Re: Gehacked ????????
Wolfgang Weisselberg schrieb:
> > Debian-Quellen gibt es wenigstens eine minimale Sicherheit den
> > Verursacher identifizieren und dingfest machen zu können.
> Nicht mehr als bei offiziellen foo Quellen.
Doch sicherlich. Die Identität des Maintainers und Uploaders eines
Archivs ist vergleichbar einer "Class 3" Zertifizierung (Überprüfung
der Identität durch Personalausweis) festgestellt worden, wobei dieses
auch für die meisten Feld-Wald-Wiesen Trustcenter heutzutage schon das
obere Ende der Fahnenstange darstellt.
Deine foo-Quelle kann dagegen kaum mit einer "Class 1" Authentizität
(Überprüfung der Existenz der eMail-Adresse) mithalten.
> Jedenfalls nicht, solange nicht wenigstens
> - alle Pakete kryptographisch signiert sind
Die Absicherung des Übtragungswegs ist irrelevant, wenn die Identität
der foo-Quelle nicht überprüfbar ist.
Sicher kann das jetzige System noch deutlich verbessert werden. Dabei
ist die weitere Sicherung des Übertragungswegs nur ein kleiner
Baustein. Das grössere Problem sehe ich auf der Seite der Maintainer
und bei dessen PC. Ist der Maintainer Marke "Student" Typ "muss alles
ausprobieren, was P2P hergibt", ist es eigentlich nur eine Frage der
Zeit und Zahl der Maintainer, bis es mal einen grösseren Unfall gibt.
--
rainer@ellinger.de
Reply to: