Jochen Schulz schrieb: (auf meine Bemerkung, dass der > Was heißt "ständig"? Wie oft merkst Du das, regelmäßig oder > unregelmäßig? Versuchst Du es vielleicht einfach meistens um die gleiche > Uhrzeit? > Anscheinend holt sich ftp2.de.debian.org zweimal am Tag update - zwischen 10 und 11 sowohl morgens als auch abends. Die Zeit der letzten Änderung ist jedendfalls 10:07 bzw. 22:07. Zwischen 10 und 11 Uhr morgens ist für mich eine äußerst typische Zeit für Updates. Und in den morgens rassele ich regelmäßig. Wäre nicht schlecht wenn man den Release, Release.gpg und die Package Files mit einem Datumsstempel (z.B. `date -u -Ihours`) im Dateinamen versehen könnte und nur vergleicht, wenn die auch zusammen gehören. Ein Link auf die jeweils aktuellste bringt den Client dazu die auch herunterzuladen, die restlichen werden dem Namen nach runtergeladen. Außerdem sollten die Release und Release.gpg als letztes unmittelbat nacheinander runtergeladen werden. Im Moment habe ich den Eindruck, dass die Release.gpg ziemlich früh und die Release Datei ziemlich spät im Verlaufe eines Updates runtergeladen wird. Das mit den Updates ist zwar nicht tragisch, es nervt aber schon. Nebenbei - warum eigentlich MD5 Hashes? Theoretisch sind MD5 Schlüssel nicht mehr sicher [1] und sooo wahnsinnig groß kann der Aufwand genau wie im Schlüssel SHA1 zu verwenden gar nicht sein. Ok. SHA1 ist auch nicht mehr sicher [2]... aber eben der sicherste Algorithmus der von allen gängigen Programmen unterstützt wird und der Algorithmus der für die Signatur der Release Datei benutzt wird. Also kurz gesagt: Ich glaube nicht, das es eine Rolle spielt, aber warum sich mit weniger Sicherheit zufrieden geben wenn mehr Sicherheit nichts kostet? Nachher kommt tatsächlich mal jemand auf die Idee den Leuten gefälschte debian-archive-keyring Pakete unterzujubeln -- [1]: http://de.wikipedia.org/wiki/MD5#Die_Analyse-Methode [2]: http://www.heise.de/newsticker/meldung/62977
Attachment:
signature.asc
Description: OpenPGP digital signature