Björn Keil:
>
> Ich könnte mir vorstellen, dass sowas ab und zu passieren kann, wenn man
> zufällig genau in dem Moment was runterlädt, in dem ein Update
> stattfindet, und man erwischt eine Release und eine Release.gpg Datei
> die nicht zusammen passen.
So ist es. Das beobachte ich mit ftp2.de.debian.org regelmäßig,
insbesondere zwischen 22 und 0 Uhr. Da wird anscheinend gesynct. Finde
ich auch nervig, ist aber kein Grund zur Sorge.
> Aber ständig?
Was heißt "ständig"? Wie oft merkst Du das, regelmäßig oder
unregelmäßig? Versuchst Du es vielleicht einfach meistens um die gleiche
Uhrzeit?
> Das Paket
> debian-archive-keyring ist bei mir in der Version "2007.02.19".
Ist auch die aktuellste Version, das paßt schon so. Wenn Deine Keys zu
alt wären, hättest Du entsprechende Meldunge ja auch /immer/.
> Wenn jemand eine man in the middle attack machen würde hätte er mir
> längst eine gefälschte /etc/apt/trusted.gpg und /etc/apt/trustdb.gpg
> unterjubeln können,
Wie das? Du darfst natürlich keine Pakete einspielen, so lange apt über
die Signatur meckert.
> außerdem wäre es sehr unwahrscheinlich, dass das sowohl privat als
> auch auf der Kiste am Arbeitsplatz vorkommt. Mal ganz abgesehen davon,
> dass meine Daten auch nicht so wahnsinnig interessant sind.
Rechenleistung und Internetzugang sind immer interessant. man botnet.
(Ohne Dich jetzt persönlich angreifen zu wollen, aber das kann man
heutzutage kaum oft genug wiederholen: "Ich hab doch keine
wichtigen/interessanten Daten auf dem Rechner, Viren sind mir egal!"
ist -- wenn auch unbeabsichtigt -- eine asoziale Einstellung den
anderen Netzteilnehmern gegenüber. Im Zweifel macht man sich zum
Komplizen von Kriminellen.)
J.
--
If I am asked 'How are you' more than a million times in my life I
promise to explode.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature