Re: Opera-Browser jetzt kostenlos erhältlich
Am Mittwoch, den 21.09.2005, 13:31 +0200 schrieb Daniel Baumann:
> Daniel Leidert wrote:
> > Und das Repository wäre? Was ist für dich in diesem Fall eine
> > "vernünftige Quelle"? Nach meinem Verständnis von "vernünftig", vor
> > allem in Bezug auf Sicherheitsaspekte, ist der Hersteller der Software
> > eine "vernünftige" Quelle, vor allem bei Paketen, zu denen es keine
> > Quellpakete gibt. Nur leider ist das Opera-Repository hoffnungslos
> > veraltet. Binary-Pakete in privaten Repositories sind mir immer suspekt.
> > Das scheint mir ein gutes Einfallstor für Malware zu sein.
>
> http://www.debian-unofficial.org/
| Disclaimer: Information on this site is not part of the
| Debian-Project!
Auch hier gilt: Paket ohne Quelle, das angeblich von Opera stammt. Um
das zu prüfen muss die md5-Summe herangezogen werden, was apt-get nicht
tut. Ergo müsste es der User selbst tun und dann kann er sich das Paket
auch von der Originalquelle besorgen. Nochmal: Wodurch wird das
Binary-Paket vertrauenswürdig? Weil dein Name unter
http://www.debian-unofficial.org/legal.html steht? Im Übrigen halte ich:
|$package cannot be uploaded into the official Debian repository, (i.e.
|binary only stuff [..]
^^^^^^^^^^^^^^^^^^
für mehr als zweifelhaft und problematisch. Drittquellen für
closed-source-Software sind per Definition nicht vertrauenswürdig. Wer
überprüft in diesen Fällen, dass das Paket keine Schadfunktionen
enthält? Wer prüft, dass das Paket auf dem Weg vom Hersteller/Autor bis
zu eurem Repository nicht verändert wurde? Tust du das? Woran kann ich
das als (theoretischer) Endbenutzer prüfen?
MfG Daniel
Reply to: