Hallo, Am Samstag, 18. August 2007 10:40 schrieb Eric Hoch: > Hmm, wenn ich von Fedora und Co herunterlade ist Torrent für mich > sehr seriös. Jeder Torrent hat einen Hashwert und kann nicht ganz > so einfach mal eben manipuliert werden. Ich kann an einem > Torrentdownload ebenso die md5sum prüfen wie an einem normalen > Download und eventuelle PGP, SHA-1 Signaturen auch.
Wir bieten aber nur Prüfsummen (MD5) an. Mit einer Prüfsumme kann bestenfalls die Integrität der Daten festgestellt werden, nicht aber deren Authentizität. Dazu braucht man eine kryptografische Signatur. Und die haben wir nicht. Im Gegensatz zu den diversen Linux-Distributionen, wo zwar das herunterladbare CD-/DVD-ISO-Abbild selbst keine kryptografische Signatur besitzt, dafür aber jedes einzelne enthaltene RPM-/DEB-Paket. Natürlich könnte man auch Downloads von FTP-Servern manipulieren (z.B. durch Man-in-the-Middle-Angriffe), aber das ist natürlich ungleich aufwändiger als eine manipulierte Datei in ein Filesharing-Netzwerk einzuspeisen. Noch dazu wo man sich wirklich fragen muss, wer wohl wenigstens die Prüfsummen überprüft – und sei es nur, weil md5sum bei Windows nicht von Haus aus mit dabei und in der "Standardausführung" ein Kommandozeilenwerkzeug ist. Trotzdem wäre es natürlich wünschenswert, wenigstens die Möglichkeit eines sicheren (Integrität, Authentizität, Vertraulichkeit) Downloads von sicheren Dateien zu haben. Wobei es mir bewusst ist, dass verschlüsselte Downloads mehr Ressourcen verbrauchen. Und während es zwar trivial wäre, den RPM- und DEB-Paketen (Linux) kryptografische Signaturen hinzuzufügen, ist mir völlig bewusst, dass es alles andere als trivial wäre, eine entsprechende Infrastruktur aufzubauen (Verwaltung der Schlüssel usw.) > Nur weil auch Downloads in der Grauzone mit Bittorrent durchgeführt > werden können, musss nicht gleich eine ganze Technik als > zweifelhaft dargestellt werden. Habe ich auch nicht gemacht. Leider sind aber nur die wenigsten in der Lage, zwischen der Technik an sich (Filesharing) und ihrem rechtswidrigen Einsatz (Urheberrechtsverletzungen) zu unterscheiden. Die Tendenz geht ganz klar dahin, dass die Verfahren an sich kriminalisiert werden. Und da ist dann eben schon ein installierter BitTorrent-Client suspekt, selbst wenn man den nur für OOo benutzt. Aber, wie gesagt, das sollte nicht mein Thema sein. Aber wo wir es aber gerade mit Links und BitTorrent haben: Vielleicht findet man bei der Gelegenheit auch eine Alternative zu den beiden prominenten Links zu Wikipedia. Ich bin ja bekanntermaßen zwar ein großer Freund von Wikis, aber an dieser Stelle finde ich diese Links trotzdem unangemessen. > Du musst noch nicht mal unterschiedliche Mirrors akzeptieren. Auf > jedem OOo Mirror sollte in /stable/<Versionsnummer> der Sourcode > liegen und damit, wie der Mirror selbst über HTPP, FTP oder beides > erreichbar sein. > > Einzig die Links müssten in die deutsche Downloadseite eingefügt > werden. Ja, das war halt der Punkt. Das JavaScript ist aber schon aufwändig genug, es so zu erweitern, dass auch noch gleichzeitig immer ein entsprechender (zum selben Server zeigender) Link zum Quelltext eingefügt wird, hielte ich für übertrieben. Man müsste nur auf http://de.openoffice.org/downloads/mirror.html eine zusätzliche Spalte für den Quelltext einfügen und dann eben unter Quickdownload darauf verlinken. Etwa so: "OpenOffice.org ist unter den Bedingungen der LGPL -> licenses/lgpl_license.html veröffentlicht. Den Quelltext des Programms erhalten Sie über unsere Mirror-Server -> downloads/mirror.html. > Außer Du bist der Meinung, wir müssten den Sourcecode jetzt um ganz > LGPL konform zu handeln auch in /localized/de legen bzw. in jede > Sprache, da würden sich dann aber die Admins der Mirror freuen. Nein, der Meinung bin ich nicht. Obwohl man das natürlich mit einem Symlink lösen könnte. Ich verstehe die Lizenz so, dass sich niemand um die Weitergabe des Quelltextes "drücken" darf. Zu verlangen, dass der Quelltext nicht nur auf dem selben Server, sondern im selben Verzeichnis liegen, oder nicht nur in der selben Distribution, sondern auf der selben CD-ROM enthalten sein muss, wäre meiner Meinung nach eine Überstrapazierung. > Du kannst den Sourcecode auch als Torrent anbieten. Wo ist das > Problem? Das Problem ist, dass eben dies nicht geschieht. Abgesehen davon, dass ich die Klausel der Lizenz "Angebot zum Kopieren vom selben Ort" schlicht für mit BitTorrent inkompatibel halte, wenn man sie wörtlich auslegt. Aber auch wenn man hier nicht katholischer als der Papst sein möchte: Der Zweck der Klausel liegt darin, den Zugang zum Quelltext zu garantieren. Deshalb muss jeder, der Objektcode oder ausführbaren Code anbietet, auch immer zugleich (in jedem Sinne des Wortes) den vollständigen Quelltext mit anbieten. Wenn man hier die LGPL v.2 und die GPL v.2 miteinander vergleicht, fällt auf, dass die LGPL in diesem Punkt sehr viel strenger ist als die GPL, die z.B. die Möglichkeit vorsieht, sich davon "freizukaufen": „liefern Sie das Programm zusammen mit einem mindestens drei Jahre lang gültigen schriftlichen Angebot aus, jedem Dritten eine vollständige maschinenlesbare Kopie des Quelltextes zur Verfügung zu stellen …“ (§3 GPLv2). Ich vermute daher, dass die Verpflichtung zur Weitergabe des Quelltextes absichtlich in der LGPL so streng ist. Vielleicht sollte so ein "Ausgleich" zum im Vergleich zur GPL schwächeren "Copyleft" geschaffen werden, um wenigstens auf diesem Wege die "Freiheiten" der Software-Nutzer zu schützen. Dann wäre dieses Problem hier auch alles andere als ein akademisches, sondern es ginge dann um den Kernbereich (nämlich die "Freiheit") der Lizenz. Beste Grüße -- ## Martin Bayer ## Content Developer ## OpenOffice.org Germanophone Project ## http://de.openoffice.org --------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
