Re: Opera-Browser jetzt kostenlos erhältlich
Am Mittwoch, den 21.09.2005, 16:17 +0200 schrieb Daniel Baumann:
> Daniel Leidert wrote:
> >>Und das tut zur Sache?
> >
> > Das es sich um ein inoffizielles Projekt handelt?
>
> Inwiefern aendert das nun was daran, dass Opera ein binary-only Programm
> ist, dessen Quellen man nicht oeffentlich untersuchen kann?
Das es evtl. in der Qualitätssicherung deutliche Unterschiede zu
offiziellen Projekten, die im Zusammenhang mit dem inoffiziellen Projekt
stehen, existieren?
[..]
> Der Rest ist normales Package-Handling (und ich glaube, mit
> Verlaub, dass ich mehr Erfahrung im Paketieren habe als du).
Möglich. Und? Was für ein Begriff mir zu dem Satz einfällt, behalte ich
lieber für mich.
> >>Der, der das Paket ins Archiv geladen hat, garantiert mit seinem Namen
> >>nach bestem Wissen und Gewissen dafuer, dass das Paket integer ist.
> >
> > Ahja. _Das_ nenne ich Garantien, vor allem bei Binary-Paketen ohne
> > Quelle.
>
> Das Problem liegt in der Natur der Sache, dass...
>
> >>>Nochmal: Wodurch wird das
> >>>Binary-Paket vertrauenswürdig?
> >>
> >>Darum gehts (urspruenglich) nicht.
> >
> > Ach nein? Es ging um eine "vernünftige" Quelle für ein
> > Binary-only-Paket. Deine Aussage war, du hättest eins und ich würde es
> > nur nicht kennen. Ich behaupte, dass das (aus Sicherheitsgründen) nicht
> > der Fall ist, vor allem da du Fragen nicht beantworten willst. Gehen dir
> > die Argumente aus?
>
> ...binary-only Programme nicht ueberpruefbar sind. Ob das Upstream
> paketiert oder jemand anderes repackt, aendert nichts daran.
Es macht keinen Unterschied, ob ich in diesem Fall das Paket vom
Hersteller oder irgendeiner Drittseite oder (übertrieben)
File-Sharing-Pools beziehe? Ich glaube kaum. Natürlich kann auch im
Upstream ein Problem auftreten, siehe die Meldung auf Heise diese oder
letzte Woche. Aber die Wahrscheinlichkeit, dass die Archive vom
Hersteller manipuliert sind, sind geringer, als dass ein Dritter an
ihnen manipuliert hat.
> Btw, kein Grund unfreundlich zu werden.
War ich das?
> >>Gefragt war ein Repository, das
> >>aktuelle Opera Pakete fuehrt und zeitnahe Updates hat.
> >
> > Nein. Gefragt war "vernünftig". Was du darunter verstehst und was ich
> > darunter verstehe sind offenbar zwei verschiedene Paar Schuhe. Und warum
> > bei Binary-only-Paketen die Quelle eine Rolle spielt, kann sich jeder
> > mit gesundem Menschenverstand selbst ausrechnen.
>
> Du hast "vernuenftig" als etwas interpretiert, was bei binary-only
> Programm gar nicht moeglich ist, auch nicht vom Hersteller.
Weil? Der Hersteller hat keine Einsicht in den Quellcode? Die
Wahrscheinlichkeit ein manipuliertes Microsoft-Update auf deren
Webseiten oder in File-Sharing-Pools zu finden ist gleich groß? Sorry,
aber deine Argumentation ist fadenscheinig. Nicht jeder Hersteller ist
per se vertrauenswürdig, aber Drittquellen damit gleichzusetzen, finde
ich mehr als lächerlich.
> Ich verstehe "vernuenftig" im Kontext mit binary-only als das, was ich
> gesagt habe: aktuelle Paketversionen und schnelle Updates.
>
> >> Debian Unofficial
> >>erfuellt dies.
> >
> > Schön. Allerdings versuchst du dich offenbar um die Thematik Sicherheit
> > zu drücken. Das baut natürlich unheimlich Vertrauen auf, wenn man sagt:
> > "Vertraut uns oder lasst es sein."
>
> Nein, es macht nur gar keinen Sinn, bei binary-only ueber Sicherheit zu
> diskutieren, wie mehrmals schon gesagt: binary-only Programme sind
> niemanls sicher vor Malware, weder auf der Herstellerseite noch auf
> einer Seite eines Redistributors.
>
> Solange man nicht die Quellen hat,
> kann man nie sicher sein. Das setzte ich als allgemein bekannt voraus,
> es ist also muessig darueber zu diskutieren.
Jetzt sprichst du offenbar von Sicherheitslücken innerhalb der Software.
_Die_ standen tatsächlich nicht zur Debatte.
[..]
