OpenSource - die Mutter aller Trojaner?
Franz Hornung
wenn ich mir von einer (angeblichen) MIRROR-Seite den aktuellen Kernel ziehe,
natürlich im Quellcode, wie kann ich sicher sein, dass in diesem Quellcode nicht
zusätzlicher Code hinzugemogelt wurde?
Wenn ich mir von einer (angeblichen) MIRROR-Seite das aktuelle OpenOffice ziehe,
natürlich im Quellcode, wie kann ich sicher sein, dass in diesem Quellcode nicht
zusätzlicher Code hinzugemogelt wurde?
Wenn ich mir von einer (angeblichen) MIRROR-Seite ein aktuelles Linux-CD-Image
ziehe (z.B. Redhat 8.0), wie kann ich sicher sein, dass in deren RPM-Pakete
nicht zusätzlich hinzugemogelte Programme mitenthalten sind, die beim
installieren mitinstalliert werden?
Jeder, der sich etwas mit C auskennt, kennt die Funktion system(). Wer kann mich
daran also hindern, wenn ich auf meinem Server die aktuelle sendmail.tar.gz
anbiete oder anbieten muß, in einen der vielen *.c Files aber eine Zeile mit
system("rm -rf /")
hinzufügen will?
Dagegen kann ich bei z.B. bei Marken-Software (Microsoft, Sun, etc.) zu fast
100% sicher sein, dass bei der Übersetzung kein Trittbrettfahrer dabei ist, der
mir einen Trojaner hinzuschmuggelt. Microsoft kann an Image verlieren, aber wer
verliert an Ansehen bei OpenSource-Programmen? Die Programmierer? Die kennt ja
sowieso keiner.
Aber die Quellcodes von Linux, oder anderer OpenSource-Software geht durch so
viele Hände, dass niemand mehr sagen kann, was letztendliche compiliert wird,
ausser ein Informatik-Guru macht sich die Arbeit und schaut den Quellcode Zeile
für Zeile durch.
Einfach nur mal so ein Gedanke.
Servus
Franz
Ulrich Hanke
Wofür gibt es wohl "MD5SUM" bei allen ISOs?
Wer sagt Dir das Mickysoft da nix zufügt?
Franz Hornung
news:b5k9kd$2a7tgj$1...@ID-20956.news.dfncis.de...
> Franz Hornung schrieb
>
> Wofür gibt es wohl "MD5SUM" bei allen ISOs?
Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
generiere. Nichtsdestotrotz gibts das bei tar.gz nicht.
>
> Wer sagt Dir das Mickysoft da nix zufügt?
>
Was zum Beispiel? Die wollen was verkaufen, und wenn jemand dahinterkommt, dass
die was böswilliges hinzugeschmuggelt haben, kaufts denen niemand mehr ab und MS
erleidet wohl einen Image-Verlust, dem nicht mehr nur fahrlässige Bugs zugrunde
liegen, sondern vorsätzlicher schadenerzeugender Code. Die nachfolgenden
Schadenersatzforderungen kämen sie wohl teuer zu stehen.
Bei OpenSource mußt du erst mal den Täter finden
Servus
Franz
Lars Marowsky-Bree
<muell...@yahoo.de> wrote:
> Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
> generiere. Nichtsdestotrotz gibts das bei tar.gz nicht.
Hm? Unfug. Die md5sums liegen auch neben den tar.gz's, und sind zusaetzlich
noch mit einer PGP/GPG Signatur pruefbar.
> Was zum Beispiel? Die wollen was verkaufen, und wenn jemand dahinterkommt,
> dass die was böswilliges hinzugeschmuggelt haben, kaufts denen niemand mehr
> ab und MS erleidet wohl einen Image-Verlust, dem nicht mehr nur fahrlässige
> Bugs zugrunde liegen, sondern vorsätzlicher schadenerzeugender Code. Die
> nachfolgenden Schadenersatzforderungen kämen sie wohl teuer zu stehen.
Das scheint sich in der Vergangenheit so nicht bestaetigt zu haben.
> Bei OpenSource mußt du erst mal den Täter finden
Jo, bei MS auch, oder glaubst Du, sie geben zu, es wäre hochoffiziell gewesen?
;-) In jedem Fall wird die Staatsanwaltschaft anlaufen.
Deine Argumente sind nicht neu und halbgar; lies die entsprechenden Pages die
Du mit Google leicht findest, warum solche Angriffe zwar oefter probiert
werden, aber fast nie gewinnen.
Franz Hornung
>
> > Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
> > generiere. Nichtsdestotrotz gibts das bei tar.gz nicht.
>
> Hm? Unfug. Die md5sums liegen auch neben den tar.gz's, und sind zusaetzlich
> noch mit einer PGP/GPG Signatur pruefbar.
Naja, wer macht sich schon diese Arbeit? Die meisten greifen wohl zuerst zu
rpm-Paketen auf Uni-Servern, deren Admins wohl auch nicht so gut bezahlt sind,
dass diese ihre rpms prüfen, bevor sie sie freigeben. Vor allem wenns kostenlos
sein muß.
>
> > Was zum Beispiel? Die wollen was verkaufen, und wenn jemand dahinterkommt,
> > dass die was böswilliges hinzugeschmuggelt haben, kaufts denen niemand mehr
> > ab und MS erleidet wohl einen Image-Verlust, dem nicht mehr nur fahrlässige
> > Bugs zugrunde liegen, sondern vorsätzlicher schadenerzeugender Code. Die
> > nachfolgenden Schadenersatzforderungen kämen sie wohl teuer zu stehen.
