Re: Opera-Browser jetzt kostenlos erhältlich

To: debian-user-german@lists.debian.org
Subject: Re: Opera-Browser jetzt kostenlos erhältlich
From: Daniel Leidert <daniel.leidert.spam@gmx.net>
Date: Wed, 21 Sep 2005 15:27:22 +0200
Message-id: <[🔎] 1127309243.12565.77.camel@localhost>
In-reply-to: <[🔎] 43314E01.7020009@panthera-systems.net>
References: <[🔎] BAY107-F2120BB0256DA0064F69E6DAC950@phx.gbl> <[🔎] 20050921110839.4c9da5d7@localhost> <[🔎] 1127297618.4342.10.camel@localhost> <[🔎] 43313BC2.6030700@panthera-systems.net> <[🔎] 1127302186.12565.14.camel@localhost> <4331448A.5020506@panthera-systems.net> <[🔎] 1127303688.12565.27.camel@localhost> <[🔎] 43314E01.7020009@panthera-systems.net>

Am Mittwoch, den 21.09.2005, 14:11 +0200 schrieb Daniel Baumann:
> Daniel Leidert wrote:
> > | Disclaimer: Information on this site is not part of the
> > | Debian-Project!
> 
> Und das tut zur Sache?

Das es sich um ein inoffizielles Projekt handelt?

> > Auch hier gilt: Paket ohne Quelle, das angeblich von Opera stammt. Um
> > das zu prüfen muss die md5-Summe herangezogen werden, was apt-get nicht
> > tut.
> 
> Macht ja auch nicht Sinn, das orig.tar.gz mit Upstream zu vergleichen.

Nö, natürlich nicht. Ich frage mich gerade, warum das bei Sponsoren so
üblich ist (.orig.tar.gz durch Upstream-Archiv austauschen und mit
dpkg-source -x ... dpkg-buildpackage neu bauen) und AFAIK allgemein zur
guten Praxis gehört. Die Reject-FAQ ist dir bekannt? Die Policy
ebenfalls? Such mal nach Aussagen zum Neupacken von Quellen. Es gib da
so einen Punkt, der das genaue Gegenteil deiner Aussage belegt.

> Der, der das Paket ins Archiv geladen hat, garantiert mit seinem Namen
> nach bestem Wissen und Gewissen dafuer, dass das Paket integer ist.

Ahja. _Das_ nenne ich Garantien, vor allem bei Binary-Paketen ohne
Quelle.

> > Ergo müsste es der User selbst tun und dann kann er sich das Paket
> > auch von der Originalquelle besorgen.
> 
> Dann soll er das doch machen. Jedem soviel Aufwand, wie er vertraegt.

Nein: Jedem soviel Sicherheit wie ihm zusteht.

> > Nochmal: Wodurch wird das
> > Binary-Paket vertrauenswürdig?
> 
> Darum gehts (urspruenglich) nicht.

Ach nein? Es ging um eine "vernünftige" Quelle für ein
Binary-only-Paket. Deine Aussage war, du hättest eins und ich würde es
nur nicht kennen. Ich behaupte, dass das (aus Sicherheitsgründen) nicht
der Fall ist, vor allem da du Fragen nicht beantworten willst. Gehen dir
die Argumente aus?

> Gefragt war ein Repository, das
> aktuelle Opera Pakete fuehrt und zeitnahe Updates hat.

Nein. Gefragt war "vernünftig". Was du darunter verstehst und was ich
darunter verstehe sind offenbar zwei verschiedene Paar Schuhe. Und warum
bei Binary-only-Paketen die Quelle eine Rolle spielt, kann sich jeder
mit gesundem Menschenverstand selbst ausrechnen.

>  Debian Unofficial 
> erfuellt dies.

Schön. Allerdings versuchst du dich offenbar um die Thematik Sicherheit
zu drücken. Das baut natürlich unheimlich Vertrauen auf, wenn man sagt:
"Vertraut uns oder lasst es sein."

> > Weil dein Name unter
> > http://www.debian-unofficial.org/legal.html steht?
> 
> Ob mir jemand vertraut, ist mir voellig egal und ist jedem selber
> ueberlassen (und ist auch primaer nicht das Thema dieses Threads).
> 
> > Im Übrigen halte ich:
> > 
> > |$package cannot be uploaded into the official Debian repository, (i.e.
> > |binary only stuff [..]
> > ^^^^^^^^^^^^^^^^^^
> 
> Das ist eine unvollstaendige Liste von Gruenden,

Mir ging um den unterstrichenen Punkt, den ich zur Sprache bringen
wollte. Was genau willst _du_ mir sagen?

>  warum ein Paket nicht
> in Debian sein kann, und darum ein moeglicher Kandidat fuer Debian
> Unofficial ist.

Was genau hat das damit zu tun, dass du Binary-only-Uploads aus
was-weiss-ich-für-Quellen erlaubst?

