Dirk Salva schrieb: > On Sun, Jun 07, 2009 at 05:06:48PM +0200, Jan Kohnert wrote: > > Und was würde ihn daran hindern, dir ein manipuliertes OpenSSH Paket > > unterzuschieben, das die Konfiguration so ändert, das Root-Zugang von > > außen möglich ist (z.B. durch einen Patch, damit PermitRootLogin > > ignoriert wird)? Bei der Gelegenheit könnte er auch gleich noch das > > Root-PW neu setzen. > > Niemand. Aber was ändert sich, wenn > a) gar nicht signiert wird (wie es bis Sarge üblich war) oder > b) das ein pöhser Maintainer eines Paketes sowieso macht!? Gut, deinem Maintainer musst du vertrauen, das ist leider so. Wenn du das nicht kannst, musst du eine andere Distribution nehmen, oder gleich alles von hand selber machen, dann aber bitte auch alle Quelltexte lesen und verstehen, der der pöhse Softwareautor kann ja auch versteckte Fallen einbauen. > Dein Szenario ist deshalb absurd, weil es nicht von der > Key-Import-Frage abhängig ist, sondern in jedem Fall stattfinden kann. Falsch. Genau *deswegen* gibt es secure-apt, und genau deswegen sollst du *nur* Key importieren, die von Maintainern sind, denen du *vertraust* (hoffentlich zu recht). Damit hast du *vertrauenswürdige* Software auf dem Rechner und nicht irgendwas von Leuten dir die vielleicht etwas böses wollen, ist das so schwer zu verstehen? > In der Schule hätte es "Thema verfehlt" geheissen. Ich weiß ja nicht, was du für Lehrer hattest, aber mir schwant, warum wir beim Textverständnis in der Pisa-Studie so schlecht abschneiden... EOD -- MfG Jan
Attachment:
signature.asc
Description: This is a digitally signed message part.