Wie sicher sind Spieleinstallationen mit z.B. Lutris?

[Bestagon]

Man kann ja mittlerweile recht viele Spiele einfach mit Lutris installieren, aber wie sicher ist sowas?

Ich meine man führt irgendwelche Scripte aus, von irgendwelchen Autoren und weiß überhaupt nicht, was da drin steht. Die Autoren sind unbekannte ohne "Vertrauensbonus". Hinzu kommt noch, dass die Installation evtl. funktioniert, aber man nicht genau weiß, was in den Scripte eigentlich noch alles mit installiert wird oder was die machen. Das kann ja vom simplen Daten auslesen bis hin zu irgendwelchen Minern gehen, die mit Userrechten laufen (um das mal auf die Spitze zu treiben).
Gibt es eine einfache Möglichkeit sich dafür zu schützen oder macht das z.B. Lutris sogar und ich weiß es nicht? Gibt es zu der Thematik Untersuchungen oder ist dies evtl. ein unbeleuchteter Bereich was Sicherheit für Gamer bzw. Normalanwender unter Linux angeht?

 

[Natriumchlorid]

und weiß überhaupt nicht, was da drin steht.

aber man nicht genau weiß, was in den Scripte eigentlich noch alles mit installiert wird oder was die machen.

Auf der offiziellen Seite von Lutris kann man sich die Skripte im Detail anschauen.
Hier ein Beispiel für FF 14 Online.

Wenn noch Skripte dazu geladen werden müssen, beispielsweise Hilfskripte für die Installation, dann kommen sie meist von Github, wo der Quellcode sichtbar für alle ist.

 

[OLF]

@Natriumchlorid hat ja schon alles gesagt -- es ist open source, du weißt also ganz genau, was drin steht. Ergänzend nur noch: Auch Lutris selbst ist quelloffen: https://github.com/lutris. Abgesehen von den Binaries der Spiele selbst ist also wirklich alles transparent. Und bei denen vertraust du ja auch auf Windows den Herstellern, dass z.B. EA dir nicht plötzlich einen Miner mit dem nächsten FIFA unterjubelt.

 

[Bestagon]

@Natriumchlorid

Genau darum geht es. Wer schaut sich das an? Wer schaut sich die verlinkten Scripte in den Scripte an und wer weiß wie viele solcher Links es gibt? Es gibt keine "sicheren" Quellen dafür, nur irgendwelche Scripte die evtl. auf Github liegen und dort im Zweifel irgendwelche anderen Scripte nachziehen.
Gibt es irgendeine Qualitätskontrolle bei Lutris? Bewertet das irgendjemand? Kann jeder da ein Script hochladen? Wer weiß, ob das Script heute das selbe ist wie gestern oder morgen?
Für mich stellen sich halt viele Fragen, gerade aus Sicht von Gamern die man ja auch für Linux gewinnen will.

Ist man, wenn man nicht gerade Steam nutzt, beim Gaming auf Linux wirklich irgendwelchen willkürlichen Scripten ausgeliefert? In deinem Beispiel wird auch auf irgendeine Binary auf Github verlinkt die dann installiert wird, woher weiß ich, was da drin ist? Es gibt ja nicht mal eine Hashwert den ich mit der "original" Windows exe vergleichen kann.

 

[Pyrukar]

EA dir nicht plötzlich einen Miner mit dem nächsten FIFA unterjubelt.

sag sowas nicht zu laut ... das könnte EA noch als Marktlücke erkennen ... nach dem Motto entweder du tätigst pro Stunde mindestens eine Micro Transaktion oder wir minen eben auf deiner Hardware nebenher bitcoin solange das spiel läuft ... klingt doch fair: entweder bekommt EA das Geld oder EA und der Stromanbieter ... klassische Win Win Situation aus dem Standpunkt von EA

 

[schiz0]

Wer schaut sich das an?

Naja, in erster Linie würde ich mal sagen das sich das Leute anschauen die den Code lesen und verstehen können und eventuell an der Entwicklung teilnehmen. Das ist ja das "schöne" an OpenSource.

Hast dir schonmal Gedanken gemacht, wer überhaupt den ClosedSource der Spiele überprüfen kann und ob dir da nicht irgendwas "untergejubelt" wird?

