Re: Debian: zunehmende Zweifel an der Systemsicherheit
Am Samstag, 2. August 2008 schrieb Nico Golde:
> Hi Markus,
> * Markus Schulz <msc@antzsystem.de> [2008-08-02 21:10]:
> [...]
>
> > Beim etwas drüber nachdenken sollte das doch aber eigentlich nicht
> > machbar sein oder?
>
> http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attack
>s-on-package-managers.html
Danke, genau den Link hatte ich gesucht.
Einen Timestamp in der Packages Datei und das Ablaufen dieser Metadaten
sollte doch nicht sonderlich aufwendig sein um Replay Attacken zu
verhindern bzw. wenigstens auf sehr kurze Zeiträume einzuschränken.
Auf SSL warte ich schon recht lange, verstehe da auch das Problem nicht
so recht, die CA könnte Debian sich ja selbst erstellen und das/die
Stammzertifikate/kette ja als Paket auch mit ausliefern.
--
Markus Schulz
A: Because it breaks the logical sequence of discussion
Q: Why is top posting bad?
Reply to: