Wie Olaf schon geschrieben hat: Der Downloadlink zum Setup dient lediglich dazu die Anzahl der Downloads zählen zu können.
Leider bietet das in unserer Bank eingesetzte CMS zur Pflege der Homepage keine Möglichkeit die Dateidownloads zu zählen, daher habe ich diese externe Lösung gewählt. Zum Setup an sich sei noch gesagt, dass ich kein Spezialist bin was das Erstellen eines Setups angeht. Mit dem Setup wollte ich nur eine Möglichkeit für "unbedarftere" Computernutzer schaffen Jameica/Hibiscus auf einfache Weise installieren zu können. Gruß Marco aka Hylli -------- Original-Nachricht -------- > Datum: Mon, 02 Nov 2009 12:02:48 +0100 > Von: [email protected] > An: [email protected] > Betreff: Hibiscus-devel Nachrichtensammlung, Band 25, Eintrag 2 > Um e-Mails an die Liste Hibiscus-devel zu schicken, nutzen Sie bitte > die Adresse > > [email protected] > > Um sich via Web von der Liste zu entfernen oder draufzusetzen: > > https://lists.berlios.de/mailman/listinfo/hibiscus-devel > > oder, via Email, schicken Sie eine Email mit dem Wort 'help' in > Subject/Betreff oder im Text an > > [email protected] > > Sie koennen den Listenverwalter dieser Liste unter der Adresse > > [email protected] > > erreichen > > Wenn Sie antworten, bitte editieren Sie die Subject/Betreff auf einen > sinnvollen Inhalt der spezifischer ist als "Re: Contents of > Hibiscus-devel digest..." > > > Meldungen des Tages: > > 1. Re: Integrität des Programms? (Olaf Willuhn) > > > ---------------------------------------------------------------------- > > Message: 1 > Date: Mon, 2 Nov 2009 00:41:03 +0100 > From: Olaf Willuhn <[email protected]> > Subject: Re: [Hibiscus-devel] Integrität des Programms? > To: [email protected] > Message-ID: <[email protected]> > Content-Type: text/plain; charset="iso-8859-1" > > Hi, > > auch wenn Stefan eigentlich schon das geschrieben hat, was ich auch > gesagt haette, muss ich mich natuerlich noch selbst verteidigen ;) > > > ich würde gerne Hibiscus einsetzen, mache mir jedoch Gedanken über die > > Manipulierbarkeit des Programmarchivs. Etwas Paranoia ist bei > > Homebankingsoftware ja angebracht. > > Auf jeden Fall! > > > Die angegebene MD5 Summe ist sinnvoll, jedoch ist sie eher was gegen > > Installationsprobleme. > > Korrekt. Sie dient nur der Vollstaendigkeit halber. Wenn ich sie > nicht poste, wuerde sich sonst sicher ein Paket-Maintainer melden ;) > > > Der Downloadserver und die Webseite nutzt kein > > HTTPS, so dass die MD5 Summe beliebig manipuliert sein könnte. > > Explizit nicht, das stimmt. Du kannst HTTPS aber problemlos > verwenden. Alle URLs auf meinem Server sind 1:1 auch ueber HTTPS > erreichbar. Ich schalte nur deshalb nicht automatisch auf > HTTPS um, weil ich kein kommerzielles Löhn-Zertifikat habe und > die meisten User mit dem Sicherheitshinweis (gerade Firefox > leistet sich bei unbekannten Zertifikaten ja neuerdings abenteuerliche > Dialog-Ausfluege) schlicht ueberfordert waeren. > > > Die GPG Signatur ist da schon spannender. Dass jedoch auf der Webseite > > empfohlen wird dem Key "[email protected]" einfach so ohne Prüfung zu > > vertrauen ist jedoch ein extrem schlechter Rat. > > > > Der Schlüssel hat auch keinerlei Signatur bekannter Stellen. Eine > > Signatur der c't-Kryptokampagne oder nur eines Debian-Mitarbeiters zum > > Beispiel hätte Gewicht. > > OK, das mit der c't-Signatur sehe ich ja noch ein (obwohl man auch > hierzu haette auf eine Messe fahren muessen, wo die c't gerade mal > sowas veranstaltet hat). Aber warum sollte ich einem Debian-Mitarbeiter > per se vertrauen? > > Wie dem auch sei: Extra fuer dich (kein Mist, hab ich jetzt nur deshalb > gemacht - und dabei frage ich mich, warum mir das nicht schon viel > eher eingefallen ist) habe ich die Downloads jetzt mit einer > *FESTHALTEN* qualifizierten elektronischen Signatur[tm] (von meinem > S-Trust-Personenzertifikat auf Chipkarte) versehen. > Das ist nicht von irgendeiner c't signiert. Das echte digitale > Unterschrift, die vorm Gesetz der handschriftlichen gleichgestellt ist!!1 > ;) > Unter https://www.zvs-user.s-trust.de/zvs/ds/DsZertifikateSuchen > (Gib dort Vorname "Olaf", Nachname "Willuhn", Mail "info[ät]willuhn.de" > ein) kannst du den Public-Key abrufen und die Signatur verifizieren. > > So, und jetzt sag mir nochmal, dass dir das nicht sicher genug ist ;) > > > Die Setuproutine vom der VR Krautheim ist da sogar noch viel schlimmer, > > da sie sogar auf einen überhaupt nicht vertrauenswürdigen Server > linkt: > > > http://www.downloadcounter.de/counter.pl?file=http://jameica-banking.vb-kra > >utheim.de/jameicabanking-setup120.exe&user=hylli > > Ja, ich muss zugeben, dass ich das auch etwas unschoen finde. Aber > Hylli (er arbeitet bei der Bank und kuemmert sich darum) will wohl > die Downloads zaehlen. Du kannst den am Parameter "file" angehaengten > Link natuerlich auch direkt aufrufen, um den Zaehler zu umgehen und > direkt von der Bank-Webseite zu laden. > > > Gruss > Olaf > > > ------------------------------ > > _______________________________________________ > Hibiscus-devel mailing list > [email protected] > https://lists.berlios.de/mailman/listinfo/hibiscus-devel > > > Ende Hibiscus-devel Nachrichtensammlung, Band 25, Eintrag 2 > *********************************************************** -- DSL-Preisknaller: DSL Komplettpakete schon für 16,99 Euro mtl.!* http://portal.gmx.net/de/go/dsl02 _______________________________________________ Hibiscus-devel mailing list [email protected] https://lists.berlios.de/mailman/listinfo/hibiscus-devel