 

[Bestagon]

@schiz0
Ja das Argument ist doch klar, aber hier geht es nicht darum, an irgendeiner Stelle muss man Vertrauen haben und das ist halt bei Spielen der Auslieferungszustand der Hersteller. Da gibt es keine extern eingebundenen Scripte die jeder Heiopei aus dem Internet erstellen und verlinken kann.

 

[OLF]

Lutris wird mit Sicherheit keine große Qualitätssicherung haben -- schon gar nicht für die Files zu den einzelnen Spielen. Auf github sind dort scheinbar 3 Leute dabei, auf deren Seite ist nur der Gründer aufgeführt. Zumal die außer Spenden, wenn ich das richtig sehe, ja auch kein Geld damit verdienen.

"Qualitätssicherung" passiert am Ende über die Community. Hat ein Spiel nur eine kleine, ist die Wahrscheinlichkeit, dass Jemand die Skripte prüft, also evtl wirklich nicht sehr groß. Dann ist das Spiel für einen möglichen Angreifer aber auch nicht sehr interessant, gerade weil es eine kleine Community hat. Aber weil halt alles quelloffen ist, könnte zumindest jederzeit Jemand prüfen. Aber es stimmt schon, auf der Lutris-Seite ist erst mal nicht ersichtlich, ob sich ein Skript von gestern auf heute geändert hat. Wenn ein Git-Repo dahinter steht, ist es dann doch nachvollziehbar, aber das muss wohl nicht notwendigerweise der Fall sein.

Ein ganz wesentlicher Punkt ist aber: Du bist ja auch nicht auf Lutris angewiesen, wenn du dem Konzept nicht traust. Wenn du auf Nummer sicher gehen willst, nimm ein "nacktes" Wine und konfiguriere es selber für deine Spiele.

Wie @schiz0 sagt, musst du dir dann aber vielleicht auch Gedanken machen, wie es eigentlich um die Qualitätssicherung bei Valve, Epic, etc. bestellt ist. Nicht nur bzgl. der Plattformen, sondern auch bei den Spielen die darüber vertrieben werden.

Da gibt es keine extern eingebundenen Scripte die jeder Heiopei aus dem Internet erstellen und verlinken kann.

Viel mehr gehört halt auch nicht dazu, bei Steam ein Spiel anzubieten oder über den Play Store. Und da hast du dann oft nicht mal den Quellcode.

 

[Bestagon]

Bei dem einen muss man nur dem Unternehmen vertrauen, bei dem anderen dem Unternehmen und den x anonymen Internetmenschen die nichts zu verlieren haben, noch nicht mal ihren Ruf. Welches problematischer ist, sollte klar sein.
Und wer schaut sich den Code an? Woher weiß man, ob sich das jemand angeschaut hat? Die wenigsten Leute werden das was die da sehen wirklich richtig bewerten können und die paar die es machen, können sich schlecht um alle öffentlich Codes kümmern.
Mir geht es hier speziell um Lutris, weil es überall blind als "Supertool" für Linuxgamer angepriesen wird (auch hier im Forum) und ich nirgendwo auch nur einen Hauch an Zweifeln zu der Sicherheitsproblematik erkennen konnte. Imho sollte da gerade die OSS-Community mehr drauf schauen, als Leute die stumpf exe-Dateien auf Windowskisten ausführen.

 

[Natriumchlorid]

Genau darum geht es. Wer schaut sich das an?

Also wenn du dir tatsächlich solche Sorgen machst, warum schaust dir dann das nicht selbst im Detail an? So kryptisch sind die Skripte jetzt nicht.

Es gibt keine "sicheren" Quellen dafür, nur irgendwelche Scripte die evtl. auf Github liegen und dort im Zweifel irgendwelche anderen Scripte nachziehen.

@schiz0 hat es im Prinzip schon erwähnt.
Du machst dir Sorgen um quelloffene Skripte, welche von der Community zur Verfügung gestellt werden, damit wir den Genuss von Windows-Titel in einer Linux-Umgebung kommen.

Was ist jedoch mit den Binaries von EA? Vor Jahren hieß es doch schon, dass Origin den Nutzer ausspäht. Darüber würde ich mir tatsächlich mehr Gedanken machen. Niemand weiß, was die heutzutage treiben. Und damit ist EA auch bei weitem nicht alleine. Der Launcher für Cities: Skylines, welcher von Paradox kommt und auch nativ unter Linux verfügbar ist, sammelt auch schön Daten von dir mit.

