Am Mittwoch, den 21.09.2005, 14:11 +0200 schrieb Daniel Baumann: > Daniel Leidert wrote: > > | Disclaimer: Information on this site is not part of the > > | Debian-Project! > > Und das tut zur Sache?
Das es sich um ein inoffizielles Projekt handelt? > > Auch hier gilt: Paket ohne Quelle, das angeblich von Opera stammt. Um > > das zu prüfen muss die md5-Summe herangezogen werden, was apt-get nicht > > tut. > > Macht ja auch nicht Sinn, das orig.tar.gz mit Upstream zu vergleichen. Nö, natürlich nicht. Ich frage mich gerade, warum das bei Sponsoren so üblich ist (.orig.tar.gz durch Upstream-Archiv austauschen und mit dpkg-source -x ... dpkg-buildpackage neu bauen) und AFAIK allgemein zur guten Praxis gehört. Die Reject-FAQ ist dir bekannt? Die Policy ebenfalls? Such mal nach Aussagen zum Neupacken von Quellen. Es gib da so einen Punkt, der das genaue Gegenteil deiner Aussage belegt. > Der, der das Paket ins Archiv geladen hat, garantiert mit seinem Namen > nach bestem Wissen und Gewissen dafuer, dass das Paket integer ist. Ahja. _Das_ nenne ich Garantien, vor allem bei Binary-Paketen ohne Quelle. > > Ergo müsste es der User selbst tun und dann kann er sich das Paket > > auch von der Originalquelle besorgen. > > Dann soll er das doch machen. Jedem soviel Aufwand, wie er vertraegt. Nein: Jedem soviel Sicherheit wie ihm zusteht. > > Nochmal: Wodurch wird das > > Binary-Paket vertrauenswürdig? > > Darum gehts (urspruenglich) nicht. Ach nein? Es ging um eine "vernünftige" Quelle für ein Binary-only-Paket. Deine Aussage war, du hättest eins und ich würde es nur nicht kennen. Ich behaupte, dass das (aus Sicherheitsgründen) nicht der Fall ist, vor allem da du Fragen nicht beantworten willst. Gehen dir die Argumente aus? > Gefragt war ein Repository, das > aktuelle Opera Pakete fuehrt und zeitnahe Updates hat. Nein. Gefragt war "vernünftig". Was du darunter verstehst und was ich darunter verstehe sind offenbar zwei verschiedene Paar Schuhe. Und warum bei Binary-only-Paketen die Quelle eine Rolle spielt, kann sich jeder mit gesundem Menschenverstand selbst ausrechnen. > Debian Unofficial > erfuellt dies. Schön. Allerdings versuchst du dich offenbar um die Thematik Sicherheit zu drücken. Das baut natürlich unheimlich Vertrauen auf, wenn man sagt: "Vertraut uns oder lasst es sein." > > Weil dein Name unter > > http://www.debian-unofficial.org/legal.html steht? > > Ob mir jemand vertraut, ist mir voellig egal und ist jedem selber > ueberlassen (und ist auch primaer nicht das Thema dieses Threads). > > > Im Übrigen halte ich: > > > > |$package cannot be uploaded into the official Debian repository, (i.e. > > |binary only stuff [..] > > ^^^^^^^^^^^^^^^^^^ > > Das ist eine unvollstaendige Liste von Gruenden, Mir ging um den unterstrichenen Punkt, den ich zur Sprache bringen wollte. Was genau willst _du_ mir sagen? > warum ein Paket nicht > in Debian sein kann, und darum ein moeglicher Kandidat fuer Debian > Unofficial ist. Was genau hat das damit zu tun, dass du Binary-only-Uploads aus was-weiss-ich-für-Quellen erlaubst? > > für mehr als zweifelhaft und problematisch. Drittquellen für > > closed-source-Software sind per Definition nicht vertrauenswürdig. Wer > > überprüft in diesen Fällen, dass das Paket keine Schadfunktionen > > enthält? Wer prüft, dass das Paket auf dem Weg vom Hersteller/Autor bis > > zu eurem Repository nicht verändert wurde? Tust du das? Woran kann ich > > das als (theoretischer) Endbenutzer prüfen? > > Darum geht es nicht, Nein, Fragen zu beantworten ist ganz offensichtlich nicht dein Ding. > siehe oben. Wenn du Opera nicht traust, brauchst du > mir auch nicht zu trauen. Ja klar. Alibi-Argument? Ich traue Opera, aber warum soll ich dir oder den Binary-only-Paketen in deinem Repository trauen? Wunschdenken, dass du und alle Uploader liebe, nette Menschen sind, die niemandem etwas böses wollen? Und das bei closed-source-Paketen? Jeder mit etwas Verantwortungsbewusstsein, würde eine derartige Garantie deutlich von sich weisen. Es sagt für meinen Geschmack schon viel aus, dass du dich um die Beantwortung relevanter Fragen drückst. Nur interessehalber: Gibt es im Projekt totalitären Führungscharakter? > Wenn du Opera (oder jedes andere Paket aus Debian Unofficial) > installieren willst, kannst du das auch von der Originalquelle besorgen > und hoffen, dass du moeglichen Schadcode siehst. Wenn du nicht soviel > Aufwand treiben moechtest oder kannst, Sicher. Es gibt genügend Leute, die dem $User versuchen Sicherheitsbewusstsein einzubleuen. Du tust offenbar das Gegenteil. Warum? > dann installierst du das Paket > aus Debian Unofficial - denn genau dafuer ist das Repository da: das zur > Verfuegungstellung von Paketen in einem zentralen Repository von > Paketen, die (aus guten Gruenden) nicht in Debian sind, aber trotzdem > viele Leute gerne haben moechten/nutzen. Ich frage erneut: Welche Sicherheitsrichtlinien verhindern, dass über diese Repository mit Binary-only-Paketen Unfug getrieben wird? Woran kann ich als End-Benutzer erkennen, dass es sich um das originale Paket des Herstellers/Autors handelt? > Dass diese in einem einzigen, > unabhaengigen Repository gesammelt sind, ist nur eine Frage der > Bequemlichkeit und Dienstleistung gegenueber den Nutzern. Weißt du, wieviele "Gimmicks" Windows bietet? Und das btw. auch zugunsten der "Bequemlichkeit und Dienstleistung" gegenüber dem Nutzer. Und weißt du auch, welches Verhalten für Blaster/Sasser und Konsorten verantwortlich war? > Falls du je mal ein Paket aus Debian benutzt hast von mir, hoffe ich, > dass du mit genau derselben Paranoia an die Sache rangehst - auch da ist > es ganz gut moeglich, potentiellen Schadcode einzuschleusen den > _erstmal_ niemand entdeckt. Das ist richtig. Der Unterschied zwischen offenen und nicht-offenen Quellen sollte dir als Paket-Maintainer dennoch bekannt sein. Und ja, mir ist durchaus bewusst, dass es problemlos möglich ist, dem Debian-Projekt von innen Schaden zuzufügen. Genauso wie das für Opera möglich wäre oder jedes andere Projekt. Deine Aussage bestätigt damit nur eins: Es gibt keine 100%ige Sicherheit. Sie kann aber kaum als Argument zählen, Drittquellen per se als vertrauenswürdig zu erachten. MfG Daniel