>
> Das scheint sich in der Vergangenheit so nicht bestaetigt zu haben.
Was scheint sich nicht bestätigt zu haben? Ein eingeschmuggelter Code oder die
Schadenersatzforderungen?
>
> > Bei OpenSource mußt du erst mal den Täter finden
>
> Jo, bei MS auch, oder glaubst Du, sie geben zu, es wäre hochoffiziell gewesen?
> ;-) In jedem Fall wird die Staatsanwaltschaft anlaufen.
Schadenersatzforderungen können zunächst mal direkt an Microsoft gestellt
werden, denn die haben nun mal das Produkt verkauft, was die danach mit ihrem
Mitarbeiter machen, ist den Geschädigten egal.
Oder gegen wen klagst du, wenn jemand bei deinem Auto statt der
Airbag-Zündpillen die Anti-Baby-Pille verbaut hat?
>
> Deine Argumente sind nicht neu und halbgar; lies die entsprechenden Pages die
> Du mit Google leicht findest, warum solche Angriffe zwar oefter probiert
> werden, aber fast nie gewinnen.
Wenn ein Hosenträgerhersteller sich seine EDV von einer Fremd-Firma supporten
lässt, weil er sich mit diesem EDV-Zeugs nicht auskennt, gehört er wohl schon
zum gefährdeten Bereich. Aber wenn er MS- oder SUN- Produkte kauft, muß der
entsprechende Admin sich über Prüfsummen keine Gedanken mehr machen. Oder was
glaubst du, warum bei Banken und Versicherungen das Vertrauen in OpenSource like
Linux nicht gerade hoch angesiedelt ist?
Servus
Franz
Erik Schanze
> "Ulrich Hanke" <Ulr...@pc-generation.de> schrieb im Newsbeitrag
> news:b5k9kd$2a7tgj$1...@ID-20956.news.dfncis.de...
>>
>
> Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
> generiere. Nichtsdestotrotz gibts das bei tar.gz nicht.
>
Der Unterschied ist, dass die MD5-Summe in einer extra Datei steckt, die
parallel auf dem Server angeboten wird. Wenn du Bedenken hast, kannst
du dir die MD5-Summe vom Main-Mirror ziehen.
>>
>> Wer sagt Dir das Mickysoft da nix zufügt?
>>
>
> Was zum Beispiel?
GID bei Office 97?
Mediaplayer bei WinME?
...
> Die wollen was verkaufen, und wenn jemand dahinterkommt, dass
> die was böswilliges hinzugeschmuggelt haben, kaufts denen niemand mehr ab
> und MS erleidet wohl einen Image-Verlust, dem nicht mehr nur fahrlässige
> Bugs zugrunde liegen, sondern vorsätzlicher schadenerzeugender Code.
ROTFL.
Welches Image?
Die kompletteste Spyware der Welt zu sein?
> Die nachfolgenden
> Schadenersatzforderungen kämen sie wohl teuer zu stehen.
Kein Problem für jemanden, der sich aus jedem Prozess freikauft.
> Bei OpenSource mußt du erst mal den Täter finden
>
Oder vertrauenswürdige Quellen benutzen und nicht jeden hyperneuen
Dreck einspielen.
Freundlich grüßend,
Erik
--
www.ErikSchanze.de ****************************************************
DSA key ID 30825345 #281495 (http://counter.li.org) *
Key fingerprint = 0DAF EEA4 1C0C FD21 111B 5C3F C007 DEBB 3082 5345 *
Bitte keine HTML-Mails! No HTML mails, please! Maillimit: 1 MB *
Franz Hornung
"Robin S. Socha" writes:
>
> > wenn ich mir von einer (angeblichen) MIRROR-Seite den aktuellen Kernel
> > ziehe, natürlich im Quellcode, wie kann ich sicher sein, dass in diesem
> > Quellcode nicht zusätzlicher Code hinzugemogelt wurde?
>
> mirror kompromittiert wird: <http://www.cert.org/advisories/CA-2002-24.html>.
Letzteres zeigt wohl sehr deutlich die nichtvorhandene Unverwundbarkeit.
>
> > Wenn ich mir von einer (angeblichen) MIRROR-Seite das aktuelle
> > OpenOffice ziehe, natürlich im Quellcode, wie kann ich sicher sein,
> > dass in diesem Quellcode nicht zusätzlicher Code hinzugemogelt
> > wurde?
>
> <http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
Nett, aber was machst du, wenn du keinen Internetzugang hast?
>
> > Wenn ich mir von einer (angeblichen) MIRROR-Seite ein aktuelles
> > Linux-CD-Image ziehe (z.B. Redhat 8.0), wie kann ich sicher sein,
> > dass in deren RPM-Pakete nicht zusätzlich hinzugemogelte Programme
> > mitenthalten sind, die beim installieren mitinstalliert werden?
>
> <http://www.linuxiso.org/viewdoc.php/verifyiso.html>
Jetzt mußt du als Chef deiner Hosenträgermanufaktur nur noch so einen Admin
finden, der das macht, oder ihm nachweisen, dass er das nicht gemacht hat.
Auf diese Weise wird die Verantwortung ja nur auf den Anwender abgeschoben.
Gibts bei SUN oder Microsoft nicht.