Mir geht es hier speziell um Lutris, weil es überall blind als "Supertool" für Linuxgamer angepriesen wird (auch hier im Forum) und ich nirgendwo auch nur einen Hauch an Zweifeln zu der Sicherheitsproblematik erkennen konnte.

Wie gesagt, du bist auf Lutris nicht angewiesen. Du kannst auch nur Proton unter Steam verwenden. Da steckt dann nur ein Unternehmen dahinter, wenn das für dich relevant ist.

Zudem kannst du dir sicher sein, dass die Community sich zu Wort melden wird, falls Skripte erscheinen, welches böswillige Absichten hat. Es gibt viele Programmierer, die sich genau mit solchen Dingen in ihrer Freizeit beschäftigen.

 

[leonavis]

Für mich stellen sich halt viele Fragen, gerade aus Sicht von Gamern die man ja auch für Linux gewinnen will.

Du hast Linux missverstanden. Wenn Du den Entwicklern nicht vertraust, dann zwingt Dich niemand, die frei verfügbaren Scripte zu benutzen. Wenn Du den Quellcode nicht überprüfen kannst und kein Vertrauen den Entwicklern gegenüber aufbringst, ganz richtig: Benutz' es halt nicht.

Dass Du glaubst, dass da irgendwelche Mining-Operationen ausgeführt werden würden, zeigt noch mehr Dein Unverständnis. Selbst wenn sich niemand den Quellcode durchlesen sollte, so würde nach kürzester Zeit, die das online steht, jemanden auffallen, dass da was schief ist, im schlimmsten Fall durch hohe CPU-Auslastung oder ähnliches. Und dann? Dann wird das kommuniziert und entfernt, in Rekordgeschwindigkeit. Aber die Rechteverteilung in Linux liegt auch eigentlich so, dass das nicht wirklich möglich ist; und selbst wenn: Wer sollte das machen, und warum? Wieviele Leute laden sich das runter, benutzen das Script? Wenige, sehr wenige; das reicht über nen Jahr nicht mal für nen Dollar, und online stehen würde das ganze vielleicht zwei Tage.

Zuletzt: Niemand will irgendwen "gewinnen". "Back in the day" hat man auf WineHQ geguckt und das alles selbst gemacht. Heute gibt's da Leute die freundlich genug sind einem das Gros der Arbeit abzunehmen und all das, was über Quellen wie WineHQ kommuniziert wird, zusammenzufassen in einem Script. Das kannst Du nehmen, das musst Du aber nicht. Es ist gratis. Nimm's oder lass liegen.

 

[BieneMafia]

Wie schon geschrieben wurde, kannst du dir auch bei jedem Spiel deine eigene Wine Umgebung machen.
Lutris ist nur ein Helfer, den man aber nicht braucht. Noch älter als Lutris ist "PlayonLinux". Ein bezahlbare Version wer "CrossOver". Ja, den wer dann wohl alle nicht zutrauen. Das schöne bei Linux ist auch, solange ich bei einer "Spiel Installation" mein Root Passwort nicht eingeben muss, solange mache ich mir auch keine Gedanken.

 

[SpamBot]

Welches problematischer ist, sollte klar sein.

Da wäre ich vorsichtig, letztendlich kann auch in einer Firma ein Praktikant oder sonst wer Schadcode einbringen. Sowas ist auch schon größeren Firmen passiert und der Schunt wurde über Auto Updates verteilt.

 

[Wochenende]

Ich meine man führt irgendwelche Scripte aus, von irgendwelchen Autoren und weiß überhaupt nicht, was da drin steht.

Bei Lutris gibt es weniger als 500 Windows-Spiele mit mehr als 1000 Benutzern. Insgesamt ca 13000 Spiele für alle Plattformen, davon mehr als die Hälfte mit 3 oder weniger Nutzern. Die "Installer" beinhalten meist nur simpelste Shell-Befehle und können mit einem Mausklick betrachtet werden. Ein Abgrund an Schadprogrammen sieht anders aus.

Ich persönlich schätze das Risiko in dem konkreten Fall als minimal größer ein, als im Bett von einem herabstürzenden Flugzeugteil erschlagen zu werden.

Zum Vergleich: Google Play hat insg. 3,5 Mio, Windows Store 670000 Apps. Im Play Store wurde Malware mit >100000000 Installationen gefunden.

 

[leonavis]

Im Play Store wurde Malware mit >100000000 Installationen gefunden.

Ja, der play store ist wahrlich nix für den technischen Laien. Qualitätssicherung sieht anders aus.