Daniel Leidert wrote: > Das es evtl. in der Qualitätssicherung deutliche Unterschiede zu > offiziellen Projekten, die im Zusammenhang mit dem inoffiziellen Projekt > stehen, existieren?
Koennte man vermuten, ist aber nicht so. > Weil? Der Hersteller hat keine Einsicht in den Quellcode? Die > Wahrscheinlichkeit ein manipuliertes Microsoft-Update auf deren > Webseiten oder in File-Sharing-Pools zu finden ist gleich groß? Sorry, > aber deine Argumentation ist fadenscheinig. Nicht jeder Hersteller ist > per se vertrauenswürdig, aber Drittquellen damit gleichzusetzen, finde > ich mehr als lächerlich. Auf der einen Seite haben wir den Upstream, auf der anderen Seite der Redistributor. Das, was Upstream macht (immer bei binary-only jetzt) koennen wir aussenstehende nicht kontrollieren. Das, was der Redistributor (in diesem falle hier ich) mache, kann man kontrollieren. Da man meine Pakete kontrollieren kann, ob die Dateien darin identisch sind wie die vom Upstream, sind sie also *genau* gleich betroffen von potentiellem Schadcode; *nicht* mehr und *nicht* weniger. > Jetzt sprichst du offenbar von Sicherheitslücken innerhalb der Software. > _Die_ standen tatsächlich nicht zur Debatte. Nein, ich spreche immer von irgendeiner Art Schadcode, ob das sich in Form einer Sicherheitsluecke oder in Spyware, Viren, $whatever aeussert, ist erstmal egal. > Auf der Seite stand nicht, dass du der einzige Uploader bist. Im > Gegenteil. Also zeichnest du für Binary-only-Pakete verantwortlich? Das > konntest du in der letzten Mail nicht klarstellen? Und btw: Was genau > soll der Hinweis auf die Signatur hier? Dass du etwas signierst, macht > es nicht vertrauenswürdig. Auf der Website siehst du eine Danksagung, das sagt nichts darueber aus, wer was hochgeladen hat oder auch nicht. Alle Pakete sind ausschliesslich von mir gemacht (ausser die zwei Ausnahmen welche auf der Danksagungs-Seite erwaehnt sind). Wie allgemein aus dem .dsc ersichtlich ist, sind alle Pakete im Archiv mit meinem Key signiert, d.h. ich habe alle kontrolliert. Ein nicht signiertes Paket resp. mit dem falschen Key signiertes Paket kann nicht von Debian Unofficial kommen. Leider mekert apt aus Sarge das nicht, falls es nicht stimmen wuerde (falls, hypotehtischerweise, jemand in den Server einbricht und kurzfristig ein Paket unterjubeln/austauschen wuerde). Du darfst aber gerne Apt 0.6 verwenden, der diese Verifikation uebernimmt. > Nein, Redistribution von binary-only ist unsicher für den Endanwender, > ganz unabhängig davon, wie unsicher oder vertrauenswürdig der Hersteller > selbst ist, denn hier muss auch noch der Redistributor vertrauenswürdig > sein, da durch das Fehlen der Quellen böswillig Schadfunktionen auf > recht einfache Art und Weise untergebracht werden können. Das war die > Begründung dafür, dass es kein vernünftiges Repository für Opera gibt. > Und du kannst noch so oft mit einem ... ...wie gesagt, ueberpruef es. > Wie kommst du dazu, das Vertrauen in den Hersteller mit dem Vertrauen in > den Redistributor gleichzusetzen? Weil es ueberpruefbar ist, welche Aenderung ich allenfalls gemacht habe. Tust du das bei jedem Paket nachkontrollieren, koennte sich eventuell nach einer gewissen Zeit sogar Vertrauen gegenueber mir einstellen. > Das garantierst du? Für alle Pakete? Bist du bereit, das schriftlich > niederzulegen? Z.B. auf der Projekt-Seite? Natuerlich. Schlag mir einen ensprechenden Text vor. > Und du testest und führst die angesprochenen Maßnahmen durch? Ich frage > mich gerade, welche Pflichten deine obige Garantie so nach sich ziehen > würde. Natuerlich mach ich das. Falls etwas mit einem Paket nicht stimmt, faellt das auf mich persoenlich zurueck. Deshalb ueberpruefe ich die Pakete ensprechend. >>Ueber die Debian Infrastruktur gibt es auch binary-only Pakete. > > Habe ich noch nicht gesehen. Beispiele? blender (nur woody), nvidia driver, div. firmware pakete.. es sind ziemlich viele. > Na, da kann ich nur hoffen, dass du nicht zu "faul" bist, die Pakete > immer ordentlich zu überprüfen. Vor allem wenn das Projekt wachsen > sollte. Bei Gelegenheit wirst du dann vielleicht an deine "Garantie" > denken. Wenn dus mir nicht glaubst, was dein gutes Recht ist, kann ich dich nur nochmals aufforden, es zu ueberpruefen. -- Address: Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist Email: [EMAIL PROTECTED] Internet: http://people.panthera-systems.net/~daniel-baumann/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