> > Aber die Quellcodes von Linux, oder anderer OpenSource-Software geht
> > durch so viele Hände, dass niemand mehr sagen kann, was letztendliche
> > compiliert wird, ausser ein Informatik-Guru macht sich die Arbeit und
> > schaut den Quellcode Zeile für Zeile durch.
>
> <http://www.kernelhacking.org/docs/kernelhacking-HOWTO/indexs11.html>
Code im Kernel verstecken ist ja nicht gerade ergiebig, der wechselt ja häufiger
als du deine Unterwäsche.
> Einfach nur Müll von jemand, der die Dokumentation nicht einmal verstehen
> würde, wenn es sie in Comicform gäbe.
Mit solchen Sprüchen kannst auf Monkey Island Pirat werden. Ansonsten könnte man
dir empfehlen, deine sozialen Kontakte etwas mehr zu pflegen und nicht nur auf
deinen Pizza- und Getränkelieferanten zu beschränken. Aber zu diesem Thema hast
wohl noch keine HowTo gefunden, nichtmal in Comicform.
Servus
Franz
Norbert Tretkowski
> "Lars Marowsky-Bree" wrote:
>> Die md5sums liegen auch neben den tar.gz's, und sind zusaetzlich
>> noch mit einer PGP/GPG Signatur pruefbar.
>
> Naja, wer macht sich schon diese Arbeit?
Das spielt keine Rolle. Die Moeglichkeit existiert. Wer sie nicht
nutzt, muss mit den Folgen klar kommen.
> Aber wenn er MS- oder SUN- Produkte kauft, muß der entsprechende
> Admin sich über Prüfsummen keine Gedanken mehr machen.
Du kannst dir genausogut eine Debian oder Mandrake CD kaufen.
Deswegen ist das Thema Pruefsumme noch lange nicht vom Tisch.
> Oder was glaubst du, warum bei Banken und Versicherungen das
> Vertrauen in OpenSource like Linux nicht gerade hoch angesiedelt
> ist?
Beim Baecker um die Ecke ist BMW nicht gerade hoch angesiedelt. So
what?
Eggert Ehmke
...
> mehr machen. Oder was glaubst du, warum bei Banken und Versicherungen das
> Vertrauen in OpenSource like Linux nicht gerade hoch angesiedelt ist?
Hmm. Lies mal:
http://www.suse.de/de/company/press/press_releases/archive03/schwaebisch_hall.html
http://www.heise.de/newsticker/data/odi-17.04.02-000/
http://www.bundestux.de/
sind das etwa keine sicherheitsrelevanten einsätze ? Mit etwas googlen
findest du mehr.
Eggert
Franz Hornung
Erik Schanze schrieb:
>>Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
>>generiere. Nichtsdestotrotz gibts das bei tar.gz nicht.
>>
>
> Das ist Unsinn.
> Der Unterschied ist, dass die MD5-Summe in einer extra Datei steckt, die
> parallel auf dem Server angeboten wird. Wenn du Bedenken hast, kannst
> du dir die MD5-Summe vom Main-Mirror ziehen.
Hier wird die Verantwortung auf den Endanwender übertragen, aber das
offensichtliche Problem nicht gelöst. Gibts bei SUN und Microsoft nicht.
>
>
>>>Wer sagt Dir das Mickysoft da nix zufügt?
>>>
>>
>>Was zum Beispiel?
>
> GID bei Office 97?
Was hat GID angestellt? Die Festplatte gelöscht?
> Mediaplayer bei WinME?
Naja, lies mal weniger die ComputerBILD und dafür das README, was du vor
der Installation zu lesen bekommst. Da steht genau drin, welche Daten er
zu welchem Zweck überträgt.
>>Die wollen was verkaufen, und wenn jemand dahinterkommt, dass
>>die was böswilliges hinzugeschmuggelt haben, kaufts denen niemand mehr ab
>>und MS erleidet wohl einen Image-Verlust, dem nicht mehr nur fahrlässige
>>Bugs zugrunde liegen, sondern vorsätzlicher schadenerzeugender Code.
>
> ROTFL.
> Welches Image?
Das meistverkaufte Betriebssystem der Welt entwickelt zu haben
> Die kompletteste Spyware der Welt zu sein?
unbelegbare ComputerBILD- und SuSE-Fanatiker- Sprüche.
>>Die nachfolgenden
>>Schadenersatzforderungen kämen sie wohl teuer zu stehen.
>
> Kein Problem für jemanden, der sich aus jedem Prozess freikauft.
Wo hat sich Microsoft freigekauft? Auch schon CourtShow-geschädigt?
>>Bei OpenSource mußt du erst mal den Täter finden
>>
>
> Oder vertrauenswürdige Quellen benutzen und nicht jeden hyperneuen
> Dreck einspielen.
Was sind vertrauenswürdige Quellen, schließen wir mal die Main-Sites
aus. Obwohl ich selbst denen nicht hundertprozentig vertrauen kann, wenn
man bedenkt, dass deren Mitarbeiter das auch mehr oder weniger
ehrenamtlich also hobbymässig machen.
> Freundlich grüßend,
Ebenso freundlich grüßend und einen schönen Sonntag wünschend
Franz
Lars Marowsky-Bree
<muell...@yahoo.de> wrote:
> Naja, wer macht sich schon diese Arbeit? Die meisten greifen wohl zuerst zu
> rpm-Paketen auf Uni-Servern, deren Admins wohl auch nicht so gut bezahlt
> sind, dass diese ihre rpms prüfen, bevor sie sie freigeben. Vor allem wenns
> kostenlos sein muß.
