[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Heise Meldung



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

ja hallo erstmal,...

Am Dienstag, 25. November 2003 18:30 schrieb frank paulsen:
> Jan Lühr <jluehr@gmx.net> writes:
> > Ich lese es gerade auch. Was geht hier eigentlich vor sich? Hat jemand
> > Hintergrundinfos?
>
> http://www.wiggy.net/debian/status/

danke, ich meinte weitegehende. Das ist noch sehr allgemein.

> > - Wenn die Debian-Server nicht sicher sind, wie kann das
> > Debian-Security-System noch vertrauenswürdig sein. Wie kann ohne
> > Vertrauen Sicherheit stattfinden?
>
> ist doch ganz einfach: entweder du vertraust den leuten, dass die
> brocken sicher sind, oder du laesst es. YGWYPF.
>
> > - Wenn es Debian nicht einmal schafft ihre eigenen Server sicher zu
> > halten, wie sollte dann ihre Distribution sicher sein? Das stinkt
> > förmlich nach unfähigkeit seitens der Debianer.
>
> hmm.
>
> du _musst_ nicht mit Debian arbeiten.

Nein. Aber dennoch stellt sich die Frage: Warum gibt es beim security-service 
keine gpg Signaturen für die Pakete? Wenn die Pakete auf einem nicht mit dem 
Internetverbundenen System gebaut werden und dann erst nach Erstellung einer 
Signatur hochgeladen werden, hätte das Problem in diesem Bereich viel 
Begrenztere Ausmaße angenommen.

> bisher sieht es so aus, als ob mindestens einer der maintainer mist
> gebaut hat, mit fatalen folgen fuer vier server. es sieht auch so aus,
> als ob das archiv davon nicht betroffen ist.

Das sieht auch so - nach an mich gedrungenen Gerüchte soll ein Kennwort 
bekannt gewesen sein. Warum ist eine Verbindung mit Kennwort möglich, wenn 
RSA based Authentication und SSL-Client-Zertifikate seid Jahren erprobt sind?

> wenn man eine Distribution mit sicherheitsgarantie und ggf.
> einklagbaren regressanspruechen haben will, muss man sich halt eine
> kaufen, oder selbst eine machen. mit noergeleien und verbalinjurien
> erreicht man nur, dass noch mehr leute genervt sind.

Ehm. Mir geht es um das in Frage stellen des Status-Quo sowie um das 
ansprechen auf Missstände. Nicht um Nörgeleien.
Meine Ausgangsnachricht war jedoch leicht metaphorisch, was wohl nach hinten 
losgegangen zu sein scheint.
Sorry, beleidigungen waren nicht meine Absicht.

Keep smiling
yanosz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
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=JTb0
-----END PGP SIGNATURE-----



Reply to: