Ok, da ich mich hier wohl als erster angesprochen fühlen sollte, da ich am meisten über Xandros schimpfe, mach ich mal den Anfang.

Um das gleich vorweg zu nehmen, mir geht es hier nur um das EEE-Xandros. Über die reguläre Xandros-Distribution kann ich mir kein Urteil bilden.
try hat geschriebenCOLONEine Bitte nur an alle Linuxianer-Profis:
Bitte versucht eure Argumente hier auch für den Otto-Normal-Verbraucher verständlich zu posten.
ZB durch Vergleiche ...
Du bist ja gemein!

Da schreibe ich jetzt einen kilometerlangen Text und habe das Thema trotzdem nur oberflächlich angeschnitten.
Ich vermute mal dir macht es nichts aus, wenn ich als Basis unsere private Korrespondenz vom Januar verwende, daher hier mal ein Auszug:
blackice hat geschriebenCOLONMeine Kritik beschränkt sich nicht nur auf die Sicherheit, sondern betrifft auch das Bedienkonzept von Xandros. Die Hauptkritikpunkte mal kurz zusammengefasst (vielleicht fehlt noch der eine oder andere):
- sudo ohne Passwort
- keine flächendeckenden Sicherheitsupdates (z.B. der nie gefixte Debian-OpenSSL-Bug, die nicht gefixten Null-Pointer-Exceptions im Kernel die aber wegen der sudo-Problematik für die meisten ohnehin irrelevant sind, der steinalte Firefox)
- mangelnde Kompatibilität mit den Debian-Repositories und damit der einzigen Möglichkeit Xandros überhaupt irgendwie mit Updates zu versorgen (wird nächsten Monat mit dem Ende des Etch-Supports nahezu komplett wegfallen)
- teils abstruse Konstruktionen im Dateisystem die ohne Not allem widersprechen was sich unter Linux eingebürgert hat (z.B. die Art des Firefox-Aufrufs - kürzlich gab es mal einen Thread dazu).
- der von jeher zum Scheitern verurteilte Versuch (Suse hat es vor 10 Jahren vorgemacht, LinuxXP ist auch so ein Beispiel) Windowsusern den Umstieg zu erleichtern indem mit halbgaren Eigeneintwicklungen versucht wird ein Windows-Look&Feel herzustellen (z.B. Xandros-Dateimanager) anstatt dem User mit einer guten Dokumentation und der durchaus gelungenen Easy-Mode-Oberfläche einen Einstieg in die gut durchdachte Unix-Philosophie zu geben
Die Punkte etwas(!) detailierter:
- sudo ohne Passwort:
Mit sudo verschafft man sich temporär root-Rechte. Ganz platt ausgedrückt ist das vergleichbar mit dem "als Administrator ausführen" von Windows. Das erzeugt einen gewissen Kompromiss aus Sicherheit durch getrennte Benutzerkonten einerseits und Bequemlichkeit sich nicht extra neu anmelden zu müssen falls man diese Rechte braucht andererseits. Wenn sudo aber ohne Passwort ausführbar ist, ist die dahinterstehende Idee der Sicherheit sinnlos, denn jedes Programm das im User-Kontext ausgeführt wird kann dann auch Aktionen im root-Kontext aufführen ohne überhaupt das Passwort zu kennen.
- Sicherheitsupdates:
Linux muss genauso regelmäßig aktualisiert werden wie Windows um sicher zu bleiben, denn auch hier werden immer wieder neue Schwachstellen gefunden und auch ausgenutzt. Das passiert üblicherweise über die Paketverwaltung und funktioniert bei allen größeren Distributionen recht gut. Bei kleineren Distributionen funktioniert das auch gut, solange sie kompatibel zu ihrer Mutterdistribution bleiben. Hier liegt das Problem von Xandros: Es basiert auf Debian 4 (Codename Etch). Der Support für Etch wurde im Februar 2010 eingestellt. Seitdem gibt es keine Sicherheitsupdates für Xandros mehr aus den Debianrepositories (Paketquellen). Aber auch davor war die Updatepolitik bei Xandros nur halbherzig. Ein wichtiger Grund dafür ist sicherlich, dass Asus bei seinem Xandros viele (imho unnötige) eigene Wege gegangen ist die zu Inkompatibilitäten geführt haben (dazu später).
Auf eine aktuellere Debianversion als Basis umzuschwenken ist aus einer bestehenden Xandrosinstallation theoretisch zwar vermutlich möglich, wegen der Inkompatibilitäten aber praktisch sehr umständlich und aufwändig. Wer das geschafft und noch ein lauffähiges System hat, der sage mir bitte bescheid, damit ich weiß an wen ich mich in Zukunft mit Problemen wenden kann.

