Re: Opera-Browser jetzt kostenlos erhältlich
Daniel Leidert wrote:
> Das es evtl. in der Qualitätssicherung deutliche Unterschiede zu
> offiziellen Projekten, die im Zusammenhang mit dem inoffiziellen Projekt
> stehen, existieren?
Koennte man vermuten, ist aber nicht so.
> Weil? Der Hersteller hat keine Einsicht in den Quellcode? Die
> Wahrscheinlichkeit ein manipuliertes Microsoft-Update auf deren
> Webseiten oder in File-Sharing-Pools zu finden ist gleich groß? Sorry,
> aber deine Argumentation ist fadenscheinig. Nicht jeder Hersteller ist
> per se vertrauenswürdig, aber Drittquellen damit gleichzusetzen, finde
> ich mehr als lächerlich.
Auf der einen Seite haben wir den Upstream, auf der anderen Seite der
Redistributor.
Das, was Upstream macht (immer bei binary-only jetzt) koennen wir
aussenstehende nicht kontrollieren. Das, was der Redistributor (in
diesem falle hier ich) mache, kann man kontrollieren.
Da man meine Pakete kontrollieren kann, ob die Dateien darin identisch
sind wie die vom Upstream, sind sie also *genau* gleich betroffen von
potentiellem Schadcode; *nicht* mehr und *nicht* weniger.
> Jetzt sprichst du offenbar von Sicherheitslücken innerhalb der Software.
> _Die_ standen tatsächlich nicht zur Debatte.
Nein, ich spreche immer von irgendeiner Art Schadcode, ob das sich in
Form einer Sicherheitsluecke oder in Spyware, Viren, $whatever aeussert,
ist erstmal egal.
> Auf der Seite stand nicht, dass du der einzige Uploader bist. Im
> Gegenteil. Also zeichnest du für Binary-only-Pakete verantwortlich? Das
> konntest du in der letzten Mail nicht klarstellen? Und btw: Was genau
> soll der Hinweis auf die Signatur hier? Dass du etwas signierst, macht
> es nicht vertrauenswürdig.
Auf der Website siehst du eine Danksagung, das sagt nichts darueber aus,
wer was hochgeladen hat oder auch nicht.
Alle Pakete sind ausschliesslich von mir gemacht (ausser die zwei
Ausnahmen welche auf der Danksagungs-Seite erwaehnt sind). Wie allgemein
aus dem .dsc ersichtlich ist, sind alle Pakete im Archiv mit meinem Key
signiert, d.h. ich habe alle kontrolliert. Ein nicht signiertes Paket
resp. mit dem falschen Key signiertes Paket kann nicht von Debian
Unofficial kommen. Leider mekert apt aus Sarge das nicht, falls es nicht
stimmen wuerde (falls, hypotehtischerweise, jemand in den Server
einbricht und kurzfristig ein Paket unterjubeln/austauschen wuerde). Du
darfst aber gerne Apt 0.6 verwenden, der diese Verifikation uebernimmt.
> Nein, Redistribution von binary-only ist unsicher für den Endanwender,
> ganz unabhängig davon, wie unsicher oder vertrauenswürdig der Hersteller
> selbst ist, denn hier muss auch noch der Redistributor vertrauenswürdig
> sein, da durch das Fehlen der Quellen böswillig Schadfunktionen auf
> recht einfache Art und Weise untergebracht werden können. Das war die
> Begründung dafür, dass es kein vernünftiges Repository für Opera gibt.
> Und du kannst noch so oft mit einem ...
...wie gesagt, ueberpruef es.
> Wie kommst du dazu, das Vertrauen in den Hersteller mit dem Vertrauen in
> den Redistributor gleichzusetzen?
Weil es ueberpruefbar ist, welche Aenderung ich allenfalls gemacht habe.
Tust du das bei jedem Paket nachkontrollieren, koennte sich eventuell
nach einer gewissen Zeit sogar Vertrauen gegenueber mir einstellen.
> Das garantierst du? Für alle Pakete? Bist du bereit, das schriftlich
> niederzulegen? Z.B. auf der Projekt-Seite?
Natuerlich. Schlag mir einen ensprechenden Text vor.
> Und du testest und führst die angesprochenen Maßnahmen durch? Ich frage
> mich gerade, welche Pflichten deine obige Garantie so nach sich ziehen
> würde.
Natuerlich mach ich das. Falls etwas mit einem Paket nicht stimmt,
faellt das auf mich persoenlich zurueck. Deshalb ueberpruefe ich die
Pakete ensprechend.
>>Ueber die Debian Infrastruktur gibt es auch binary-only Pakete.
>
> Habe ich noch nicht gesehen. Beispiele?
blender (nur woody), nvidia driver, div. firmware pakete.. es sind
ziemlich viele.
> Na, da kann ich nur hoffen, dass du nicht zu "faul" bist, die Pakete
> immer ordentlich zu überprüfen. Vor allem wenn das Projekt wachsen
> sollte. Bei Gelegenheit wirst du dann vielleicht an deine "Garantie"
> denken.
Wenn dus mir nicht glaubst, was dein gutes Recht ist, kann ich dich nur
nochmals aufforden, es zu ueberpruefen.
--
Address: Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist
Email: daniel.baumann@panthera-systems.net
Internet: http://people.panthera-systems.net/~daniel-baumann/
Reply to: