Daniel Leidert wrote: > | Disclaimer: Information on this site is not part of the > | Debian-Project!
Und das tut zur Sache? > Auch hier gilt: Paket ohne Quelle, das angeblich von Opera stammt. Um > das zu prüfen muss die md5-Summe herangezogen werden, was apt-get nicht > tut. Macht ja auch nicht Sinn, das orig.tar.gz mit Upstream zu vergleichen. Der, der das Paket ins Archiv geladen hat, garantiert mit seinem Namen nach bestem Wissen und Gewissen dafuer, dass das Paket integer ist. > Ergo müsste es der User selbst tun und dann kann er sich das Paket > auch von der Originalquelle besorgen. Dann soll er das doch machen. Jedem soviel Aufwand, wie er vertraegt. > Nochmal: Wodurch wird das > Binary-Paket vertrauenswürdig? Darum gehts (urspruenglich) nicht. Gefragt war ein Repository, das aktuelle Opera Pakete fuehrt und zeitnahe Updates hat. Debian Unofficial erfuellt dies. > Weil dein Name unter > http://www.debian-unofficial.org/legal.html steht? Ob mir jemand vertraut, ist mir voellig egal und ist jedem selber ueberlassen (und ist auch primaer nicht das Thema dieses Threads). > Im Übrigen halte ich: > > |$package cannot be uploaded into the official Debian repository, (i.e. > |binary only stuff [..] > ^^^^^^^^^^^^^^^^^^ Das ist eine unvollstaendige Liste von Gruenden, warum ein Paket nicht in Debian sein kann, und darum ein moeglicher Kandidat fuer Debian Unofficial ist. > für mehr als zweifelhaft und problematisch. Drittquellen für > closed-source-Software sind per Definition nicht vertrauenswürdig. Wer > überprüft in diesen Fällen, dass das Paket keine Schadfunktionen > enthält? Wer prüft, dass das Paket auf dem Weg vom Hersteller/Autor bis > zu eurem Repository nicht verändert wurde? Tust du das? Woran kann ich > das als (theoretischer) Endbenutzer prüfen? Darum geht es nicht, siehe oben. Wenn du Opera nicht traust, brauchst du mir auch nicht zu trauen. Wenn du Opera (oder jedes andere Paket aus Debian Unofficial) installieren willst, kannst du das auch von der Originalquelle besorgen und hoffen, dass du moeglichen Schadcode siehst. Wenn du nicht soviel Aufwand treiben moechtest oder kannst, dann installierst du das Paket aus Debian Unofficial - denn genau dafuer ist das Repository da: das zur Verfuegungstellung von Paketen in einem zentralen Repository von Paketen, die (aus guten Gruenden) nicht in Debian sind, aber trotzdem viele Leute gerne haben moechten/nutzen. Dass diese in einem einzigen, unabhaengigen Repository gesammelt sind, ist nur eine Frage der Bequemlichkeit und Dienstleistung gegenueber den Nutzern. Falls du je mal ein Paket aus Debian benutzt hast von mir, hoffe ich, dass du mit genau derselben Paranoia an die Sache rangehst - auch da ist es ganz gut moeglich, potentiellen Schadcode einzuschleusen den _erstmal_ niemand entdeckt. -- Address: Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist Email: [EMAIL PROTECTED] Internet: http://people.panthera-systems.net/~daniel-baumann/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
