklers selbst gehen, aber in dem Fall nicht. "sourceforge"? Die sind in meinen Augen nicht als vertrauenswürdig zu betrachten! Ich zähle das eher in die Kategorie "Softonic", also garantiert nicht empfehlenswert. Ich verstehe eh nicht, wie zwei relativ große und vor allem weltweit agierende Organisationen (SaneSecurity & OITC) ohne eigene Server auskommen!

Nachdenkliche Grüße nun aus Augsburg

Mike

Zitat von TmoWizard

"sourceforge"? Die sind in meinen Augen nicht als vertrauenswürdig zu betrachten! Ich zähle das eher in die Kategorie "Softonic", also garantiert nicht empfehlenswert.

SourceForge nicht vertrauenswürdig und auf einer Stufe mit Softonic? WTF !? :shock: Ich weiß ja nicht, wie du auf sowas kommst, aber SourceForge ist einer der wichtigsten Hoster für Open Source-Projekte. Und wenn du im Falle von SourceForge von optionalen Dreingaben bei Installern hörst, was das einzige Kritisierenswerte vielleicht ist, dann kann da SourceForge nichts für, sondern der Entwickler der Anwendung, denn das gibt es nur auf explizite Aktivierung des Entwicklers und niemals unerwünscht. Wenn der Entwickler der Anwendung das wünscht, dann gibt es aber auch absolut null Grund zur Annahme, dass der Download von der Webseite des Entwicklers in irgendeiner Weise besser wäre.

Anmerkung: viele open Source Entwickler hosten ihre Software auf sourceforge.net und geben auf ihrer Webseite dann den entsprechenden Link an. Ich wüsste nicht was daran verkehrt sein soll. :-??

Edit: Ups, Sören ist mir zuvor gekommen mit einem ausführlicheren Statement *zustimm* :klasse:
Edit2: vielleicht bezieht sich TmoWizard bzgl. SF ja auf http://www.golem.de/news/sourcefor…308-101219.html

Guten Abend zusammen!

Zitat von Zitronella

Edit2: vielleicht bezieht sich TmoWizard bzgl. SF ja auf http://www.golem.de/news/sourcefor…308-101219.html

Unter Anderem ja. Ich soll solch einer Quelle vertrauen? Dann kann ich Firefox ja auch von irgend welchen dubiosen Torrent-Seiten als "gecrackte Version" beziehen, es käme zum gleichen Ergebnis!

Das Problem mit clamdrib ist dabei, daß mein Blog natürlich auch nur bei einem Hoster liegt. Über den Server habe ich selbst also keine Kontrolle, ich muß ihm also auch erst einmal selbst vertrauen! Hier kommt der nächste Punkt, nämlich AMO und VirusTotal. Ich prüfe dort das Add-on, muß mich dafür aber auf Mozilla und Google verlassen.

Beide Konzerne haben aber so ihre Probleme vor allem hier in Deutschland, was die Sache nicht gerade einfacher macht. Viele meckern direkt über Google, das ist ja eine Datenkrake. Und Mozilla ist auch nicht besser, da sie von Google bezahlt werden und diese Krake auch noch als Standardsuchmaschine verwenden!

So jedenfalls ist die Meinung in meinem Umfeld, was durch den NSA-Skandal auch nicht besser wurde. Meine Version von clamdrib liegt auf einem deutschen Server und wird in Augsburg weiter entwickelt, hier muß ich mich also nur auf meinen Hoster verlassen.

Einen eigenen Server in der Ecke kann ich mir bei besten Willen nicht leisten, wobei ich hierbei nicht nur an die Anschaffung denke. Es müßen dafür ja auch alle Einzelteile zusätzlich in genügender Reserve vorhanden sein, was nicht gerade billig ist. Dazu noch das Backup und mein finanzieller Rahmen ist garantiert am Ende, da es mit ein paar billigen ALDI-DVDs garantiert nicht getan ist!

Das ganze Problem ist also nicht so einfach zu lösen, wie es sich manche hier im Forum vorstellen. Sicherheit gibt es nur dann, wenn man die entsprechenden Personen kennt und auch weiß, daß da kein anderer auf die Dateien Zugriff hat. Und nun erkläre mir einer, wie man das denn bei einem Add-on oder so garantieren soll! Es geht gar nicht und deswegen greifen trotz entsprechender Meldungen immer wieder Leute auf Quellen wie Softonic und anderes zurück, hier beißt sich nämlich die Katze in den eigenen Schw***!

