Am Mittwoch, den 21.09.2005, 13:31 +0200 schrieb Daniel Baumann: > Daniel Leidert wrote: > > Und das Repository wäre? Was ist für dich in diesem Fall eine > > "vernünftige Quelle"? Nach meinem Verständnis von "vernünftig", vor > > allem in Bezug auf Sicherheitsaspekte, ist der Hersteller der Software > > eine "vernünftige" Quelle, vor allem bei Paketen, zu denen es keine > > Quellpakete gibt. Nur leider ist das Opera-Repository hoffnungslos > > veraltet. Binary-Pakete in privaten Repositories sind mir immer suspekt. > > Das scheint mir ein gutes Einfallstor für Malware zu sein. > > http://www.debian-unofficial.org/
| Disclaimer: Information on this site is not part of the | Debian-Project! Auch hier gilt: Paket ohne Quelle, das angeblich von Opera stammt. Um das zu prüfen muss die md5-Summe herangezogen werden, was apt-get nicht tut. Ergo müsste es der User selbst tun und dann kann er sich das Paket auch von der Originalquelle besorgen. Nochmal: Wodurch wird das Binary-Paket vertrauenswürdig? Weil dein Name unter http://www.debian-unofficial.org/legal.html steht? Im Übrigen halte ich: |$package cannot be uploaded into the official Debian repository, (i.e. |binary only stuff [..] ^^^^^^^^^^^^^^^^^^ für mehr als zweifelhaft und problematisch. Drittquellen für closed-source-Software sind per Definition nicht vertrauenswürdig. Wer überprüft in diesen Fällen, dass das Paket keine Schadfunktionen enthält? Wer prüft, dass das Paket auf dem Weg vom Hersteller/Autor bis zu eurem Repository nicht verändert wurde? Tust du das? Woran kann ich das als (theoretischer) Endbenutzer prüfen? MfG Daniel