> > Was genau hat das damit zu tun, dass du Binary-only-Uploads aus
> > was-weiss-ich-für-Quellen erlaubst?
[..]
> 2. Ich hole die original-Pakete von der Herstellerseite, alle
> hochgeladenen Pakete sind signiert. Ob du mir vertraust oder nicht, ist
> dir ueberlassen.
Auf der Seite stand nicht, dass du der einzige Uploader bist. Im
Gegenteil. Also zeichnest du für Binary-only-Pakete verantwortlich? Das
konntest du in der letzten Mail nicht klarstellen? Und btw: Was genau
soll der Hinweis auf die Signatur hier? Dass du etwas signierst, macht
es nicht vertrauenswürdig.
> > Nein, Fragen zu beantworten ist ganz offensichtlich nicht dein Ding.
>
> Du willst offensichtlich nur auf "binary-only-ist-unsicher" herumreiten,
Nein, Redistribution von binary-only ist unsicher für den Endanwender,
ganz unabhängig davon, wie unsicher oder vertrauenswürdig der Hersteller
selbst ist, denn hier muss auch noch der Redistributor vertrauenswürdig
sein, da durch das Fehlen der Quellen böswillig Schadfunktionen auf
recht einfache Art und Weise untergebracht werden können. Das war die
Begründung dafür, dass es kein vernünftiges Repository für Opera gibt.
Und du kannst noch so oft mit einem ...
> obwohl das nie das Thema war.
... kommen. Genau das _war_ das Thema. Vielleicht solltest du mal meine
erste Antwort an dich noch einmal lesen.
> Der, der Opera installieren wollte, hat
> sich mit der Thematik bereits auseinandergesetzt und wollte es
> installieren, d.h. er bringt zumindest Opera SA. gegenueber ein gewisses
> Vertrauen auf.
Wie kommst du dazu, das Vertrauen in den Hersteller mit dem Vertrauen in
den Redistributor gleichzusetzen?
> Gut, du hast es jetzt wieder zur Ansprache gebracht, wir
> wissen es, und die, die binary-only Software benoetigen, werden das auch
> weiterhin tun.
Ich frage mich gerade, was dich vom File-Sharing-Pool unterscheidet.
[..]
> Ich garantiere lediglich, dass nach meinem besten Wissen und Gewissen
> die Pakete in ihrerer Ausgangsform identisch sind zu der, wie sie der
> Upstream abliefert (von etwas anderem habe ich nie gesprochen).
Das garantierst du? Für alle Pakete? Bist du bereit, das schriftlich
niederzulegen? Z.B. auf der Projekt-Seite?
[..]
> > Ich frage erneut: Welche Sicherheitsrichtlinien verhindern, dass über
> > diese Repository mit Binary-only-Paketen Unfug getrieben wird? Woran
> > kann ich als End-Benutzer erkennen, dass es sich um das originale Paket
> > des Herstellers/Autors handelt?
>
> orig.tar.gz holen, mit Upstream vergleichen, z.B. md5sum/sha1sum benutzen...
>
> Ausserdem muessen alle Uploads durch mich gehen, es kann niemand einfach
> irgendwas hochladen.
Und du testest und führst die angesprochenen Maßnahmen durch? Ich frage
mich gerade, welche Pflichten deine obige Garantie so nach sich ziehen
würde.
> > Das ist richtig. Der Unterschied zwischen offenen und nicht-offenen
> > Quellen sollte dir als Paket-Maintainer dennoch bekannt sein. Und ja,
> > mir ist durchaus bewusst, dass es problemlos möglich ist, dem
> > Debian-Projekt von innen Schaden zuzufügen. Genauso wie das für Opera
> > möglich wäre oder jedes andere Projekt. Deine Aussage bestätigt damit
> > nur eins: Es gibt keine 100%ige Sicherheit. Sie kann aber kaum als
> > Argument zählen, Drittquellen per se als vertrauenswürdig zu erachten.
>
> Ueber die Debian Infrastruktur gibt es auch binary-only Pakete.
Habe ich noch nicht gesehen. Beispiele?
> Falls du mal ein neues Argument hast, ausser der allgemeinen Tatsache,
> dass "binary-only-ist-unsicher" und "besonders wenn es von Drittseiten
> kommt bei denen ich zu faul bin, es zu ueberpruefen"
Na, da kann ich nur hoffen, dass du nicht zu "faul" bist, die Pakete
immer ordentlich zu überprüfen. Vor allem wenn das Projekt wachsen
sollte. Bei Gelegenheit wirst du dann vielleicht an deine "Garantie"
denken.
> , darfst du gerne antworten
FYI: Ich glaube nicht, dass ich von dir die Erlaubnis dazu bräuchte.
> , ansonsten EOD da ich alle Fragen beantwortet habe.
Schon klar.
*kopfschüttelnd*
MfG Daniel
Reply to: