Hi Jochen, *, 2012/1/30 Jochen <[email protected]>: > Am 30.01.2012 19:50, schrieb Christian Lohmaier: >> >> <schnipp> jeder Alarm bei LO dürfte ein falscher sein wenn die >> md5summe bzw. die Signatur stimmt) <schnipp> > > Das hat mich schon immer mal interessiert: warum kannst Du/man so sicher > sein, dass LO viren/trojanerfrei ist?
Weil ich den Leuten traue, die die Installationssätze bauen, signieren und auf unsere Server laden. Sprich: Ich bin sicher, daß LO aus den Sourcen gebaut werden, die auch so im git-repostitory liegen. Und warum bin ich so sicher, daß die Sourcen sauber sind? Tja - ich vertraue darauf, daß in dem geerbten OOo-Code kein Trojaner drin war (falls doch, dann haben sämtliche Antivirenhersteller versagt, und der OOo-Trojaner ist unbemerkt auf Millionen von Rechnern installiert). Und das kein neuer Trojaner/Virus eingebaut wird - tja, da vertraue ich auf das "viele Augen sehen mehr als eines" Prinzip. Wenn überhaupt, kann das nur jemand einen Trojaner/Virus einschleusen, der Schreibzugriff auf das Repository hat. Den gibt es aber erst, nachdem man ein paar Patches via Mailingliste beigetragen hat, und so die entsprechenden Fähigkeiten nachgewiesen hat. Und der Trojaner müßte dann so geschickt versteckt werden, daß der eingecheckte Code keinem der anderen Entwicklern komisch vorkommt. Müßte also "unübersichtlicher/nicht-offensichtlicher" Code sein. Aber solchen Code will man prinzipiell nicht. Und zig Zeilen Assembler sind für LO auch nicht typisch. In diesem Sinn gibt es einfachere Möglichkeiten einem User einen Virus unterzuschieben. Indem man eben ein modifiziertes LO baut, und das dem leichtgläubigen User über irgendeine andere Seite unterschiebt - aber dann würde die Signatur nicht mehr stimmen (md5summe kann man mit etlichem Aufwand noch fälschen - aber wenn man auf die Leichtgläubigkeit der User setzt, dann kann man auch darauf vertrauen, daß die Prüfsumme nicht gegengecheckt wird - ganz zu schweigen die gpg-Signatur & man kann ja dem Nutzer auch die entsprechend gefälschte md5sum vorsetzen - wenn er schon ein gefaktes LO von $böse_Seite lädt, dann kann $böse_Seite auch die passende md5sum anbieten). ciao Christian -- Informationen zum Abmelden: E-Mail an [email protected] Probleme? http://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/ Tipps zu Listenmails: http://wiki.documentfoundation.org/Netiquette/de Listenarchiv: http://listarchives.libreoffice.org/de/discuss/ Alle E-Mails an diese Liste werden unlöschbar öffentlich archiviert