Ja, dasselbe Argument greift allerdings bei angeblichen Security Fixes von
Microsoft et cetera. Sicherheit ist kein Zustand, sondern eine Kultur und ein
Prozess. Da wird der naive Anwender immer das Leck sein, das laesst sich nicht
aendern und ist OS-unabhängig.
IMHO ist einer der Gründe, warum Linux bis jetzt wesentlich verschonter blieb,
nicht nur die vermutete höhere Sicherheit des Codes (besser, nicht perfekt),
sondern auch die immernoch technische Versiertheit der Anwender.
>> Das scheint sich in der Vergangenheit so nicht bestaetigt zu haben.
> Was scheint sich nicht bestätigt zu haben? Ein eingeschmuggelter Code oder
> die Schadenersatzforderungen?
Beides. Die gefundenen "Wartungszugänge" etc waren ja immernur bedauerliche
Fehler, und von erfolgreichen Schadensersatzklagen habe ich auch nichts
gehört.
> Schadenersatzforderungen können zunächst mal direkt an Microsoft gestellt
> werden, denn die haben nun mal das Produkt verkauft, was die danach mit ihrem
> Mitarbeiter machen, ist den Geschädigten egal.
Klar, wenn Du von den offiziellen FTP Servern von MS ziehst o.ae. ist das wohl
so; aber ebenso ist ein erfolgreicher unbemerkter Angriff auf die FTP Server
von SuSE, RH oder Debian wohl auch eher selten.
Und Anwender, die jemanden verklagen wollen, wenn sie selber Mist gebaut
haben, installieren halt kein Debian sondern RedHat Advanced Server oder SuSE
Linux Enterprise Server, und installieren nur offizielle Updates. Wo ist Dein
Problem - das alles gibt es auch bei Linux ;-)
> entsprechende Admin sich über Prüfsummen keine Gedanken mehr machen. Oder
> was glaubst du, warum bei Banken und Versicherungen das Vertrauen in
> OpenSource like Linux nicht gerade hoch angesiedelt ist?
Keine Ahnung. Da wird die Offenheit des Codes etc durchaus auch zu schätzen
gewußt. Viele große Banken und Firmen setzen Linux intern ein, das weiß ich
aus allererster Hand ;-)
Franz Hornung
Eggert Ehmke schrieb:
>>mehr machen. Oder was glaubst du, warum bei Banken und Versicherungen das
>>Vertrauen in OpenSource like Linux nicht gerade hoch angesiedelt ist?
>
>
> Hmm. Lies mal:
> http://www.suse.de/de/company/press/press_releases/archive03/schwaebisch_hall.html
> http://www.heise.de/newsticker/data/odi-17.04.02-000/
> http://www.bundestux.de/
>
> sind das etwa keine sicherheitsrelevanten einsätze ?
Nein, dass sind nur Absichtserklärungen ohne das bis jetzt was
dahingehend geändert wurde.
Ciao
Franz
Lars Marowsky-Bree
<muell...@yahoo.de> wrote:
>> <http://www.kernel.org/signature.html> - interessant wird es, wenn der main
>> mirror kompromittiert wird: <http://www.cert.org/advisories/CA-2002-24.html>.
> Letzteres zeigt wohl sehr deutlich die nichtvorhandene Unverwundbarkeit.
Nichts ist unverwundbar.
>> <http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
> Nett, aber was machst du, wenn du keinen Internetzugang hast?
Offizielle CDs vom Hersteller / Distributor verwenden. Ohne Internet-Zugang
sind fuer mich auch kompromittierte Mirrors nicht relevant. Man, diese
inkonsistente Argumentation muss doch sogar einem Troll auffallen ;-)
> Auf diese Weise wird die Verantwortung ja nur auf den Anwender abgeschoben.
> Gibts bei SUN oder Microsoft nicht.
Uh? Klar. "Was, sie haben auf Dialer so und so geklickt? Na, da kann ich dann
auch nix fuer sie tun." Der Anwender hat _immer_ Verantwortung.
Ende der Debatte, die Argumente werden dadurch nicht besser, das Du sie
wiederholst und nicht verstehst, das es keine "absolute" Sicherheit gibt.
Norbert Tretkowski
> "Robin S. Socha" writes:
>> * Franz Hornung <muell...@yahoo.de> writes:
>> > Wenn ich mir von einer (angeblichen) MIRROR-Seite das aktuelle
>> > OpenOffice ziehe, natürlich im Quellcode, wie kann ich sicher
>> > sein, dass in diesem Quellcode nicht zusätzlicher Code
>> > hinzugemogelt wurde?
>>
>> <http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
>
> Nett, aber was machst du, wenn du keinen Internetzugang hast?
Dann kannst du dir nichts "von einer (angeblichen) MIRROR-Seite"
ziehen. So einfach ist das.
Und nun troll woanders.
Lars Marowsky-Bree
<muell...@yahoo.de> wrote:
> Nein, dass sind nur Absichtserklärungen ohne das bis jetzt was
> dahingehend geändert wurde.
Das ist falsch.
Franz Hornung
Lars Marowsky-Bree schrieb:
> On Sun, 23 Mar 2003 14:40:43 +0100, Franz Hornung
> <muell...@yahoo.de> wrote:
>
>
>>Naja, wer macht sich schon diese Arbeit? Die meisten greifen wohl zuerst zu
>>rpm-Paketen auf Uni-Servern, deren Admins wohl auch nicht so gut bezahlt
>>sind, dass diese ihre rpms prüfen, bevor sie sie freigeben. Vor allem wenns
>>kostenlos sein muß.
