Wozu soll eine Signatur gut sein? Der vermeintliche Viren Schreiber muss sich doch zunächst erstmal Zugang zu den Servern verschaffen wo die Pakete verteilt werden. Wenn er das wirklich schaffen sollte, wird er auch noch eine Signatur falschen können. Ich finde der Aufwand steht in keinem Verhältnis zum Nutzen.
Signierte Pakete
"Böse" Pakete unterzuschieben ist recht einfach. Wir haben keien Kontrolle über die Mirrors und jegliche Kommunikation ist unverschlüsselt.
Und eine Signatur kann man ohne den Private Key eben nicht fälschen. Das ist ja der Witz daran.
Ich weiß auch nicht, ob gpg hier die einfachste Lösung mit seinem Web of Trust ist. Evtl. ist die Lösung mit SSL-Zertifikaten besser.
Und eine Signatur kann man ohne den Private Key eben nicht fälschen. Das ist ja der Witz daran.
Ich weiß auch nicht, ob gpg hier die einfachste Lösung mit seinem Web of Trust ist. Evtl. ist die Lösung mit SSL-Zertifikaten besser.
Wenn er das könnte, würde er keine Viren schreiben, sondern sich den mit 250.000 Dollar dotierten Turing-Award für den Beweis von P=NP greifen.Apollo Costa schriebWenn er das wirklich schaffen sollte, wird er auch noch eine Signatur falschen können.
Die Frage ist vor allem, mit welcher Technik sich derjenige auskennt, der das Schlussendlich implementieren wird. Ich denke, das wird gpg sein.Ich weiß auch nicht, ob gpg hier die einfachste Lösung mit seinem Web of Trust ist. Evtl. ist die Lösung mit SSL-Zertifikaten besser.
Das heißt du spendest beim Roten Kreuz auch nur Blut, wenn du tatsächlich eine Unfall erleiden solltest? Du gibst der Arche / der Tafel nur essen, wenn du weißt, dass - solltest du mal bedürftig sein - du auch eine Extra-Wurst bekommst?Belbro schriebIch spende erst wieder für Archlinux, wenn signierte Pakete unterstützt werden.
Sorry, aber dein verhalten ist kindisch und hat in diesem Forum imho nichts zu suchen (auch wenn ich das nicht zu entscheiden habe). Wenn du signierte Pakete möchtest, dann wechsel die Distribution, schreibe einen Patch, oder sprich das Thema zivilisiert an - aber wenn, dann grabe alte threads wieder hoch, statt neue Threads zu spammen.
Btw.. ich vermisse die signierten Pakete nicht. Eher würde ich beim AUR trustet-PKGBUILDs einbauen.. wenn 5-10 andere AUR-nutzer sagen, das BUILD is clean, dann bekommts nen Grünes Emblem, wird das PKGBUILD editiert, verlfiegt das Emblem, bis die nutzer das neue wieder begutachtet haben. Das kann man auch für effiziens des PKGBUILDS und lesbarkeit machen... spart arbeit beim prüfen der BUILDs.
Also mir fehlt irgendwo der Sinn so ziemlich in der Mitte der Kette Entwickler -> Enduser ein Sicherheitssystem installieren zu wollen. Wenn die Kette nicht durchgängig ist, hat man nichts gewonnen.
Viele ( die Meisten ? ) Projekte, besonders Kleine, signieren ihre Quellen nicht. Der Paketbauer holt von dort einen Tarball und baut sein Paket und er muss darauf vertrauen, dass die Quellen sauber sind. Sind sie es nicht, hat der User signierte Schadsoftware auf der Kiste.
Ich persönlich brauche signierte pakete nicht, da ich selbst kompiliere und die Quellen direkt beim Entwickler hole (bzw. dort wo er hostet). In jedem Fall ist Vertrauen nötig, egal wie man es macht.
Jean-Paul
Viele ( die Meisten ? ) Projekte, besonders Kleine, signieren ihre Quellen nicht. Der Paketbauer holt von dort einen Tarball und baut sein Paket und er muss darauf vertrauen, dass die Quellen sauber sind. Sind sie es nicht, hat der User signierte Schadsoftware auf der Kiste.
Ich persönlich brauche signierte pakete nicht, da ich selbst kompiliere und die Quellen direkt beim Entwickler hole (bzw. dort wo er hostet). In jedem Fall ist Vertrauen nötig, egal wie man es macht.
Jean-Paul
Hab ich mit einem Wort gesagt, dass es keine signierten Pakete geben soll ?Kiste1985 schriebAehm? Ist ja schoen, dass du meinst, keine signierten Pakete zu benoetigen. Andere moechten das aber evtl schon haben?
Naja, was soll ich sagen - hauptsache signiert, oder was ? Ist völlig egal, was zwischen Entwickler und Paketbauer passiert, hauptsache "mein Maintainer" signiert die Dinger. Ich hole auch nichts auf irgendwelchen Mirrors ab, sondern beim Projekt.Kiste1985 schriebIch habe kein vertrauen in Dateien/Pakete, die auf irgendwelchen Mirrors rumliegen. Schon eher vertraue ich da einem Maintainer, der beim Bauen des Pakets dieses auch signiert, so dass ich prüfen kann, dass das Paket, was ich grade installieren will, wirklich von ihm stammt.
... aber noch nicht abgeschlossen. Und solange die Kette nicht geschlossen ist, machen signierte Pakete wenig Sinn.Kiste1985 schriebIch habe mich grade mal ein wenig im GIT umgesehen. Ein Versuch das ganze mit GPG zu machen ist ja wohl schon seit Laengerem im Gange.
Jean-Paul
[gelöscht]
Naja, ich wäre dabei! Ich würde für dieses Thema schon ein paar Kröten locker machen. Vielleicht kommt da auch etwas an Kohle zusammen wenn es Mehrere werden... Also falls es doch Mal eine Möglichkeit gibt, bitte E-Mail/Info an mich da.matthias schriebWie oben schon berichtet - jeder will signierte Pakete, keiner macht es.
Gegen projektbezogene Spenden wäre übrigens (ZUSÄTZLICH zu den regulären Spenden!) gar nichts einzuwenden. Der einzige Versuch in dieser Richtung ist jedoch leider bereits im Brutkasten verstorben:
http://archlinux.me/dusty/2010/01/22/death-of-arch-bounty/
Grüße Belbro
[gelöscht]
P.S. ich spende immer wieder Mal für Projekte, deren Software ich ich nutze!! Wenn ich hier so einige Antworte lesen, dann kann ich nur noch laut lachen ***
@The_Muh hast du den ganzen Thread gelesen? Dir ist schon bewusst, dass das erste Posting ursprünglich im Thread "Helft al.de"/Spendenthread gepostet wurde?
Die Aussage an sich finde ich auch nicht gut, aber so wie sie jetzt interpretiert ist war sie glaube ich nicht gemeint.
So wie es ursprünglich im Kontext mit dem Spendenthread zu lesen war hat es sich wohl eher auf witzig/ironische Art heißen sollen: "Hey wann gibt's bei dieser saugeilen Distribution mal signierte Pakete?"
Die Aussage an sich finde ich auch nicht gut, aber so wie sie jetzt interpretiert ist war sie glaube ich nicht gemeint.
So wie es ursprünglich im Kontext mit dem Spendenthread zu lesen war hat es sich wohl eher auf witzig/ironische Art heißen sollen: "Hey wann gibt's bei dieser saugeilen Distribution mal signierte Pakete?"