Mike, TmoWizard

Zitat von TmoWizard

Unter *buntu gibt es übrigens ein inoffizielles Paket mit Signaturen für ClamAV (universe), welches die Erkennungsrate deutlich in die Höhe schnellen läßt.

Keine Ahnung darüber, wie du es messen möchtest / wirst.

Da du gerade von dieser Familie sprichst, es gibt einen Proxy-Cache und einen ICAP-Server, die die von dir gewünschten bösen Buben für alle Anwendungen, die das Internet nutzen, ausfiltern können.

Zitat von TmoWizard

Ich soll solch einer Quelle vertrauen?

Nochmal:

Zitat von Sören Hentzschel

Und wenn du im Falle von SourceForge von optionalen Dreingaben bei Installern hörst, was das einzige Kritisierenswerte vielleicht ist, dann kann da SourceForge nichts für, sondern der Entwickler der Anwendung, denn das gibt es nur auf explizite Aktivierung des Entwicklers und niemals unerwünscht. Wenn der Entwickler der Anwendung das wünscht, dann gibt es aber auch absolut null Grund zur Annahme, dass der Download von der Webseite des Entwicklers in irgendeiner Weise besser wäre.

Sowohl Open Source-Projekte als auch Plattformen wie SourceForge wollen finanziert werden, das muss man auch mal sehen. Man kann nicht alles kostenlos haben wollen, jede Werbung blockieren und sich dann auch noch über optionale Dreingaben im Installer beschweren. Und hier ist es der Entwickler der Anwendung, nicht SourceForge, der bestimmt, dass dem so ist.

Zitat von Sören Hentzschel

Viele meckern direkt über Google, das ist ja eine Datenkrake. Und Mozilla ist auch nicht besser, da sie von Google bezahlt werden und diese Krake auch noch als Standardsuchmaschine verwenden!

WTF, die Zweite… Mehr kann ich dazu schon gar nicht mehr sagen… Mozilla sei im Zusammenhang "Datenkrake" nicht besser als Google. Das ist mal eine Aussage.

Zitat von Sören Hentzschel

So jedenfalls ist die Meinung in meinem Umfeld, was durch den NSA-Skandal auch nicht besser wurde. Meine Version von clamdrib liegt auf einem deutschen Server

Uh, ja. Die böse NSA und das brave und unschuldige Deutschland, genau…

Zitat von Sören Hentzschel

Sicherheit gibt es nur dann, wenn man die entsprechenden Personen kennt

Ich kenne Reviewer von Mozilla (AMO und Marketplace) persönlich. Das gibt mir aber auch nicht mehr oder weniger Sicherheit, es ändert überhaupt nichts. Die machen alle ihren "Job" nach bestem Wissen und Gewissen, sind letztlich aber doch nur Menschen, womit das theoretische Potential eines Fehlers vorhanden ist. Ganz egal, ob man die Leute kennt oder nicht. In Anführungszeichen, weil Reviewer kein Beruf ist, sondern es Leute aus der Community sind.

Okay, wenn es denn sein muß! Verzeihung aber erst einmal wegen dem langen Zitieren, das geht in dem Fall aber meiner Ansicht nach nicht anders.

Zitat von Sören Hentzschel

Nochmal:

[_] Ich habe den von Zitronella verlinkten Artikel gelesen und verstanden.

SourceForge hat hier eigenmächtig das Ding mit dem Installer gedreht, das hatte absolut nichts mit den Entwicklern der betroffenen Software (z. B. FileZilla) zu tun! Man soll also solch einer Quelle trauen? Träum doch bitte nicht so laut!

Zitat von TmoWizard

Viele meckern direkt über Google, das ist ja eine Datenkrake. Und Mozilla ist auch nicht besser, da sie von Google bezahlt werden und diese Krake auch noch als Standardsuchmaschine verwenden!

So jedenfalls ist die Meinung in meinem Umfeld, was durch den NSA-Skandal auch nicht besser wurde. Meine Version von clamdrib liegt auf einem deutschen Server

Was zusammen gehört, das soll auch zusammen bleiben!

