Software-Aktualisierungs-Info per Tool?
 

Hallo zusammen,

vermutlich habe ihr das schon oft diskutiert. Sollte das so sein, bitte verzeigert mich gleich da hin. Bei der Suche auf der Seite habe ich auf die Schnelle außer auf Chocolatey nichts gefunden:

Wäre das die Funktionalität, die ich suche?

Ihr weist hier - aus gutem Grund - viel auf die Wichtigkeit aktueller SW hin. Nicht jede SW weist einen selbstständig darauf hin, dass es was Neues gibt (7Zip, audacity, ...). Dann müsste man immer manuell aktiv nachschauen...

Welche Tools (neben Chocolatey) sind denn empfehlenswert (falls es noch was gibt) ?
Secunia PSI --> eingestellt bzw. nicht mehr gepflegt. K.A. wie gut das war.
SUMo Software Update Monitor --> Die .exe ist wohl umstritten wegen Spyware.

In Eurem Thread habe ich keinen Hinweis gefunden:
https://www.trojaner-board.de/199359-haltet-software-aktuell-vorlaeufige-fassung.html

Habt ihr Vorschläge? Dank Euch!

Es gibt ein GUI für chocolatey, welches die Funktionalität bietet, veraltete Programme, welche über chocolatey installiert wurden, anzuzeigen. Ich habe allerdings keine praktische Erfahrung damit und kann nicht sagen, ob auch aktiv darauf hingewiesen wird.

https://chocolatey.org/docs/chocolatey-gui-overview

zeigt über chocolatey installierte, veraltete Programmversionen in der Kommandozeile / dem Terminal an.
in regelmäßigen Abständen reicht aber eigentlich völlig aus.

Du nutzt nur die Kommandozeilenfassung? Mir sah die Inbetriebnahme von Chocolatey immer etwas fummelig aus. Vielleicht muss ich doch mit der Anleitung einen Versuch wagen :)

Kannst Du auch was zu einer "normalen" SW sagen, die die Aktualität überprüft?

Das ist der offizielle chocolatey-Thread.

Ja, auf meinen Windows-Rechnern nutze ich chocolatey nur in der Kommandozeile. Das ist reine Gewöhnungssache.
Privat nutze ich fast ausschließlich Linux. Da ist die Verwendung einer Paketverwaltung sowieso Standard.

SUMo hab ich vor 1000 Jahren mal probiert. Das hat aber nicht richtig funktioniert und längst nicht alle Programme verwaltet, die ich mir so vorgestellt habe. Wie das heute aussieht, weiß ich nicht.

Danke Dir. Muss da wohl mal ran.

Das Thema apt-get kenne ich zumindest ein bisschen. Zu Beginn von Corona habe ich zwei alte Schätzchen mit Lubuntu und Linux Mint wiederbelebt. Aber in die Geheimnisse bin ich (noch) nicht eingeweiht.

Das hat einen guten Grund: Es muss eben nicht nur um die Aktualität, sondern auch die Vertrauenswürdigkeit gehen. Und wenn man sich ein Programm installiert, das quasi über alle anderen Programme und deren Aktualität "wacht", muss man sehr wählerisch sein und auf größtmögliche Vertrauenswürdigkeit setzen. Das ist hier am ehesten gegeben, die Software ist zudem quelloffen. Daher kann ich Dir unter Windows keine hinreichend gute Alternative nennen.

Du musst ja unter Lubuntu und Mint zur Aktualisierung von System und Anwendungen gar nicht mal das Terminal nutzen, denn unter diesen Systemen ist die Paketverwaltung bzw. der Paketmanager bereits standardmäßig eingebaut! Heißt: Sowohl System als auch installierte Anwendungen werden in einem Zug aktualisiert, der zeitliche Aufwand zur Systempflege verringert sich also.

Danke für Eure Einschätzung.

Hatte schon vermutet, dass so etwas der Hintergrund ist und es einfach nichts Vernünftiges/Vertrauenswürdiges gibt. Jetzt habe ich es auch schriftlich :)

Noch zum Thema Vertrauenswürdigkeit MyLord:
Bei Software immer das Original von der Herstellerseite laden.
Also z.B. bei videolan.org und nicht vlc.de oder audacityteam.org nicht audacity.de.
Grüße.