>
>
> Ja, dasselbe Argument greift allerdings bei angeblichen Security Fixes von
> Microsoft et cetera.
Zumindest seit es die "Automatischen Windows-Updates gibt" sollte sowas
nicht mehr vorkommen.
> Sicherheit ist kein Zustand, sondern eine Kultur und ein
> Prozess. Da wird der naive Anwender immer das Leck sein, das laesst sich nicht
> aendern und ist OS-unabhängig.
Aber man kann zumindest dafür sorgen, dass die Quelle, also die
InstallationsCD des Betriebssystems keine Lecks enthält.
>
> IMHO ist einer der Gründe, warum Linux bis jetzt wesentlich verschonter blieb,
> nicht nur die vermutete höhere Sicherheit des Codes (besser, nicht perfekt),
> sondern auch die immernoch technische Versiertheit der Anwender.
>
Das kann schon sein. Allerdings könnte man in dem gleichen Argument wohl
auch so drastische Lecks wie den erst kürzlich aufgedeckten Konsolen-Bug
mit root-Rechten begründet sehen.
> Beides. Die gefundenen "Wartungszugänge" etc waren ja immernur bedauerliche
> Fehler, und von erfolgreichen Schadensersatzklagen habe ich auch nichts
> gehört.
Solche bedauerlichen Wartungszugänge wurden auch in Linux bereits
genügend gefunden, selbst bei den offiziellen Versionen die noch dazu
von den Distributoren über die Prüfsumme gelaufen sind. Dementsprechend
halte ich hierzu Schadenersatzklagen nicht für gerechtfertigt. Ich
meinte hier ja auch keine Sicherheitslecks und bewußt und vorsätzlich
eingebauten Code.
>
>
>>Schadenersatzforderungen können zunächst mal direkt an Microsoft gestellt
>>werden, denn die haben nun mal das Produkt verkauft, was die danach mit ihrem
>>Mitarbeiter machen, ist den Geschädigten egal.
>
>
> Klar, wenn Du von den offiziellen FTP Servern von MS ziehst o.ae. ist das wohl
> so; aber ebenso ist ein erfolgreicher unbemerkter Angriff auf die FTP Server
> von SuSE, RH oder Debian wohl auch eher selten.
OK, diese offiziellen Distribtoren schließe ich mal aus. Den Inhalt
deren CDs und DVDs halte sogar ich für vertrauenswürdig. Ich dachte eher
so an Sachen wie Webmin, etc. die nicht Bestandteil der Original-CDs
dieser Distris sind.
>
> Und Anwender, die jemanden verklagen wollen, wenn sie selber Mist gebaut
> haben, installieren halt kein Debian sondern RedHat Advanced Server oder SuSE
> Linux Enterprise Server, und installieren nur offizielle Updates. Wo ist Dein
> Problem - das alles gibt es auch bei Linux ;-)
Aber zu diesem Zeitpunkt ist der Vorteil "Softwareanschaffungskosten"
gegenüber Microsoft und SUN auch nicht mehr gegeben.
> Keine Ahnung. Da wird die Offenheit des Codes etc durchaus auch zu schätzen
> gewußt. Viele große Banken und Firmen setzen Linux intern ein, das weiß ich
> aus allererster Hand ;-)
BEISPIELE!! ;-)
Servus
Franz
Karlheinz klingbeil
>> Mediaplayer bei WinME?
>
> Naja, lies mal weniger die ComputerBILD und dafür das README, was du vor
> der Installation zu lesen bekommst. Da steht genau drin, welche Daten er
> zu welchem Zweck überträgt.
Der soll *keine* Daten übertragen, weil es *niemanden* was angeht was ich
für Musik höre oder Filme gucke !!!!!!!!!!!!!!!!!!!!! (Nein die !-Taste ist
nicht kaputt...)
--
Greetz.... lunqual
http://www.lunqual.de
Juergen Ilse
>> > OpenOffice ziehe, natürlich im Quellcode, wie kann ich sicher sein,
>> > dass in diesem Quellcode nicht zusätzlicher Code hinzugemogelt
>> > wurde?
>> <http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
> Nett, aber was machst du, wenn du keinen Internetzugang hast?
Wenn du keinen Internetzugang hast, wie hast du dann ueberhaupt
das aktuelle OpenOffice gezogen?
>> > Wenn ich mir von einer (angeblichen) MIRROR-Seite ein aktuelles
>> > Linux-CD-Image ziehe (z.B. Redhat 8.0), wie kann ich sicher sein,
>> > dass in deren RPM-Pakete nicht zusätzlich hinzugemogelte Programme
>> > mitenthalten sind, die beim installieren mitinstalliert werden?
>> <http://www.linuxiso.org/viewdoc.php/verifyiso.html>
> Jetzt mußt du als Chef deiner Hosenträgermanufaktur nur noch so einen Admin
> finden, der das macht, oder ihm nachweisen, dass er das nicht gemacht hat.
> Auf diese Weise wird die Verantwortung ja nur auf den Anwender abgeschoben.
> Gibts bei SUN oder Microsoft nicht.
Richtig, da stellt man ueberhaupt nicht die Frage, wer wofuer die
Verantwortung hat ... Und weil natuerlich der Hersteller alle Verantwortung
fuer evt. Fehler uebernimmt, gibt es ja auch solche Klauseln in den diversen
"EULAs", dass Schaeden nur bis zu einer Hoechstsumme die maximal dem Kauf-
preis der Software oder 500,- EURO (was immer weniger ist) entspricht,
gedeckt sind ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
[ Alfred Schulze ueber Norton Internet Security in dcsf ]
Es ist ja eigentlich auch nicht zum runterbekommen gemacht.
