Re: Opera-Browser jetzt kostenlos erhältlich
Daniel Leidert wrote:
>>Und das tut zur Sache?
>
> Das es sich um ein inoffizielles Projekt handelt?
Inwiefern aendert das nun was daran, dass Opera ein binary-only Programm
ist, dessen Quellen man nicht oeffentlich untersuchen kann?
>>Macht ja auch nicht Sinn, das orig.tar.gz mit Upstream zu vergleichen.
>
> Nö, natürlich nicht. Ich frage mich gerade, warum das bei Sponsoren so
> üblich ist (.orig.tar.gz durch Upstream-Archiv austauschen und mit
> dpkg-source -x ... dpkg-buildpackage neu bauen) und AFAIK allgemein zur
> guten Praxis gehört. Die Reject-FAQ ist dir bekannt? Die Policy
> ebenfalls? Such mal nach Aussagen zum Neupacken von Quellen. Es gib da
> so einen Punkt, der das genaue Gegenteil deiner Aussage belegt.
...dass apt-get das vergleicht, davon hast du gesprochen - und das macht
keinen Sinn. Der Rest ist normales Package-Handling (und ich glaube, mit
Verlaub, dass ich mehr Erfahrung im Paketieren habe als du).
>>Der, der das Paket ins Archiv geladen hat, garantiert mit seinem Namen
>>nach bestem Wissen und Gewissen dafuer, dass das Paket integer ist.
>
> Ahja. _Das_ nenne ich Garantien, vor allem bei Binary-Paketen ohne
> Quelle.
Das Problem liegt in der Natur der Sache, dass...
>>>Nochmal: Wodurch wird das
>>>Binary-Paket vertrauenswürdig?
>>
>>Darum gehts (urspruenglich) nicht.
>
> Ach nein? Es ging um eine "vernünftige" Quelle für ein
> Binary-only-Paket. Deine Aussage war, du hättest eins und ich würde es
> nur nicht kennen. Ich behaupte, dass das (aus Sicherheitsgründen) nicht
> der Fall ist, vor allem da du Fragen nicht beantworten willst. Gehen dir
> die Argumente aus?
...binary-only Programme nicht ueberpruefbar sind. Ob das Upstream
paketiert oder jemand anderes repackt, aendert nichts daran.
Btw, kein Grund unfreundlich zu werden.
>>Gefragt war ein Repository, das
>>aktuelle Opera Pakete fuehrt und zeitnahe Updates hat.
>
> Nein. Gefragt war "vernünftig". Was du darunter verstehst und was ich
> darunter verstehe sind offenbar zwei verschiedene Paar Schuhe. Und warum
> bei Binary-only-Paketen die Quelle eine Rolle spielt, kann sich jeder
> mit gesundem Menschenverstand selbst ausrechnen.
Du hast "vernuenftig" als etwas interpretiert, was bei binary-only
Programm gar nicht moeglich ist, auch nicht vom Hersteller.
Ich verstehe "vernuenftig" im Kontext mit binary-only als das, was ich
gesagt habe: aktuelle Paketversionen und schnelle Updates.
>> Debian Unofficial
>>erfuellt dies.
>
> Schön. Allerdings versuchst du dich offenbar um die Thematik Sicherheit
> zu drücken. Das baut natürlich unheimlich Vertrauen auf, wenn man sagt:
> "Vertraut uns oder lasst es sein."
Nein, es macht nur gar keinen Sinn, bei binary-only ueber Sicherheit zu
diskutieren, wie mehrmals schon gesagt: binary-only Programme sind
niemanls sicher vor Malware, weder auf der Herstellerseite noch auf
einer Seite eines Redistributors. Solange man nicht die Quellen hat,
kann man nie sicher sein. Das setzte ich als allgemein bekannt voraus,
es ist also muessig darueber zu diskutieren.
>>Das ist eine unvollstaendige Liste von Gruenden,
>> warum ein Paket nicht
>>in Debian sein kann, und darum ein moeglicher Kandidat fuer Debian
>>Unofficial ist.
>
> Was genau hat das damit zu tun, dass du Binary-only-Uploads aus
> was-weiss-ich-für-Quellen erlaubst?