> > für mehr als zweifelhaft und problematisch. Drittquellen für
> > closed-source-Software sind per Definition nicht vertrauenswürdig. Wer
> > überprüft in diesen Fällen, dass das Paket keine Schadfunktionen
> > enthält? Wer prüft, dass das Paket auf dem Weg vom Hersteller/Autor bis
> > zu eurem Repository nicht verändert wurde? Tust du das? Woran kann ich
> > das als (theoretischer) Endbenutzer prüfen?
> 
> Darum geht es nicht,

Nein, Fragen zu beantworten ist ganz offensichtlich nicht dein Ding.

> siehe oben. Wenn du Opera nicht traust, brauchst du
> mir auch nicht zu trauen.

Ja klar. Alibi-Argument? Ich traue Opera, aber warum soll ich dir oder
den Binary-only-Paketen in deinem Repository trauen? Wunschdenken, dass
du und alle Uploader liebe, nette Menschen sind, die niemandem etwas
böses wollen? Und das bei closed-source-Paketen? Jeder mit etwas
Verantwortungsbewusstsein, würde eine derartige Garantie deutlich von
sich weisen. Es sagt für meinen Geschmack schon viel aus, dass du dich
um die Beantwortung relevanter Fragen drückst. Nur interessehalber: Gibt
es im Projekt totalitären Führungscharakter?

> Wenn du Opera (oder jedes andere Paket aus Debian Unofficial)
> installieren willst, kannst du das auch von der Originalquelle besorgen
> und hoffen, dass du moeglichen Schadcode siehst. Wenn du nicht soviel
> Aufwand treiben moechtest oder kannst,

Sicher. Es gibt genügend Leute, die dem $User versuchen
Sicherheitsbewusstsein einzubleuen. Du tust offenbar das Gegenteil.
Warum?

> dann installierst du das Paket
> aus Debian Unofficial - denn genau dafuer ist das Repository da: das zur
> Verfuegungstellung von Paketen in einem zentralen Repository von
> Paketen, die (aus guten Gruenden) nicht in Debian sind, aber trotzdem
> viele Leute gerne haben moechten/nutzen.

Ich frage erneut: Welche Sicherheitsrichtlinien verhindern, dass über
diese Repository mit Binary-only-Paketen Unfug getrieben wird? Woran
kann ich als End-Benutzer erkennen, dass es sich um das originale Paket
des Herstellers/Autors handelt?

> Dass diese in einem einzigen,
> unabhaengigen Repository gesammelt sind, ist nur eine Frage der
> Bequemlichkeit und Dienstleistung gegenueber den Nutzern.

Weißt du, wieviele "Gimmicks" Windows bietet? Und das btw. auch
zugunsten der "Bequemlichkeit und Dienstleistung" gegenüber dem Nutzer.
Und weißt du auch, welches Verhalten für Blaster/Sasser und Konsorten
verantwortlich war?

> Falls du je mal ein Paket aus Debian benutzt hast von mir, hoffe ich,
> dass du mit genau derselben Paranoia an die Sache rangehst - auch da ist
> es ganz gut moeglich, potentiellen Schadcode einzuschleusen den
> _erstmal_ niemand entdeckt.

Das ist richtig. Der Unterschied zwischen offenen und nicht-offenen
Quellen sollte dir als Paket-Maintainer dennoch bekannt sein. Und ja,
mir ist durchaus bewusst, dass es problemlos möglich ist, dem
Debian-Projekt von innen Schaden zuzufügen. Genauso wie das für Opera
möglich wäre oder jedes andere Projekt. Deine Aussage bestätigt damit
nur eins: Es gibt keine 100%ige Sicherheit. Sie kann aber kaum als
Argument zählen, Drittquellen per se als vertrauenswürdig zu erachten.

MfG Daniel

Reply to:

Follow-Ups:
- Re: Opera-Browser jetzt kostenlos erhältlich
  - From: Daniel Baumann <daniel.baumann@panthera-systems.net>
- Re: Opera-Browser jetzt kostenlos erhältlich
  - From: gerhard <ggrubbish@web.de>

References:
- Opera-Browser jetzt kostenlos erhältlich
  - From: "Florian Dorpmueller" <dorpmueller@hotmail.com>
- Re: Opera-Browser jetzt kostenlos erhältlich
  - From: "Ulrich Fürst" <fuerst.ulrich@vr-web.de>
- Re: Opera-Browser jetzt kostenlos erhältlich
  - From: Daniel Leidert <daniel.leidert.spam@gmx.net>
- Re: Opera-Browser jetzt kostenlos erhältlich
  - From: Daniel Baumann <daniel.baumann@panthera-systems.net>
- Re: Opera-Browser jetzt kostenlos erhältlich
  - From: Daniel Leidert <daniel.leidert.spam@gmx.net>
- Re: Opera-Browser jetzt kostenlos erhältlich
  - From: Daniel Leidert <daniel.leidert.spam@gmx.net>
- Re: Opera-Browser jetzt kostenlos erhältlich
  - From: Daniel Baumann <daniel.baumann@panthera-systems.net>

Prev by Date: Re: Linuxkompatibilität: Hardware für Wohnzimmer-PC
Next by Date: Re: Linuxkompatibilität: Hardware für Wohnzimmer-PC
Previous by thread: Re: Opera-Browser jetzt kostenlos erhältlich
Next by thread: Re: Opera-Browser jetzt kostenlos erhältlich
Index(es):
- Date
- Thread