Chocolatey - wie könnt Ihr Euch so sicher sein?
 

Hier wird ja mächtig die Werbetrommel gerührt für Chocolatey.
Keine Frage: BEQUEM ist das Tool. Aber warum sollte es sicherer sein?
Ich habe gerade Crystaldiskinfo per choco installiert. Chrystaldiskinfo kann man auch beim ehrenwerten Heise-Verlag herunterladen, dort mit einem Warnhinweis auf möglicherweise enthaltene Adware:

https://www.heise.de/download/product/crystaldiskinfo-59349/download

Woher wollt Ihr wissen, dass diese Adware nicht auch im Chocopaket enthalten ist?

P.S.: Ich meine natürlich nicht, dass die Adware direkt in Chocolatey enthalten ist (obwohl auch das vorstellbar wäre), sondern dass über Chocolatey die gleiche Abware-verseuchte Installationsdatei heruntergeladen wird wie wenn man die Installationsdatei über Heise bezöge...

Ich denke (als nicht Chocolatey-Nutzer), dass man
a) nur von der Herstellerseite das Paket installieren sollte und
b) es eine Sache des Vertrauens ist und
c) das Projekt Opensource ist und recht weit entwickelt und gemanaged wird. So kann man eigentlich sicher sein, dass es keine Adware an Bord hat. Das widerspräche dem Grundgedanken von Opensource und GNU.

Ich denke Cosinus wird da auch noch etwas zu einfallen.


:abklatsch:

Die Packages, die man mit Chocolatey herunterladen kann, werden bei jeder neuen Version automatisch und durch eine menschliche Moderation geprüft (bei not-trusted packages), bevor sie veröffentlicht werden. D.h. Checksummen werden vor der Installation verglichen, die Packages werden alle einem VirusTotal-Check unterzogen und die URLs der Quellen werden überprüft, ob sie wirklich von den offiziellen Herstellerportalen kommen.
Man sieht diese Ergebnisse von VirusTotal auch auf der Package-Seite des jeweiligen Packages auf chocolatey.org.

Mehr Infos gibt es dort:
https://chocolatey.org/security#chocolateyorg-packages
https://chocolatey.org/docs/moderation

Hinweise zu chocolatey zu geben und die Vorteile gegenüber manuellem Download plus Rumgeklicke bei der Installation zu erörtern interpretierst du als mächtig die Werbetrommel zu rühren? :wtf:
Ist dir eigentlich aufgefallen, wie viele Hinweise wir zur Absicherung eines Rechners geben? choco ist da ein guter Punkt, aber halt eben einer von vielen. Meine Gedanke war, dass die Leute eben genau deswegen chocolatey verwenden sollen, damit eben nicht wieder von softonic und chip.de irgendein Müll geladen wird.

Hast du mal den angepinnten Thread gelesen? Es wurde doch erklärt, dass choco die Setup aus einer originalen Quelle lädt. Das ist unendlich mal besser, als wenn ein Laie über Google irgendwas zusammensucht und letztenendes doch wieder bei chip oder softonic landet. Oder bei einer der vielen Verarscheißerseiten wie zB vlc.de, openoffice.de, audcity.de.

Wenn die original Setupdatei schon adware enthält ist das was völlig anderes, als ein manipuliertes Setup von einen der vielen Verarscher runterzuladen. CrystalDiskInfo hat übrigens schon seit einiger Zeit auch adwarefreie Archive - und selbst das steht bei heise!

"CrystalDiskInfo steht in zwei verschiedenen Versionen zum Download bereit. Neben der Editition zur Installation ist eine portable Version des Programms erhältlich, die gänzlich Open-Source sowie frei von Werbung ist und sich sich auf einem USB-Stick mitnehmen lässt, um "unterwegs" Festplatten zu analysieren. Eine fest installierbare Version ist ebenfalls erhältlich, diese ist jedoch werbefinanziert und bringt daher Adware mit. Darüber hinaus kann man auch den Quelltext des Programms herunterladen."


Ich installiere sehr viele Rechner mittelns chocolatey v.a. im Büro. Noch nie wurde mir da Adware untergeschoben. Es sei denn man bezeichnet Google Chrome als Adware, der kam unerwünscht mal mit als ich den defraggler über choco installierte.

choco löst nicht alle Windows-Probleme auf dieser Welt, kann es auch garnicht, es ist eher eine Krücke, aber Windows hat nunmal klare Defizite durch die fehlende Paketverwaltung.