On 02.Jun 2003 - 10:54:51, Yevgen Reznichenko wrote: > Hallo Andreas und alle anderen, > > ich finde die Diskussion wichtig und interessant, weil ich selber > Standards sehr mag :-) und wollte auch meinen Senf dazu geben ;-) > > Andreas Pakulat wrote: > >On 01.Jun 2003 - 23:03:14, Marcus Frings wrote: > >>Sehe ich genauso und stimme Dir zu. HTML in Mails ist störend und kostet > >>unnötig Bandbreite, aber was genauso Bandbreite kostet, besonders in > >>dieser Debian-Liste auftritt und mich ebenfalls genauso gewaltig wie > >>HTML-Mails stört, ist, daß ein Großteil der Leute meint, jedwede Mail > >>unbedingt mit GPG zu signieren. Daß es oft gute Gründe dafür gibt, > >>steht > >>vollkommen außer Frage, aber für 08/15-Mails ist es absolut belanglos. > > Ich stimme Markus hier vollkommen zu! Bei der Signatur geht es zwar > nicht soviel um Banbreite, wie um beschiess... absolut unnötige > Darstellung. Es soll MUA's geben z.B. meiner, der die Signatur nicht > abschneidet und dann sehe ich solche E-Mails wie: Dafür gibts 2 Erklärungen: 1. die Email hat keinen ordentlichen Header, bzw. ist dort irgendwas was dein MUA nicht versteht. 2. Dein MUA ist noch nicht 100% GPG fähig. Für 1. kann man nur die Leute drauf hinweisen das ihr Mailsystem da irgendwas kaputt macht. Im allgemeinen werden GPG-Signaturen als multipart/signed übertragen, so wie meine, das sollte ein vernünftiger MUA auch verstehen (OE tut's z.B. nicht!). Sollte 2. zutreffen kannst du entweder selbst den Quellcode deines MUA's umschreiben oder einen Bugreport schreiben. Oder aber du wechselst den MUA. > Meiner Meinung nach sieht es nicht viel besser aus als HTML, von Ihalt > gar nicht zu sprechen. Das passiert nicht bei allen PGP/GPG signierten > Mails, z.B. bei der von Andreas ist es nicht so, aber trotzdem bei > vielen. Naja, es ist aber wesentlich leichter zu lesen als Text der mit HTML geschmückt ist. > Dass Mails auf der Liste zu signieren absolut überflüssig ist, > steht glaube ich ausser Frage. Naja, im Prinzip hast du da gar nicht so unrecht, meistens gehts hier ja eher nicht um sensible Informationen. Aber ich persönlich bin einfach zu faul für jede ML eine Mutt-Regel zu schreiben damit die Mails nicht signiert werden, zumal sich bisher niemand beschwert hat. > Und was bringt es mir an Sicherheit? Kaum > etwas, ich weiss nur das die E-Mail auf dem Weg zu mir nicht verfälscht > wurde und das sie *angeblich* von der E-Mail Adresse ausging, die in > From steht. Nur wer sichert mir zu das es kein "Man in the middle" ist, > wenn ich kein Public-Key von der Person habe? Ich habe auch keine Lust > von allen Bewohnern dieser Liste die Public-Keys aufzubewahren, das > macht glaube ich keiner hier. Ich mache das jedenfalls nicht, schon allein wegen der Onlinekosten. > >sie zeigt nur an das die Mail von der > >Person ist die den jeweiligen Schlüssel besitzt. > > Nur bloss wer ist diese Person? Man vertrauet einer signierten Mail mehr > als einer unsignierten und das ist sehr gefährlich, wenn man die > Signatur nicht 100% überprüfen kann. Also solange mein mutt/gpg mir nicht sagt das eine Signatur vertrauenswürdig ist (tut er momentan nur bei meinen Bekannten) vertraue ich der Mail nicht mehr als einer unsignierten. Allerdings habe ich bei signierten Mails die Möglichkeit dies bei Bedarf zu überprüfen. Mal angenommen ein Scherzkeks empfiehlt mir als root ein rm -rf / ;) Andreas -- Akademische Freiheit: es darf mehr gearbeitet werden, als verlangt wird.
Attachment:
pgpLPoAW6RSJD.pgp
Description: PGP signature