Zitat von Sören Hentzschel

WTF, die Zweite… Mehr kann ich dazu schon gar nicht mehr sagen… Mozilla sei im Zusammenhang "Datenkrake" nicht besser als Google. Das ist mal eine Aussage.

...

Uh, ja. Die böse NSA und das brave und unschuldige Deutschland, genau…

Es ist nicht meine Meinung, das solltest gerade DU als Leser meines Blogs sehr genau wissen! Du hast selbst schon Kommentare dort hinterlassen, also denk noch einmal vor dem Schreiben nach. Stell dich bitte nicht so an, sonst bestätigst Du noch die negative Meinung, die viele Deutsche von euch Österreichern haben. :mrgreen:

Zitat von Sören Hentzschel

Ich kenne Reviewer von Mozilla (AMO und Marketplace) persönlich. Das gibt mir aber auch nicht mehr oder weniger Sicherheit, es ändert überhaupt nichts. Die machen alle ihren "Job" nach bestem Wissen und Gewissen, sind letztlich aber doch nur Menschen, womit das theoretische Potential eines Fehlers vorhanden ist. Ganz egal, ob man die Leute kennt oder nicht. In Anführungszeichen, weil Reviewer kein Beruf ist, sondern es Leute aus der Community sind.

Ich habe mein MS-Zertifikat heute noch im Schrank und kenne bzw. kannte auch einige Leute von Microsoft Deutschland, das hat mit dem Hauptsitz in Redmond und den Leuten dort aber relativ wenig zu tun! Nur gehört denen ebenso wenig ein Server von MS wie der Community von Mozilla ein Server von Mozilla gehört. Die Mitarbeiter von MS Deutschland ebenso wie die Community von Mozilla haben keine Kontrolle darüber, also können sie auch für gar nichts garantieren und genau das war meine Aussage!

Mozilla würde es allerdings wohl niemals einfallen, daß sie mit den Add-ons oder auch ihren eigenen Projekten eine "nützliche" Zusatzsoftware inklusive Installer verbreiten würden. Genau das ist bei SourceForge passiert, also ist das keine vertrauenswürdige Quelle! Mozilla wäre innerhalb von ein paar Tagen Vergangenheit, das dürfte jedem vernünftig denkenden Menschen klar sein.

Und noch etwas zum Thema Entwickler/Hersteller:

Meine erste in BASIC und Assembler selbstgeschriebene Textverarbeitung habe ich bereits benutzt, als viele Forenteilnehmer hier inklusive dir noch nicht einmal auf der Welt waren! Ich bin mir also relativ sicher, daß ich mich in solchen Dingen sehr gut auskenne. Hätte ich diese Kenntnis nicht, dann würden jetzt weder meine Website noch mein Blog existieren und ich würde mich garantiert nicht um das Add-on clamdrib kümmern! Ich hätte wohl gar kein Interesse dafür.

Ich hätte anno 1994 auch nicht den in C++ geschriebenen Unterbau von MultiTOS an meinen eigenen ATARI TT030 angepaßte, wenn es mich nicht interessiert hätte. Ebenso hätte dann auch meine Mailbox (Mausnet) auf diesem TT existiert, mit einem ISDN-Anschluß würde sie allerdings heute noch laufen. Der TT steht hier vor mir und funktioniert auch immer noch mit meiner eigenen Version von MultiTOS, nur mit dem Anschluß sieht es ziemlich mager aus.

Ich habe vor mehr als 25 Jahren das eigentliche Programmieren endgültig an den Nagel gehängt, weil ich darin für mich keine Zukunft sah und ich das als Energieelektroniker auch nicht benötigte. Heute sieht das etwas anders aus, inzwischen braucht man solche Kenntnisse fast schon in meinem Beruf, wenn man sich nicht wie ich anderweitig spezialisiert hat. Für mich ist in dem Sektor nur die SPS wichtig, alles andere geht mir irgendwo hinten unten vorbei.

So Sachen wie das mit MiNT/MultiTOS oder clamdrib betrachte ich als Freizeitbeschäftigung, wobei letzteres für mich schon ein sehr wichtiges Projekt ist.

Nun ist für mich aber Schluß mit dieser Diskussion, sonst artet das noch aus hier.