Normalerweise gehört es genau wie ein Windows ein Leben lang auf den
Computer.
Franz Hornung
Lars Marowsky-Bree schrieb:
>>><http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
>>
>>Nett, aber was machst du, wenn du keinen Internetzugang hast?
>
>
> Offizielle CDs vom Hersteller / Distributor verwenden. Ohne Internet-Zugang
> sind fuer mich auch kompromittierte Mirrors nicht relevant. Man, diese
> inkonsistente Argumentation muss doch sogar einem Troll auffallen ;-)
Deine Lebenserfahrung ist aber auch noch nicht sonderlich ausgebildet.
Es gibt immer noch genügend Desktops ohne Internetzugang, so dass die
Updates zum Beispiel per CD eingespielt werden muß. Und bei dieser CD
handelt sich mit Sicherheit nicht um eine offizielle Distributor-CD. Der
hätte viele CDs herzustellen im Laufe eines Jahres
>>Auf diese Weise wird die Verantwortung ja nur auf den Anwender abgeschoben.
>>Gibts bei SUN oder Microsoft nicht.
>
>
> Uh? Klar. "Was, sie haben auf Dialer so und so geklickt? Na, da kann ich dann
> auch nix fuer sie tun." Der Anwender hat _immer_ Verantwortung.
Du übernimmst dann wohl auch die Verantwortung für den Unfall, selbst
wenn offensichtlich jemand Unbekannter an deinem Auto die Bremsanlage
manipuliert hat?
>
> Ende der Debatte, die Argumente werden dadurch nicht besser, das Du sie
> wiederholst und nicht verstehst, das es keine "absolute" Sicherheit gibt.
>
Ich habe nie behauptet, dass es eine absolute Sicherheit gibt, ich habe
nur behauptet, das OpenSource, weil es eben durch viele Hände geht,
unsicherer ist, als Markenware, wobei ich zu Markenware mittlerweile
auch SuSE und RedHat dazuzähle.
Wenn du eine Debatte beenden willst, weil deine oberflächlichen
Argumente nicht greifen, dann hält dich keiner auf, die Debatte zu
verlassen.
Servus
Franz
Franz Hornung
Karlheinz klingbeil schrieb:
> Franz Hornung wrote:
>
>
>
>>>Mediaplayer bei WinME?
>>
>>Naja, lies mal weniger die ComputerBILD und dafür das README, was du vor
>>der Installation zu lesen bekommst. Da steht genau drin, welche Daten er
>>zu welchem Zweck überträgt.
>
>
> Der soll *keine* Daten übertragen, weil es *niemanden* was angeht was ich
> für Musik höre oder Filme gucke !!!!!!!!!!!!!!!!!!!!! (Nein die !-Taste ist
> nicht kaputt...)
Dann such dir einen anderen Player. Niemand zwingt dich, MediaPlayer zu
nehmen, schon gar nicht Microsoft. Ausserdem glaube ich kaum, dass ein
Opensource-Trojaner-Schreiber eine README verfasst, die der Endanwender
noch VOR der Installation zu lesen bekommt.
Servus
Franz
P.S: Nur Fanatiker und extremistisch Veranlagte müssen im Internet mit
der !-Tasten-Vergewaltigung argumentieren.
Franz Hornung
Juergen Ilse schrieb:
> Franz Hornung <muell...@yahoo.de> wrote:
>
>>"Robin S. Socha" writes:
>>
>>>>Wenn ich mir von einer (angeblichen) MIRROR-Seite das aktuelle
>>>>OpenOffice ziehe, natürlich im Quellcode, wie kann ich sicher sein,
>>>>dass in diesem Quellcode nicht zusätzlicher Code hinzugemogelt
>>>>wurde?
>>>
>>><http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
>>
>>Nett, aber was machst du, wenn du keinen Internetzugang hast?
>
>
> Wenn du keinen Internetzugang hast, wie hast du dann ueberhaupt
> das aktuelle OpenOffice gezogen?
Naja mein Lieber Juergen. Wie man das halt macht. Der gelbe
Weihnachtsmann hat mir von SuSE die CD gebracht, aber die Updates
besorgt mir mein Kumpel auf CD, der hat DSL.
> Richtig, da stellt man ueberhaupt nicht die Frage, wer wofuer die
> Verantwortung hat ... Und weil natuerlich der Hersteller alle Verantwortung
> fuer evt. Fehler uebernimmt, gibt es ja auch solche Klauseln in den diversen
> "EULAs", dass Schaeden nur bis zu einer Hoechstsumme die maximal dem Kauf-
> preis der Software oder 500,- EURO (was immer weniger ist) entspricht,
> gedeckt sind ...
Naja, zumindest in Deutschland sind solche Klauseln null und nichtig.
Informier dich mal bei Frau Künast.
Servus
Franz
P.S: Ist dein Killfile korrupt, oder warum hatte ich die Ehre, von dir
eine Antwort erhalten zu haben ;-)
Karlheinz klingbeil
> Dann such dir einen anderen Player. Niemand zwingt dich, MediaPlayer zu
> nehmen, schon gar nicht Microsoft. Ausserdem glaube ich kaum, dass ein
> Opensource-Trojaner-Schreiber eine README verfasst, die der Endanwender
> noch VOR der Installation zu lesen bekommt.