Danke für den Hinweis. Audacity.de war offenkundig der Auslöser für den Start einer Karriere beim TB. Obwohl ich für mich selbst in Anspruch nehme, recht gewissenhaft in dieser Hinsicht zu sein. Aber einmal nicht aufgepasst und sich auf das schicke Exterieur der Seite verlassen, schon hängst am Fliegenfänger... Sohn brauch das Audio-Tool, welches die Schule empfiehlt, dann muss es schnell gehen.

Werde wohl einen Zweizeiler verfassen müssen, dass schon der Lehrer in seinem Pamphlet auf die Verwechslungsgefahr hinweist.

Vorsatz daher: Jeden Download zur Installation erst mal mit MBAM oder VirusTotal checken, bevor ich es mit Adminrechten ausführen lasse.

Oder eben doch Chocolatey nutzen...

Nunja. Zählt natürlich als mildernder Umstand wenn der Sohnemann da schon Panik schiebt:
Aber ob da ein Mausklick mehr wirklich so einen Riesenunterschied macht...
Mit Gooogel suchen und ersten Link klicken bringt dich so gut wie immer zu Müllseiten wie chip.de, softonic.de, vlc.de etc.
Mein Tipp: anstatt Programmname bei Gogglesuche einzutippen gleich auf heise.de gehen und dort suchen ==> dann von dort zum Hersteller(ein Mausklick).
Grüße.
P.S. Gewisse Schreibfehler hier sind auf eine leichte Allergie zurückzuführen.
https://www.dict.cc/?s=GOO

Prüfsummen! Weil:
-> https://www.golem.de/news/security-b...02-119295.html

OK, Dein Punkt. Allein das Ausführen der .exe braucht einen Doppelklick. Von der Eingabe des Admin-Passworts mal ganz zu schweigen :crazy:

Wenn schon Sch..., dann mit Schwung.

Bietet nicht Heise.de selbst Downloads an? Verlinken die dann zusätzlich auf die Webseite der Hersteller?

Wegen der Prüfsummen: Da bin ich neulich schon drüber gestolpert. Im Moment habe ich noch nicht mal eine Ahnung, wie ich die Hashes eines Downloads überhaupt selbst erzeugen kann. Werd das mal gooogeln :)

So, jetzt bin ich schlauer: Powershell mit Get-Filehash Dateipfad -algorithm md5

Allerdings schreibt Wikipedia:

Ja tun sie. https://www.heise.de/download/ Dort suchen und am Beispiel von Audacity https://www.heise.de/download/product/audacity-5660 --> Hersteller: » Zur Website

Mal ernsthaft:
Bevor du jetzt in Windows anfängst für jeden einzelnen Download für jedes Update auf unzähligen Webseiten die Checksumme zu überprüfen (wenn diese überhaupt vorhanden ist), kannst du viel komfortabler mit chocolatey updaten. Die Überprüfung der Checksumme läuft automatisch nebenher (wenn auch nicht immer ganz ohne Problemchen).

Selbst bei heise kostet dich das für jeden Download mindestens 5 Klicks.
Mit choco ist das 1 Klick und ca. zwei Tastendrücke für das Update EINES GROSSEN TEILS deiner Programme zugleich...

So, dann fasse ich das Ergebnis der Diskussion mal zusammen:

1.) Es gibt außer Choco kein vertrauenswürdiges Tool, das mir beim Updaten bzw. beim finden der veralteten SW hilft
2.) Hashes von Downloads zu erzeugen und zu vergleichen setzt auch voraus, dass man u.U. die richtige Herstellerseite findet und dort auch die passenden Original Hashes. Das ist aufwändig.
3.) Die Herstellerseite kann man über Heise.de finden, ohne von dort herunterzuladen. Das ist aber auch umständlich.
4.) Ausgehend von der Ausgangsfrage nach Tool-Unterstützung: Nach etwas Anfangsaufwand mit der Einrichtung ist Chocolatey das aktuelle Mittel der Wahl. Sowohl aus Vertrauens- als auch aus Aufwandsgründen. Spätestens wenn man das dritte Mal seine diversen Programme geupdated hat. Voraussetzung: Choco stellt das gewünschte Programm zur Verfügung.