Das vielleicht bekannteste Beispiel eines Sicherheitsproblems unter Debian Etch ist ein Bug in OpenSSL [1] der dazu führt, dass mit diesem OpenSSL erstellte Schlüssel vorhersagbar sind. Dieser Bug wurde in Debian Etch gefixt, aber als ich das letzte mal in den offiziellen EEE-Xandros-Quellen nachgesehen habe (Ende 2009) stand dort noch eine betroffene Version.
Die sudo-Problematik ließe sich mit einem simplen Eingriff in der Datei /etc/sudoers beheben. Man müsste dann für Aktionen die root-Rechte verlangen ein Passwort eingeben. Dies ist aber keine Lösung für das Problem, da seitdem mehrere (ich weiß von zweien) Null-Pointer-Exceptions im Linux-Kernel gefunden wurden die sich mit etwas Fachwissen entweder im Programmieren oder im Googlen (denn passende Exploits finden sich im Netz, sind oft sogar Teils der Bugreports um das Problem zu demonstrieren) ausnutzen lassen um root-Rechte auch ohne Passwort zu erlangen. In Debian wurden die Schwachstellen beseitigt - in Xandros nicht.
Firefox hat unter Xandros immer noch die Version 2 soweit ich weiß. Diese erhält schon lange keinen Support mehr von Mozilla.
- mangelnde Kompatibilität der Repositories:
Dass sich Xandros so weit von Debian entfernt hat dass es nicht mehr paketkompatibel ist, ist erst mal nichts schlimmes. Nur muss man dann auch sein eigenes Repository aktuell halten. Das war beim EEE-Xandros nie der Fall, was sich darin zeigt, dass es viele Threads gibt die sich damit beschäftigen Pakete aus Debian auf Xandros lauffähig zu machen, was oft problematisch war.
Als Lösung für diesen und den vorhergehenden Problempunkt werden oft Repositories von Drittanbietern empfohlen. Die Hauptprobleme sind hier, dass diese Repositories oft auch nicht gut gepflegt sind man und man nicht weiß wie vertrauenswürdig sie sind. Jemand der ein Paket kompilieren kann, kann darin auch zusätzlichen Code einbauen, der z.B. Daten ausliest oder verändert.
- Konstrukte im Dateisystem:
Unter nahezu jeder Linuxdistribution die ich kenne lautet der Firefox-Aufruf so: /usr/bin/firefox
Wenn nun ein Linuxer mit einem Firefox-Problem zu mir kommt und ich vermute, dass das Programm beschädigt ist weiß ich wo ich nachsehen muss. Dabei ist es egal ob dieser Jemand Suse, Ubuntu oder Slackware nutzt. Nicht so unter Xandros [2]. Ich erinnere mich dunkel an ähnliche Beispiele bei anderen Programmen.
- versuchen Linux wie Windows aussehen zu lassen:
Windows hat eine bestimmte Art wie es aufgebaut ist, wie der User es zu bedienen hat (Registry, Systemsteuerung, etc.). Das kann man mögen oder nicht, es ist so. Linux hat auch eine bestimmte Art wie es aufgebaut ist (Konfiguration in Textdateien, Paketmanagement, etc.), auch das kann man mögen oder nicht. Das eine funktioniert gut und das andere auch. Was nur schlecht funktioniert ist der Versuch das eine auf das andere abzubilden um den Benutzern des einen Systems das andere schmackhaft zu machen. Es geht bis zu einem bestimmten Punkt, aber nie vollständig. Einfache Aufgaben lassen sich so noch übersetzen, wenn man aber mal tief ins System eingreifen muss führt kein Weg daran vorbei sich mit dem eigentlichen System zu beschäftigen. Meine letzte Erfahrung zu dem Thema war Linux-XP [3].
Als Fazit kann ich nur jedem dazu raten, sich von Xandros zu trennen. Wer Windows mag und sich nicht für Linux interessiert, der sollte auch damit arbeiten. Dann braucht er weder sich noch andere mit Linux beschäftigen und sich auch nicht mit den Eigenheiten von Xandros herumschlagen.
Wer dagegen neugierig auf Linux ist der sollte sich nicht mit Xandros aufhalten (denn vieles davon ist nicht übertragbar) und sich stattdessen für eine Linux-Distribution entscheiden die schlüssige Konzepte hat und auch gepflegt wird. Es gibt genügend davon [4] inklusive großer hilfsbereiter Communities und Anleitungen. Nur eines sollte man dabei als Umsteiger bedenken: Linux ist nicht Windows [5].
[1]
http://lists.debian.org/debian-security ... 00152.html
[2]
http://www.eee-pc.de/board/viewtopic.ph ... 046#p61046
[3]
http://www.eee-pc.de/board/viewtopic.ph ... =15#p54058
[4]
http://distrowatch.com/
[5]
http://www.felix-schwarz.name/files/ope ... t_Windows/
Modell: EEE 901 - OS: wattOS beta1 (array.org-kernel)/Slax 6.0.7 (alsa 1.0.18a) - RAM: 2GB (MDT 667MHz) - Zubehör: Akku 8800mAh, SDHC-Card Sandisk UltraII plus USB 8GB