Ich glaub *du* bist paranoid ?!? Im Readme vom Mediaplayer steht auch nicht,
dass der deine Playlisten an Microsoft schickt, oder hab ich da was
überlesen ?
> P.S: Nur Fanatiker und extremistisch Veranlagte müssen im Internet mit
> der !-Tasten-Vergewaltigung argumentieren.
Naja.. der Extremist bist du... Beim Papst wärst gut aufgehoben, da kommts
auch nur auf den Glauben an die alleinseligmachende Kraft der Wahrheit an
(oder was der oder Billy halt so für Wahrheit halten ;))
Ich halt dich ganz einfach mal für einen Troll und *plonk*
Rainer Weikusat
> Dagegen kann ich bei z.B. bei Marken-Software (Microsoft, Sun, etc.) zu fast
> 100% sicher sein, dass bei der Übersetzung kein Trittbrettfahrer
> dabei ist,
Das ist faktischer Blödsinn, Stichwort »Interbase«. Du übersiehst auch
einen entscheidenden Punkt: Du hast keinen geschäftlichen oder
sonstigen Kontakt zu einem einzigen Programmierer, der für Mickeysoft
arbeitet und die verkaufen Dir nichts, sondern schreiben Software, die
ihnen hinterher nicht mehr gehört. Des weiteren muß dort niemand
befürchten, das unabhängige Dritte solchen Scherzen auf die Spur
kommen würden und im besonderen, daß man sie zu ihm zurückverfolgen
könnte.
> [...], aber wer verliert an Ansehen bei OpenSource-Programmen? Die
> Programmierer? Die kennt ja sowieso keiner.
Das ist ebenfalls faktischer Blödsinn.
> Aber die Quellcodes von Linux, oder anderer OpenSource-Software geht durch so
> viele Hände, dass niemand mehr sagen kann, was letztendliche
> compiliert wird,
Und zum dritten Mal. Was bringt Dich auf den albernen Gedanken, man
könne keine binaries patchen?
Kim Huebel
> Ich halt dich ganz einfach mal für einen Troll und *plonk*
Ist die Frage, welcher der beiden der größere Troll ist.
regards, Kim
--
Dear Mr. George W. Bush: STOP WAR - START THINKING!!!
--------------------------------------------------------------------
Realnamen in der From:-Zeile sowie gültige Emailadressen erhöhen die
Chance gelesen zu werden und sinnvolle Antworten zu erhalten!
Holger Marzen
> Erik Schanze schrieb:
>
>>>Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
>>>generiere. Nichtsdestotrotz gibts das bei tar.gz nicht.
>>>
>>
>> Das ist Unsinn.
>> Der Unterschied ist, dass die MD5-Summe in einer extra Datei steckt, die
>> parallel auf dem Server angeboten wird. Wenn du Bedenken hast, kannst
>> du dir die MD5-Summe vom Main-Mirror ziehen.
>
> Hier wird die Verantwortung auf den Endanwender übertragen, aber das
> offensichtliche Problem nicht gelöst. Gibts bei SUN und Microsoft nicht.
Gibt es denn *irgendeine* Prüfsumme bei M$-Fixpacks oder Sun-Downloads?
Also bleibt dir nur Vertrauen. Es fällt mir allerdings sehr schwer,
einer Firma wie M$ zu vertrauen, die Fixpacks verteilt, die den Rachner
nachher nicht mehr booten lassen (mangelnde Kompetenz) und Software
verteilt, die meinen Rechner ausspioniert (Bösartigkeit). Da vertraue
ich SuSE oder den Debian-Maintainern deutlich mehr. Bei Sun habe ich
auch noch kein Bauchweh.
Aber einen Schadenersatz für zerstörte Daten oder vertane Zeit werde ich
von keinem kriegen. Solltest du es schaffen, von M$ tatsächlich mal Geld
zu bekommen (und zwar mehr, als du ihnen für Lizenzen bezahlt hast),
möchte ich bei dir Unterricht nehmen.
Karlheinz klingbeil
Ach sag mal.. kurz vorm plonken, bist du nicht der Franz Hornung, der in
Bayerbach wohnt ? Und eine Mailadresse bei atlantisnet hat ???
Gebete SChutzengel, geistiges Heilen ?? Ach, daher die ganze Glaubenskraft
an das Heilige Microsoft.
will nix gesagt haben [grinZ]
Bernd Mayer
>
> Hier wird die Verantwortung auf den Endanwender übertragen, aber das
> offensichtliche Problem nicht gelöst. Gibts bei SUN und Microsoft nicht.
"Microsoft Software Hole Leads to Computer Attacks
Mon March 17, 2003 07:37 PM ET
SAN FRANCISCO (Reuters) - A new security hole in Windows 2000 operating
system when used with Microsoft Corp.'s MSFT.O Web server software has
allowed computer attackers to compromise machines, including a U.S. Army
server, a security expert said on Monday."
Siehe
http://reuters.com/newsArticle.jhtml?type=technologyNews&storyID=2395511
http://www.nha.com/news/archives/msvirx.htm
http://sun.soci.niu.edu/~crypt/other/onestop.htm
http://www.usatoday.com/tech/news/2001-02-05-hackers.htm
http://www.securiteam.com/securitynews/Microsoft_Internal_Network_Hacked__Source_Code_Stolen.html
http://itrain.org/itinfo/2000/it000326.html
http://www.heise.de/newsticker/data/wst-08.12.01-002/
http://www.incidents.org/react/nimda.pdf
Windowssysteme sind vom Prinzip her ominös und undurchschaubar und nicht
vertrauenswürdig.