Nächtliche Grüße an alle aus TmoWizard's Castle zu Augsburg

Mike, TmoWizard [Blockierte Grafik: http://mikespeier.cwsurf.de/smilies/grinswiz.gif]

Zitat von TmoWizard

[_] Ich habe den von Zitronella verlinkten Artikel gelesen und verstanden.
SourceForge hat hier eigenmächtig das Ding mit dem Installer gedreht, das hatte absolut nichts mit den Entwicklern der betroffenen Software (z. B. FileZilla) zu tun!

Du hast es eben wohl doch NICHT verstanden. Die Entwickler haben dem zugestimmt.

Zitat

Sourceforge beteiligt die Entwickler von beliebten Projekten an den Einnahmen dieser Installer.

Zitat

die Entwickler von Filezilla verteidigten jedoch die Maßnahme

Zitat von TmoWizard

sonst bestätigst Du noch die negative Meinung, die viele Deutsche von euch Österreichern haben. :mrgreen:

ähh was soll das denn? Da nutzt auch kein grüner Grinsesmiley mehr was dahinter. Ich bin Deutsche und kann diese Aussage nicht vertreten. Wie du jetzt auf diesen Gedankensprung kommst mit Österreichern ist mir schleierhaft.

Zitat von TmoWizard

Mozilla würde es allerdings wohl niemals einfallen, daß sie mit den Add-ons oder auch ihren eigenen Projekten eine "nützliche" Zusatzsoftware inklusive Installer verbreiten würden. Genau das ist bei SourceForge passiert, also ist das keine vertrauenswürdige Quelle!

Nochmal: SF ist ein reiner Hoster. SF bietet MIT Zustimmung der Entwickler, in der Software "Zusätze" an. Wenn die Entwickler dies nicht möchten, dann stimmen sie ihm eben nicht zu und die Software wird genauso auf SF gehostet, wie wenn die Entwickler auf ihren eigenen Servern gehostet hätten.
Softonic dagegen macht sein eigenes Ding, völlig ohne Mitwirkung der Entwickler verbreiten die ihre Zusätze in Software.
Ich bin auch enttäuscht dass die Filezilla Entwickler dem wohl zugestimmt haben. Aber ihrer Software vertraue ich nicht weniger als vorher auch. Der Sourcode und die .zip Dateien liegen weiterhin auf SF vor.

Hallöchen Zitronella!

Zur Verständlichkeit meiner Abneigung gegen SourceForge bitte folgendes lesen:

Gimp zieht sich von SourceForge zurück

Es waren eben nicht alle mit dem Installer einverstanden, sondern SourceForge hat das einfach so über die Köpfe der Entwickler hinweg eingeführt. Denn auch Gimp wurde kurzfristig mit dem Installer ausgeliefert, wie eine Bekannte von mir mit Entsetzen feststellen durfte, als da plötzlich Conduit auf ihrem Rechner war! Ich durfte den Dreck wie üblich wieder entfernen, aber sowas bin ich ja schon gewohnt.

Ergo: SourceForge ist nicht vertrauenswürdig!

Edit: Noch etwas zu SourceForge:

About SourceForge:

Zitat

SourceForge.net is owned and operated by Slashdot Media. Slashdot Media is a Dice Holdings, Inc. company.

Nette Gesellschaft da bei Slashdot Media, durch Edward Snowden bekannter Weise alle mit einem freundlichen Briefchen der NSA versorgt!

Zitat

Die Verwendung des Drive-by-Installers ist optional und muss vom Entwickler explizit aktiviert werden (opt-in)

Quelle :-?? ich weiß ja, wiki als Quelle ist nicht das A&O, aber mich würde in diesem Fall schon interessieren wie es wirklich ist.

Zitat von TmoWizard

Stell dich bitte nicht so an, sonst bestätigst Du noch die negative Meinung, die viele Deutsche von euch Österreichern haben. :mrgreen:

Ich denke (hoffe), dass das ein Spaß war. Aber da ich gar kein Österreicher bin, kann mir die Meinung von irgendjemandem über Österreicher ja egal sein, oder?