Danke bis hierhin :)

Hier hätten wir noch eine kommerzielle Variante SUMo
Ich hab das mal probiert aber für mich würde sich nur die pro Variante lohnen und das ist mir das Tool nicht wert. Choco macht das besser und schlanker.

Ja, SUMo hatte ich beim Opening schon mal in den Ring geworfen:

Das Zip (portable) habe ich mir die Tage mal besorgt. Allerdings muss man bei der Freeware jede SW einzeln updaten. Außerdem - und das ist vielleicht der größte Nachteil - kann man sich bei den erkannten alten Versionen von Programmen nur auf die Seite von SUMo verlinken lassen. Der Link auf die Herstellerseite funktioniert nur in der Vollversion.

Leider kann ich das gerade nicht belegen, aber bei Tests mit SW auf meinem Rechner bin ich über SUMo auch auf einer gefälschten Seite gelandet und nicht beim Hersteller selbst. Das wäre dann wahrhaft kontra. Vielleicht kann ich das nochmals nachstellen...

Ja und? Microsoft ist ja warum auch immer nicht in der Lage eine Paketverwaltung in Windows einzubauen. Jetzt sagen einige, dass es ja den Store gäbe - ein Store ist aber keine Paketverwaltung.


Das braucht man doch garnicht wenn man choco verwendet.
Um den Hash zu erzeugen kann man bei kleineren Dateien auch diese einfach bei Virustotal hochladen. Oder man verwendet sowas wie HashCheck, dann man man ohne großen Aufwand verschiedene Prüfsummen und muss dann nur noch danach googlen.


Ja es gibt aber keinen einfacheren Weg wenn man das nicht mit chocolatey machen will, agesehen vllt noch über den Store. Genau das ist ja doch ein riesiger Kritikpunkt an Windows und das beste Beispiel dafür, dass es sehr viel frickliger sein kann als so manche Linux-Distri.


Man muss übrigens auch nicht verbissen an Windows festhalten!
choco ist doch nur aus Not entstanden, dass Windows eben sehr rückschrittlich ist wegen der fehlenden Paketverwaltung, welche ja auch der Nährboden für chip.de, softonic und anderen Arschlochseiten wie vlc.de oder audacity.de ist :pfui:

Jetzt mache ich gerade mich Choco Experimente und gleich beim ersten Install habe ich eine Bauchlandung hingelegt :(

SW dich ich installieren wollte: ImgBurn. Die hatte ich eh schon aktuell auf dem Rechner und hab sie runter geschmissen im Choco zu testen. Offenkundig habe ich mir damit eine Adware "Fusion.Core" installiert. MBAM hat sie in Quarantäne verschoben:

Erst nach der MBAM-Meldung habe ich auf Cocolatey.org die Virus Scan Results aufgeklappt und genau gelesen. Das Package war vom Moderator geprüft, kommt aber trotzdem mit Funden in 67 AV Engines daher (s. Anhänge).

Fazit für mich: Mit Choco was zu über CMD ungeprüft was zu installieren (und zu updaten?), ohne vorher auf der Seite genau hinzuschauen ist auch riskant!

Das sollte vielleicht Eingang in die Doku finden.

Da hast du dir nun leider das denkbar schlechteste Test-Package ausgesucht...
Allerdings verstehe ich in diesem Fall wirklich nicht, warum es nicht längst entfernt oder der Mirror geändert wurde.

Das kommt weil der Original-Installer eben auch Adware enthalten kann!!!
Da kann choco doch nichts für! :wtf:

Keine Ahnung, ob das was bringt, aber ich hab denen gleich eine "abuse" Meldung mit dem Hinweis auf die Adware hingeschickt.

Über choco hab ich bisher nie Adware reinbekommen.

Angeblich läuft - wenn man "Choco Pro" installiert hat, direkt vor dem Download eine VT-Prüfung. Nur habe ich eben kein Pro.

Was halt schade ist, ist dass das "choco upgrade all" einem auf diesem Weg auch ein Ei ins Nest legen kann.

Also doch alles einzeln beim Hersteller updaten ...

