Hallo Martin, leider zeigt der Beitrag, daß Du kaum Ahnung hast wie Bittorrent funktioniert :-(
On 8/18/07, Martin Bayer <[EMAIL PROTECTED]> wrote: > Am Samstag, 18. August 2007 10:40 schrieb Eric Hoch: > > Hmm, wenn ich von Fedora und Co herunterlade ist Torrent für mich > > sehr seriös. Jeder Torrent hat einen Hashwert und kann nicht ganz > > so einfach mal eben manipuliert werden. Ich kann an einem > > Torrentdownload ebenso die md5sum prüfen wie an einem normalen > > Download und eventuelle PGP, SHA-1 Signaturen auch. > > Wir bieten aber nur Prüfsummen (MD5) an. Mit einer Prüfsumme kann > bestenfalls die Integrität der Daten festgestellt werden, nicht aber deren > Authentizität. So ein wischi-waschi. Wenn Du der Quelle der MD5-Sum vertraust, dann ist anhand der md5sum auch die authentizität gesichert. > Dazu braucht man eine kryptografische Signatur. Und die > haben wir nicht. Und die würde auch erst was bringen, wenn Du einen Schlüssel hast, dem Du vertraust. Im üblichen Fall beziehst Du den Schlüssel aus der Selben Quelle, vom selben Server wie auch den Download/die Signatur des Downloads, der Schlüssel wird nicht wirklich überprüft, ihm wird blind vertraut. In so einem Fall hast Du überhaupt keinen Vorteil gegenüber einfachen MD5-Summen. > Im Gegensatz zu den diversen Linux-Distributionen, wo zwar > das herunterladbare CD-/DVD-ISO-Abbild selbst keine kryptografische > Signatur besitzt, dafür aber jedes einzelne enthaltene RPM-/DEB-Paket. Und der Schlüssen zur Überprüfung ist ebenfalls mit auf der CD drauf... Aber vollkommen egal, denn das was Du im folgenden Schreibst ist Blödsinn: > Natürlich könnte man auch Downloads von FTP-Servern manipulieren (z.B. durch > Man-in-the-Middle-Angriffe), aber das ist natürlich ungleich aufwändiger > als eine manipulierte Datei in ein Filesharing-Netzwerk einzuspeisen. Wir reden hier von Bittorrent, und da kann Dir keiner eine fremde Datei unterjubeln, egal auf wievielen Machinen er es versucht. Aus dem Grund, den Eric schon genannt hat: Im .torrent sind schon entsprechende Prüfsummen für die einzelnen Teile enthalten. Nur wenn Du von Anfang an ein falsches .torrent hast (eine "falsche md5sum-Datei" oder um beim Vergleich mit ftp zu bleiben: Ganz einfach einen falschen/bösartigen Link anklickst) bekommst Du eine andere Datei. Mit Man in the middle oder ähnlichem hat das nix zu tun, der theoretische Angriff muß ganz am Anfang erfolgen, über eine Phishing-Seite, die einen Tippfehler ausnutzt (de.openoffice.com oder de.openofice.org z.B.) - aber da ist ftp auch nicht besser dran als Bittorrent (im Gegenteil) > Noch > dazu wo man sich wirklich fragen muss, wer wohl wenigstens die Prüfsummen > überprüft – und sei es nur, weil md5sum bei Windows nicht von Haus aus mit > dabei und in der "Standardausführung" ein Kommandozeilenwerkzeug ist. Siehe oben. Wenn man der Quelle des .torrents vertraut, dann ist eine Überprüfung der md5sum schon überflüssig, weil die Daten bereits beim Downlaod häppchenweise überprüft werden. (und mit .torrent meine ich hier immer die "name.torrent" Datei) > > Nur weil auch Downloads in der Grauzone mit Bittorrent durchgeführt > > werden können, musss nicht gleich eine ganze Technik als > > zweifelhaft dargestellt werden. > > Habe ich auch nicht gemacht. Doch, hast Du. > Leider sind aber nur die wenigsten in der Lage, > zwischen der Technik an sich (Filesharing) und ihrem rechtswidrigen Einsatz > (Urheberrechtsverletzungen) zu unterscheiden. Die Tendenz geht ganz klar > dahin, dass die Verfahren an sich kriminalisiert werden. Ja, und Du bist einer derer, die pauschalisieren... Gibt genügend warez sites die mit http oder ftp arbeiten.... > Und da ist dann > eben schon ein installierter BitTorrent-Client suspekt, selbst wenn man den > nur für OOo benutzt. Aber, wie gesagt, das sollte nicht mein Thema sein. Du hast es in Deinem ersten Posting aber bereits zum Thema gemacht. > Aber wo wir es aber gerade mit Links und BitTorrent haben: Vielleicht findet > man bei der Gelegenheit auch eine Alternative zu den beiden prominenten > Links zu Wikipedia. Ich bin ja bekanntermaßen zwar ein großer Freund von > Wikis, aber an dieser Stelle finde ich diese Links trotzdem unangemessen. Aussagen ohne Begründung/Erläuterung habe ich noch nie gemocht... Warum sind sie unangemessen? > > Du kannst den Sourcecode auch als Torrent anbieten. Wo ist das > > Problem? > > Das Problem ist, dass eben dies nicht geschieht. Tolles Argument. Du forderst noch nicht exitierende Links hinzuzufügen/zu erstellen, wenn einer Schreibt "torrents gehen ja auch", dann erwiderst Du: Die links gibts noch nicht.. <kopfshüttel/> > [wilde Spekulationen/Interpretationen der LGPL vs GPL / gesnipped] ciao Christian --------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