Ich habe mir nochmal speziell die Seite von Filezilla und SF (wo filezilla gehostet ist) genauer angesehen:

Klickt man bei https://filezilla-project.org/ auf Download landet man auf https://filezilla-project.org/download.php?type=client
Angeboten wird dort "FileZilla_3.9.0.6_win32-setup.exe (recommended) " mit dem Hinweis:

Zitat

This installer may include bundled offers. Check below for more options.

Klickt man den Link an, wird man auf SF weiter geleitet und bekommt den Download mit dem SF-WebInstaller (und möglichen Mitbringseln).

http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.9.0.6/FileZilla_3.9.0.6_win32-setup.exe/download

Dies ist schon einmal ein erster Hinweis, dass die Entwickler diese Vorgehensweise wohl präferieren und unterstützen.

Klickt man auf der Seite unter "More download options" auf "Show additional download options" wird dort wieder "FileZilla_3.9.0.6_win32-setup.exe Show file details (recommended)" angeboten und beim anklicken wird man auch wieder zu SF weiter geleitet aber man erhält nicht den SF-WebInstaller sondern nur das eigentliche Programm.

http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.9.0.6/FileZilla_3.9.0.6_win32-setup.exe/download?nowrap

Man sieht, dass sich die Links lediglich darin unterscheiden durch den Zusatz "?nowrap" am Ende.

Nun zu SF direkt auf der Seite http://sourceforge.net/projects/filez…Client/3.9.0.6/
Dort gibt es u.a. auch die Datei "FileZilla_3.9.0.6_win32-setup.exe" und jetzt wird es interessant welche man bekommt und wodurch.
Über der Dateien Auflistung rechts oben steht per Default "Direct Download Link: Off"
[attachment=0]sf-filezilla-download.png[/attachment]
Belässt man dies so, bekommt man den SF-WebInstaller
Ändert man, durch Klick darauf es in "Direct Download Link: On" bekommt man das eigentliche ganze Programm.
Genauso bekommt man immer das eigentliche Programm wenn man JavaScript deaktiviert.

Andere Projekte, die auch auf SF gehostet sind, haben diesen Umschalter mit Off/On gar nicht, da es bei denen gar keinen SF-Webinstaller gibt wie z.B. bei Pidgin http://sourceforge.net/projects/pidgin/files/Pidgin/2.10.10/

Es scheint mir also doch so, dass die Entwickler des jeweiligen Programms, dieses Vorgehen wollen. Sie könnten genauso gut auch direkt in ihre Programme diese Zusätze einbauen (das machen ja auch einige) und auf ihrer eigenen Webseite hosten. Im Falle Filezilla, haben sich die Entwickler aber wohl dazu entschieden einen anderen Kompromiss einzuschlagen mit dem Angebot des SF-Installers. So müssen sie selbst nicht ihr Programm ändern und der Nutzer hat weiterhin (wenn auch versteckt oder umständlich) die Möglichkeit das Programm ohne Zusätze zu laden.

Fazit: SF macht Entwicklern ein "unmoralisches" Angebot und manche Entwickler lassen sich darauf ein (Filezilla Entwickler Tim Kosse) und Manche eben nicht. Die, die sich nicht darauf einlassen, werden eben nicht am Umsatz beteiligt, können aber wie eh und je ihre Programme bei SF ganz ohne Zusätze hosten.

Als reiner Hoster ist SF somit für mich genauso vertrauenswürdig wie wenn ein Entwickler sein Programm auf dem eigenen Server hostet, denn er bestimmt alleine was die User herunter laden sollen.

Danke Zitronella, dass du dir diese Mühe machst, das so auführlich zu beleuchten.

Zitat von pencil

überhaupt nicht zustimmen.

Mich würde ja mal interessieren, wie du meinst, hervorragende und kostenlose (!) Software wie FileZilla finanziert werden soll, wenn weder durch den Verkauf noch durch Werbung noch durch Software-Bündelung, aus welcher ein finanzieller Vorteil für den Entwickler entsteht. Sehr viel mehr Möglichkeiten gibt es nicht. Die Alternative dazu ist, dass die Entwicklung eingestellt wird. Das wäre für viele Anwendungen, insbesondere was FileZilla betrifft, meiner Meinung nach ein Riesen-Verlust, FileZilla ist eine der besten FTP-Anwendungen. Spendest du den Entwicklern von Open Source-Software, die du einsetzt?