ds10 hat geschrieben: ↑04 Jun 2020, 10:18
Warum fällt es dir eigentlich so schwer, ein einfaches Nein zu akzeptieren?
Dein nein bezieht sich auf die Signatur mit Zertifikaten mit der Begründung der Kosten. PGP ist eine ganz andere Geschichte und solange du das nicht beantwortet hast, ist das auch nicht als nein aufzugreifen.
Eine PGP-Signatur erhöht die Sicherheit nicht, sondern erzeugt nur eine Scheinsicherheit.
Ließst du was ich schreibe
In meinem alten Thread schrieb ich: "Die Signatur würde gewährleisten, dass die Binaries von euch sind und die Integrität stimmt,"
Und genau das kann auch die PGP Signatur.
Nehmen wir einmal dein Beispiel, dass sie Webseite gehackt wird, dann kann der Hacker da alles drauf schreiben,
Richtig, aber die Signatur würde nicht zu dem PGP Key vom letzten mal passen der sich in meinem Schlüsselbund befindet.
auch dass der private Schlüssel verloren gegangen ist
Hast du das Prinzip von PGP verstanden? Den privaten Schlüssel legt man nicht auf Webserver ab. Und wenn er dir verloren geht, dann musst du ihn eben revoken. Damit ist er ungültig. Und dann brauchst du nen neuen.
Es könnte aber auch sein, dass es kein Hacker war, sondern der Schlüssel tatsächlich verloren gegangen ist, wie soll man als Nutzer also erkennen, dass eine Aussage auf der Webseite von uns stammt oder von einem Hacker? Das geht einfach nicht, da es immer ein Szenario gibt, in dem jede Kontrollinstanz auch gehackt wurde.
Neue PGP Keys werden normalerweise mit dem alten signiert, dann kann der alte auslaufen und der neue wird gültig. Der Hacker hat den privaten Key aber nicht und kann daher den neuen PGP Key nicht signieren.
Momentan hat der Nutzer nicht einmal eine Kontrolle über die Integriert des Downlaods auf soureforge. Ich sehe auf eurer Downloadseite nicht einmal Prüfsummen und die wären schon das mindeste, eine PGP Signatur ist natürlich noch besser.
Wenn dir das Downloaden des Installers ohne Signatur ein zu großes Risiko ist, dann lade TV-Browser im Quellcode herunter und kompiliere den dann selbst. Dann kannst du zumindest sicher sein, dass es der vorliegende Quellcode ist, der kompiliert wurde.
100000 Nutzer sollen also 30 min mit compilieren aufbringen, macht also 5,7 Jahre, damit ihr als Entwickler 10 min Zeitersparnis habt?
Weißt du was Steve Jobs in den Anfängen von Lisa oder des Macintosh mal seinem Betriebssystementwickler gesagt hat?
Er sagte ihm, die Bootzeit muss schneller gehen, überlege mal, wenn es dir gelingt die Bootzeit um 20 s zu verkürzen, dann ersparst du n Millionen Menschen x tausend Mannjahre. Das hat der Entwickler verstanden, also hat er sich noch einmal dran gesetzt und konnte die Bootzeit sogar um mehr als 20 s verkürzen. Viele Menschen haben so Lebenszeit eingespart, die sie besser nutzen konnten und dads verdanken sie dem Entwickler und Steve Jobs.
Mal davon abgesehen davon, dass eurer Quellcode auch nicht signiert ist und sogar einen Code Audit bräuchte. DIe Alternative zum Code Audit könnte Vertrauen sein, aber dafür müsstet ihr den Code signieren.
Ich kann ja einmal drüber nachdenken, die Hashs der Pakete auf der Webseite zu veröffentlichen, dann könnte man die immerhin mit den heruntergeladenen Paketen vergleichen. Würde aber auch nicht gegen einen Hacker helfen, der die Webseite hackt.
Ja, das wäre ein Schritt vorwärst und wenn ihr wie die Entwickler des Debian Projekts die Hash sha256 Dateien noch via PGP signiert, dann könnten wir Nutzer wenigstens darauf vertrauen, das die Binaries und Hashwerte von euch sind.
Über Verein oder Mitgliedschaft in einem Verein, brauchen wir nicht zu diskutieren, denn das kommt nicht in Frage.
Es war auch nur ein Vorschlag.
Letztendlich ist dein Wunsch nur, dass wir dir das Leben einfacher machen, auf Kosten der Erhöhung der Komplexität auf unserer Seite.
Falsch, ich gebe euch diese Hilfe zur Verbresserung, damit sich die Situation für alle verbessert. So wie es momentan läuft, gibt's halt weiterhin die Gefahr, dass ein paar Rechner mehr zu Botnetzen werden und dir dann Spammails in den Briefkasten werfen oder eure Webseite DDosen. Bedenke bitte auch, dass ihr nicht das einzige Open Source oder Freeware Projekt seit, würden aber alle Projekte darauf hinarbeiten, dass die Integrirtät besser gewährleistet und geprüft werden kann, dann würde sich der Allgemeinsituation für alle verbessern und aus diesem Blickwinkel sehe ich das.
Hätte ich selber so ein Projekt am laufen, dann würde ich immer Prüfsummen und eine PGP Signatur mitliefern. Debian und andere Projekte, wie bspw. Putty gehen hier mit gutem Beispiel vor.
Und wofür das Ganze, für eine Scheinsicherheit, denn ich könnte ja auch gehackt werden, so dass jemand sogar den originalen Signaturschlüssel erbeutet und dann?
Mit der gleichen Argumentation könntest du auch behaupten, dass Firewalls unnötig sind. Sie sind ja auch nur eine weitere Sicherheitsstufe.