Re: Heise Meldung
On Wed, Nov 26, 2003 at 04:57:18PM +0100, Jan Lühr wrote:
> > http://www.wiggy.net/debian/status/
> danke, ich meinte weitegehende. Das ist noch sehr allgemein.
Was erwartest Du? Dass sie eine Anleitung zum Cracken ins Netz stellen oder
dass die erstmal die Rechner wieder ans Laufen bekommen?
> > du _musst_ nicht mit Debian arbeiten.
> Nein. Aber dennoch stellt sich die Frage: Warum gibt es beim security-service
> keine gpg Signaturen für die Pakete? Wenn die Pakete auf einem nicht mit dem
> Internetverbundenen System gebaut werden und dann erst nach Erstellung einer
> Signatur hochgeladen werden, hätte das Problem in diesem Bereich viel
> Begrenztere Ausmaße angenommen.
Wenn es so einfach waere, gaebe es das sicherlich schon. Da es diese
Signaturen nicht gibt, scheint es offensichtlich nicht so einfach zu sein.
Wenn du mehr weisst als die Debian Developer, dann solltest Du vielleicht
dein Wissen den zustaendigen Leuten zukommen lassen, damit diese mit deiner
Hilfe genau dies implementieren koennen.
Andernfalls solltest du vielleicht den Leuten die Arbeit ueberlassen, die
sich damit auskennen?
> > bisher sieht es so aus, als ob mindestens einer der maintainer mist
> > gebaut hat, mit fatalen folgen fuer vier server. es sieht auch so aus,
> > als ob das archiv davon nicht betroffen ist.
> Das sieht auch so - nach an mich gedrungenen Gerüchte soll ein Kennwort
> bekannt gewesen sein. Warum ist eine Verbindung mit Kennwort möglich, wenn
> RSA based Authentication und SSL-Client-Zertifikate seid Jahren erprobt sind?
Geruechte sind Geruechte sind Geruechte.
--
Ciao... //
Ingo \X/
Reply to: