Hi Ihrs,
hab' ich die Tage über die DWN mitgelesen:
http://monk.debian.net/apt-secure/
Nette Idee, die Pakete nicht nur auf Gültigkeit (anhand der Hashes) sondern auch auf Authenzität zu überprüfen ... :-D
Ist Euch nicht auch mal der Gedanke gekommen was passieren würde, wenn es einem "Bösling" gelingen würde, Trojane u. dgl. in ein offizielles Debian-Paket zu schleusen? ... *bibberschüddl*
apt-secure
Re: apt-secure
wenn das mal passieren würde, dann könnte man eventuell folgendes machen:
aber generell eine sehr gute idee... das bringt zusätzliche sicherheit ;-)
Code: Select all
# mv rootserver /dev/nullRe: apt-secure
Ich hatte mal ganz früher sowas angefangen und wollte die GPG-Sigs der Pakete prüfen lassen. Dabei musste ich feststellen, dass der aller-aller-größte Teil der Pakete das nicht verwendet und wurde in Fehlermeldungen begraben. Fazit: Die Idee ist nett, das bringt aber nur was, wenn wirklich jeder Debian-Developer da mitzieht und es in seine Pakete auch einbaut. Und hier sehe ich noch sehr sehr große Defizite.
Re: apt-secure
Da gebe ich Dir recht. Aber die Unterstützung dieser Idee seitens der "maßgeblichen" DD scheint recht groß zu sein - immerhin können die ja auch machen sobald Debian einmal öffentlichkeitswirksam kompromittiert ist...
Ich finde es gut und unterstützenswert, da lasse ich den Pessimismus, so angebracht er auch immer sein mag, vorerst außen vor :)
Hmm - was wohl die "Nicht-Signierer" sagen, wenn keine Sau mehr ihre Pakete verwendet ? *ggg*
Code: Select all
mv /usr/ist/engagiert /dev/nullIch finde es gut und unterstützenswert, da lasse ich den Pessimismus, so angebracht er auch immer sein mag, vorerst außen vor :)
Hmm - was wohl die "Nicht-Signierer" sagen, wenn keine Sau mehr ihre Pakete verwendet ? *ggg*