Du hast immer noch nicht begriffen, dass auch das Original-Setup Adware enthalten kann. Und nun willst du uns erklären, dass man besser das vom Hersteller lädt, obwohl choco NICHTS ANDERES macht...:balla:

@LordSoth Sieht man sogar auf deinem Screenshot. Man beachte die Download-Quelle...

Das zeigt eigentlich genau das was ich immer vermutet habe: Viele können einfach nicht die Unterschiede erkennen zwischen Original-Setups mit Adware und Fake-Setups wie zB von audacity.de. Genau diese Schwäche wird von der Werbe- und Junkware-Industrie gnadenlos ausgenutzt.

Das bestreite ich nicht. Das kann alles sein. Mir ging es auch um Vertrauenswürdigkeit gegenüber den Updates, die man sich installiert. Mit der Non-Pro Version ist das wie ich feststellen musste nicht gegeben.

Das Choco das grundsätzlich kann schreiben sie selber auf der HP:Szenario etwa wie folgt: Man hat einen SW die bei der ersten Installation nachprüfbar i.O. ist und bei irgendeinem Update kommt eine Adware mit drauf. Die würde Choco die dann ohne langes Federlesen drüber bügeln, oder?

Abgesehen davon war ein Hinweis im Thread ja auch:
... die man dann auch mit VT prüfen muss.

Die Lektion: Kein Tool kann unter Win10 die eigene Sorgfalt ersetzen.

Was genau meinst Du? Wenn ich "Choco install imgburn" ausführe, habe ich imho keine Chance an der Stelle einen Unterschied zu erkennen.

Wenn ich Choco gerne weiter nutzen will, welche Vorgehensweise schlägst Du vor, um damit einfach sichere SW zu bekommen?

Welchen Unterschied? Es wurde die Originaldatei des Herstellers von der offiziellen Webseite heruntergeladen. Der Mist kommt direkt vom Erzeuger. Abgefüllt und originalverkorkst.

Du hättest manuell die gleiche verseuchte Datei heruntergeladen.

Was im Umkehrschluss bedeutet, dass du nichtmal dem Setup aus der originalen Quelle traust. :wtf:
Wenn doch, hättest du keinen Anlass VT anzuwerfen. Darf man dann fragen warum du das installieren willst? :confused:


Nö, die Lektion ist, dass die gesamte Softwareverwaltung unter Windows KAPUTT ist. Microsoft sollte sich in Grund und Boden schämen! JEDE Linux-Distri benutzt eine Paketverwaltung, bei dem der Kanal ordentlich und geprüft und die Verwendung eines Virenscanners völlig überflüssig ist. Ausnahmen bilden Fremdrepos wie zB die PPA von Ubuntu oder das AUR in Arch Linux. Aber da hilft auch kein Virenscanner und das muss man manuell selbst reinpfriemeln. Das Stichwort ist Vertrauenswürdigkeit.

Mach es doch einfach mal. Ich hab doch auch in meinem choco Thread geschrieben, dass choco i.A. vernünftig und silent installiert...

Is ja OK :) Nach spätestens zwei weiteren Wiederholungen werde ich es dann kapiert haben.

Dann möchte ich meinen Punkt auch nochmals wiederholen dürfen: Mit Chocolatey in der Non-Pro-Version keine Garantie dafür, saubere Software zu bekommen. Mehr nicht. Diesen Hinweis fände ich in der Choco-Anleitung wertvoll, ihr nicht?

Probier es doch einfach aus. Installiere mit choco dein von dir gewähltes Beispiel

imgburn

Um was zu zeigen? Diese Installation habe ich so um ca. 22:05 gemacht. Mit bekanntem Ergebnis. Oder missverstehe ich Dich da.

Mach jetzt mal Schluss für heut.

Dann ist imgburn bei dir installiert? Ja oder nein?

Ja, installiert. Vernünftig, silent, mit Adware. Danke. Gute Nacht.

Und die Adware wurde nach der Installation auch woanders gefunden oder nur im Setup von imgburn?