1. Debian Unofficial gibt es u.a. deswegen, weil binary-only Programme
nicht (oder nur in Ausnahmefaellen) in Debian hochgeladen werden koennen.
2. Ich hole die original-Pakete von der Herstellerseite, alle
hochgeladenen Pakete sind signiert. Ob du mir vertraust oder nicht, ist
dir ueberlassen.
> Nein, Fragen zu beantworten ist ganz offensichtlich nicht dein Ding.
Du willst offensichtlich nur auf "binary-only-ist-unsicher" herumreiten,
obwohl das nie das Thema war. Der, der Opera installieren wollte, hat
sich mit der Thematik bereits auseinandergesetzt und wollte es
installieren, d.h. er bringt zumindest Opera SA. gegenueber ein gewisses
Vertrauen auf. Gut, du hast es jetzt wieder zur Ansprache gebracht, wir
wissen es, und die, die binary-only Software benoetigen, werden das auch
weiterhin tun.
>>siehe oben. Wenn du Opera nicht traust, brauchst du
>>mir auch nicht zu trauen.
>
>
> Ja klar. Alibi-Argument? Ich traue Opera, aber warum soll ich dir oder
> den Binary-only-Paketen in deinem Repository trauen? Wunschdenken, dass
> du und alle Uploader liebe, nette Menschen sind, die niemandem etwas
> böses wollen? Und das bei closed-source-Paketen? Jeder mit etwas
> Verantwortungsbewusstsein, würde eine derartige Garantie deutlich von
> sich weisen. Es sagt für meinen Geschmack schon viel aus, dass du dich
> um die Beantwortung relevanter Fragen drückst. Nur interessehalber: Gibt
> es im Projekt totalitären Führungscharakter?
Ich garantiere lediglich, dass nach meinem besten Wissen und Gewissen
die Pakete in ihrerer Ausgangsform identisch sind zu der, wie sie der
Upstream abliefert (von etwas anderem habe ich nie gesprochen).
Wenn du allerdings Upstream (hier Opera) vertraust, dann vertraust du
mir auch automatisch:
Jedes binary-only Paket auf debian-unofficial.org sind die Files
identisch zu Upstream: das einzige was zum Teil geandert ist, sind
Start/Stop-Scripte, Icons, Manpages, Paketbeschreibungen,
Installationspfade.
Das kannst du eindeutig ueberpruefen und ich erwarte, dass du das tust,
falls du einmal ein Paket aus diesem Repository verwendest.
> Ich frage erneut: Welche Sicherheitsrichtlinien verhindern, dass über
> diese Repository mit Binary-only-Paketen Unfug getrieben wird? Woran
> kann ich als End-Benutzer erkennen, dass es sich um das originale Paket
> des Herstellers/Autors handelt?
orig.tar.gz holen, mit Upstream vergleichen, z.B. md5sum/sha1sum benutzen...
Ausserdem muessen alle Uploads durch mich gehen, es kann niemand einfach
irgendwas hochladen.
> Das ist richtig. Der Unterschied zwischen offenen und nicht-offenen
> Quellen sollte dir als Paket-Maintainer dennoch bekannt sein. Und ja,
> mir ist durchaus bewusst, dass es problemlos möglich ist, dem
> Debian-Projekt von innen Schaden zuzufügen. Genauso wie das für Opera
> möglich wäre oder jedes andere Projekt. Deine Aussage bestätigt damit
> nur eins: Es gibt keine 100%ige Sicherheit. Sie kann aber kaum als
> Argument zählen, Drittquellen per se als vertrauenswürdig zu erachten.
Ueber die Debian Infrastruktur gibt es auch binary-only Pakete.
Falls du mal ein neues Argument hast, ausser der allgemeinen Tatsache,
dass "binary-only-ist-unsicher" und "besonders wenn es von Drittseiten
kommt bei denen ich zu faul bin, es zu ueberpruefen", darfst du gerne
antworten, ansonsten EOD da ich alle Fragen beantwortet habe.
--
Address: Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist
Email: daniel.baumann@panthera-systems.net
Internet: http://people.panthera-systems.net/~daniel-baumann/
Reply to: