Warum driftet es nur immer wieder so ab? Der Autoupdater scheint nicht wirklich Bestandteil der Probleme zu sein, erst recht nicht der des Gluon, wenn ich es richtig verstanden habe?!
Außer natürlich die Tatsache, dass die Backdoor in Ermangelung eines Autoupdaters geschaffen wurde und ähnliche Thesen. Wobei, selbst diese These habe ich nicht so richtig verstanden, denn wenn ich ohnehin haufenweise nicht löschbare, bzw. sich selbst wiederherstellende SSH Keys in jedem Router der mit meiner Firmware geflasht wurde habe, wozu brauche ich dann eine weitere Backdoor um beliebigen Code von außerhalb des ssh / scp auszuführen? Am 27. März 2015 um 14:19 schrieb Kai 'wusel' Siering < [email protected]>: > > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > On 27/03/15 13:49, Maximilian Wilhelm wrote: > > Das ist ein fundametaler Unterschied. Der Autoupdater prüft nicht nur > > Checksummen, sondern auch Signaturen (wenn entsprechend sinnvoll > > konfiguriert - ich hoffe einfach mal, dass das auch alle nutzen!). > > > > D.h. dass zumindest bei uns (FFPB) drei Leute eine stable-Firmware > > signiert haben müssen, damit ein Knoten sie akzeptiert. Zusätzlich > > arbeiten wir gerade an trusted builds, um zu 100% sicherzustellen, > > das alles gut ist. > > Da es doch das eigentliche Thema verläßt, nur soviel: Ja, Gluons > Autoupdater vergleicht die Signaturen unter dem Manifest, welches > die Dateien benennt, mit denen in der Firmware hinterlegten, zusätzlich > zur Prüfsumme des heruntergeladenen Paketes. Es ist schön, daß Ihr > 3 Leute gefunden habt, die das dann auch noch so ernst nehmen und > einen Review der Änderungen vornehmen, bevor sie ihren persönlichen > Schlüssel zücken und damit die Fireware formell freigeben. Ich kenne > andere, startende Communities, wo man froh ist, wenn sich mehr als > ein Leut "um die Technik" kümmert. Aber im Endeffekt ändert auch die > Anzahl der Signateure nichts an meiner Aussage, daß der Knotenaufsteller > dem Firmwarebauer mit Autoupdate ein Stück weit vertrauen muß. Code > auf github o. ä. allerdings hilft da, Vertrauen zu schaffen. Wobei: > wieviele > Knotenaufsteller sprechen fließend lua? > > MfG, > - -kai > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v2 > > iQIcBAEBCAAGBQJVFVjjAAoJEKVy9ieIjYK+GwIP/33ix+wm1g92PnPWm//xPAm3 > xpPd37xHAMHgdUo0PumwfNHvuyX2ZNzur7MLovmEuDSqOAKz/bwvXL6ojY74uDaX > dD5xo6yjvkzcROXEjdk/IVFLsUf9GElSn2/PqoWip7UEaHToZHn6XOPyVDkMf8bK > NdQII2HaVTtRprL86govkDiWcBJqOJwKg5fgfPZkOoInEw8+hHCksORN8WTEEmc8 > 7Hty+No0OPy+5KoCypU2nSUJ99duyUV8TlMkbw2LKzpCghbsO1sFVY3DkDa/FHG0 > 1hAtALt5N+IHSlOLD1cXkv6ji/GbRToDf9ncQXQlu9Wv5WFXqhWfcv4ZBTjP9AEU > cZ/WtwrjxgH9s5VzPxjT8VAiwL5Izn9I9+RYp6N/Nm9WdetlOQ2cf4FtJfapuhbu > NllutgIwAPneG6AhWxbJ1Z1ySbb5K3ekslLxLLlSc/mRiuXjq5qKyCDI6Jh9h//S > 1NpiMAY14FsWcltRXyjxV0y5MIWUk6KqB7pCwpfHCIlx1LZ+6HisRaTgvaoFP4gr > PqceF3ZQV9/XgYsJx0j+g2BcJGtclpzhbDA78syCFoFnyMruLjQkMn8Z7PyxFlQA > b5VqBab0NAEhRKvs0olTnMKMoCsXX24XaYsXQC+ITk+AILYA3Hr1cCfKQSPsyCCS > /2qv0BvVyAUpwVY2j/ny > =/QJt > -----END PGP SIGNATURE----- > > _______________________________________________ > WLANtalk mailing list > [email protected] > Abonnement abbestellen? -> > http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net > > Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung > unter http://freifunk.net/mailinglisten >
_______________________________________________ WLANtalk mailing list [email protected] Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