Du machst die Nacht zum Tag :)

Erst hat der MBAM Echzeitscanner eine DLL angemeckert, dann später beim Scan das Setupfile (s. Anhang). Die Meldung kam sehr schnell. Vermutlich noch während der Ausführung des Scripts. K.A. was passiert wäre, wenn die AV nicht eingeschritten wäre. Meinst Du Choco hätte die Adware aus dem Setup einfach weggelassen? Wohl kaum.

Langsam hab ich den Eindruck du willst hier gezielt Falschinformationen verbreiten!
Wenn man imgburn per choco installiert, hat man keine Adware danach, ich hab grad enochmal extra für dich frisch getestet

Das einzige was Malwarebytes findet sind Dateien vom Installer!

Cosinus, ich greife Dich oder Choco nicht an. Ich beschreibe nur, was mir bei den Tests mit Choco passiert ist. Immerhin habe ich den Thread ja gestartet, weil es mich interessiert, wie ich automatisiert sichere und aktuelle SW bekommen kann um unanfälliger für Malware zu sein.

Bei der Installation von ImgBurn hat MBAM eine DLL quarantänisiert und später auch den Installer. Was ohne AV passiert wäre, kann ich nicht sagen. Danke, dass Du das für mich getestet hast, aber ich wollte die Installation nicht ohne AV versuchen, damit ich meinen Rechner nicht gleich hier wieder bereinigen lassen muss. Was mir aber komisch vorkommt ist, dass ein Installer der Adware mitbringt, die bei der Installation aber nicht auf dem Rechner landet. Aber wenn Du magst, kannst Du mir einfach sagen wie es ist oder wie ich es geschickt machen soll. Dann ignoriere ich die MBAM Meldungen. Auf VT sollte man sich verlassen können und wenn VT 37 Scanner mit Meldungen zeigt (s. Screenshots oben), würde ich die SW in keinem Fall installieren. Nicht mit und nicht ohne Choco.

Bisher habe ich alle meine Posts sachlich, wahrheitsgemäß, freundlich und fair geschrieben, oder? Kein Trollen, kein Spam. Meine Beobachtung versuche ich immer mit Screenshots und Logs zu belegen und die TB-Regeln zu beachten.

Dass Du mir vorwirfst, absichtlich Falschinformationen zu verbreiten finde ich weder fair noch sachlich. :( Wie kommst Du da drauf?

Weil du hier ständig den Eindruck erwecken willst, dass man mit choco ins offene Messer rennt. Und das ist einfach nachweislich falsch beim Paket imgburn. Ich hab schon einige Pakete mit choco installiert und mir ist noch nie Adware damit reingekommen.

Was bitte willst du jetzt sonst mit diesem Thread bezwecken? :wtf:

Na ja cosinus, irgendwas scheint aber beim Installer von imgburn von deren Homepage faul zu sein. Bei mir wurde heute auch besagter Installer angemeckert vom AV und dann in Quarantäne gelöscht, konnte den Installer nicht einmal ausführen.

Man wie oft denn noch: ja der Original-Installer von imgburn enthält Adware!! :kloppen:
Wer manuell installiert muss halt eben bei der Installation aufpassen, aber wenn man mit choco installiert, wird keine Adware installiert. Ich hab das doch eben extra nochmal gepüft! :wtf:

Was ich mit dem Thread bezwecken will habe ich doch ganz ausführlich geschrieben. Und wenn ich nicht an einen ehrlichen Austausch interessiert wäre, müsste ich doch nicht mühsam mit Dir über meine lauteren Absichten streiten und Screenshots und Quellen raus suchen. Dann würde ich einfach nicht mehr schreiben.

Das TB bringt einem bei, vorsichtig und achtsam mit Downloads umzugehen und ich mache genau das. Hier nochmal die VT-Ansicht vom ImgBurn-Installer von gerade eben. Da kommt man über einen Link von der Chcolatey HP hin. Sag mir, was Du siehst und ob ich das aus Deiner Sicht einfach installieren soll.

Auf meine "Abuse"-Meldung an Choco habe ich heute eine Antwort bekommen. Mal schauen, ob was passiert und ob sich was tut.

Eins noch. Bisher wurde mir auf dem TB super geholfen. Ich habe mich ausführlich bedankt und auch was gespendet. Cosinus wenn Du das Gefühl hast, dass ich lieber hier auf dem TB den Mund halte sollte, weil ich das Forum unterminiere, dann sag's. Schade zwar, aber so isses dann halt.

LordSoth, warum schwenkst du nicht auf ein anderes Brennprogramm um? ich nutze seit Ewigkeiten CDBurnerXP: https://cdburnerxp.se/de/download von dem es einen Adware freien Installer gibt.

Naja, ich hatte halt den Eindruck, dass hier Falschinformationen/FUD verbreiten willst. Weil nach meinem Test es keinerlei installierte Adware gab du aber hier ständig auf das böse setup von imgburn herumreiten musstest.

Was soll denn jetzt der Screenshot von VT, was soll das beweisen? Wir wissen doch schon längst dass in diesem Setup Adware drin ist und wer nicht aufpasst bei der Installation hat halt Adware. Aber ich wiederhole mich, nach der Installation von imgburn mit choco hatte ich keine malware. Spätestens dann wenn sich irgendwann die Adware nicht mehr abwählen lässt, muss choco das Paket aus seinem repo entfernen.

@Schlawack. Danke für den Tipp. :) Eigentlich brauche ich nicht wirklich ein Brennprogramm. Das könnte ich auch einfach runter schmeissen. Diesen ganzen Aufruhr gibt es nur, weil halt der Installer bei meinem ersten Choco-Versuch nicht ganz koscher war. Sonst nix.

Also komm Cosinus, lass uns Frieden schließen :)

Ich glaube Dir doch dass die Installation von ImgBurn mit Choco keine Adware auf dem Recher hinterlässt. Ich achte auch definitiv Deine Kompetenz aber ich würde mich nicht trauen, die SW bei dem VT-Befund auf meinem Rechner zu installieren. Egal über welchen Weg. Dafür reichen meine bescheidenen Kenntnisse bei weitem nicht aus.

Wenn Du magst, kannst Du den Thread damit auch dicht machen. Es ist -glaube ich- alles gesagt, oder?

Dank an alle, die Beiträge geschrieben haben, um mir zu helfen.

Ja, dann hab ich dich wohl falsch verstanden :)
Thread kann ich nicht schließen, bin hier kein Mod.

@LordSoth
In dem von mir weiter oben geposteten Zitat von FerventCoder auf der choco-Seite für Imgburn kann jeder nachlesen, was einen bei diesem Paket im Installer erwartet und dass bei Installation mit chocolatey keine AdWare installiert wird.
Ich war nach deinen Ausführungen davon ausgegangen, dass sich nun etwas geändert haben könnte und die AdWare bei dir über choco doch installiert wurde.
Da dies nicht der Fall ist, ist deine gesamte Kritik "Viel Lärm um Nichts".
Wie bereits gesagt, ist dieses Paket ein Sonderfall bei chocolatey. Es wird nur bereitgestellt wird, weil es noch populär genug ist und die Installation der AdWare verhindert werden kann.
Fest steht, dass es 100%ige Sicherheit nicht gibt. choco trägt aber sicher zu Reduktion von Falscheinschätzungen bei.

Danke für die Rückmeldung. Deine Einschätzung/Kritik nehme ich zur Kenntnis. Aber ich mache das Fass jetzt nicht neu auf. Die Threads haben aus meiner Sicht eh teilweise die Tendenz völlig auszufasern und sich im Kreis zu drehen. Es ist imho alles gesagt und sowohl meine Einschätzung/Erfahrung ist oben nachzulesen, wie auch das was Cosinus getestet und dazu zu sagen hat. Punkt. Sonst werden wir hier nie fertig.

Das war wirklich sehr viel Lärm um nichts. Hab imgburn auch nochmal manuell installiert, Doppelklick auf das Setup, was choco runterlud. Ich konnte keine Adware abwählen und offensichtlich wurde auch nichts an Müll bei mir installiert. Morgen schau ich mir die betroffene VM aber nochmal genauer an mit FRST, MBAM und ADWcleaner.

Ein Update will ich Euch nicht vorenthalten. Die Rückmeldung von Chocolatey.org zum Thema ImgBurn:
und in dem Issuecomment auf GitHub:

und weiter:
Für mich sieht es so aus, als würde sich da doch in nicht allzu ferner Zukunft etwas bewegen.