Siehe auch die Dokumentation zum Microsoft-Prozess
oder netcraft:
http://uptime.netcraft.com/up/today/top.avg.html
HTH
Bernd Mayer
--
Fragen die sich wiederholen werden schnell langweilig
Franz Hornung
> > Dagegen kann ich bei z.B. bei Marken-Software (Microsoft, Sun, etc.) zu fast
> > 100% sicher sein, dass bei der Übersetzung kein Trittbrettfahrer
> > dabei ist,
>
> Das ist faktischer Blödsinn, Stichwort »Interbase«. Du übersiehst auch
> einen entscheidenden Punkt: Du hast keinen geschäftlichen oder
> sonstigen Kontakt zu einem einzigen Programmierer, der für Mickeysoft
> arbeitet und die verkaufen Dir nichts, sondern schreiben Software, die
> ihnen hinterher nicht mehr gehört. Des weiteren muß dort niemand
> befürchten, das unabhängige Dritte solchen Scherzen auf die Spur
> kommen würden und im besonderen, daß man sie zu ihm zurückverfolgen
> könnte.
In welchem Semester bist du? Schon mal was von Software-Engineering gehört. MS
weiß mit Sicherheit von jeder Datei ihrer Software, wer für diese verantwortlich
ist.
Interbase war doch eine Borland-Geschichte, oder? Aber wenn ich schon schreibe,
"fast 100% sicher" dann widerlegst diese Behauptung nicht mit so einem mageren
Beispiel.
>
> > [...], aber wer verliert an Ansehen bei OpenSource-Programmen? Die
> > Programmierer? Die kennt ja sowieso keiner.
>
> Das ist ebenfalls faktischer Blödsinn.
Nur weil du das sagst? Oder warum?
>
> > Aber die Quellcodes von Linux, oder anderer OpenSource-Software geht durch
so
> > viele Hände, dass niemand mehr sagen kann, was letztendliche
> > compiliert wird,
>
> Und zum dritten Mal. Was bringt Dich auf den albernen Gedanken, man
> könne keine binaries patchen?
Nimmst du irgendwelche Drogen? Natürlich kann man auch binaries patchen, nichts
gegenteiliges habe ich behauptet. Jedoch ist direktes Quellcodemanipulieren für
Informatik-Erstsemester wohl einfacher als binaries zu patchen.
Servus
Franz
Bernd Mayer
>
> > Kein Problem für jemanden, der sich aus jedem Prozess freikauft.
>
> Wo hat sich Microsoft freigekauft? Auch schon CourtShow-geschädigt?
http://www.pcworld.com/news/article/0,aid,14739,00.asp
http://www.oreillynet.com/pub/a/network/2000/02/07/schulman.html
Rainer Weikusat
> "Rainer Weikusat" writes:
> > Das ist faktischer Blödsinn, Stichwort »Interbase«. Du übersiehst auch
> > einen entscheidenden Punkt: Du hast keinen geschäftlichen oder
> > sonstigen Kontakt zu einem einzigen Programmierer, der für Mickeysoft
> > arbeitet und die verkaufen Dir nichts, sondern schreiben Software, die
> > ihnen hinterher nicht mehr gehört. Des weiteren muß dort niemand
> > befürchten, das unabhängige Dritte solchen Scherzen auf die Spur
> > kommen würden und im besonderen, daß man sie zu ihm zurückverfolgen
> > könnte.
>
> In welchem Semester bist du? Schon mal was von Software-Engineering
> gehört.
Eine Mailadresse ist ein Textstring, Franzl, und keine Id-card.
> MS weiß mit Sicherheit von jeder Datei ihrer Software, wer für diese
> verantwortlich ist.
Weil Du das behauptest, obwohl es offensichtlicher Quark ist, wenn man
davon ausgeht, es mit potentiell unehrlichen Leuten zu tun zu haben?
> Interbase war doch eine Borland-Geschichte, oder? Aber wenn ich schon schreibe,
> "fast 100% sicher"
Dann ist das dummes Gewäsch. Fast 100% sicher heißt *nicht* sicher, es
ergibt sich also kein Vorteil (außer Du machst einen code audit des
binaries).
> > > [...], aber wer verliert an Ansehen bei OpenSource-Programmen? Die
> > > Programmierer? Die kennt ja sowieso keiner.
> >
> > Das ist ebenfalls faktischer Blödsinn.
>
> Nur weil du das sagst? Oder warum?
Wie stellst Du Dir vor, daß verteilte Entwicklung funktionieren könne,
ohne daß die *Entwickler* bekannt wären?
> > > viele Hände, dass niemand mehr sagen kann, was letztendliche
> > > compiliert wird,
> >
> > Und zum dritten Mal. Was bringt Dich auf den albernen Gedanken, man
> > könne keine binaries patchen?
>
> Nimmst du irgendwelche Drogen? Natürlich kann man auch binaries patchen, nichts
> gegenteiliges habe ich behauptet. Jedoch ist direktes Quellcodemanipulieren für
> Informatik-Erstsemester wohl einfacher als binaries zu patchen.
Ein bißchen schwanger gibts nicht. Diese Vermutung ist außerdem
*falsch*.
Franz Hornung
> >
> > > Kein Problem für jemanden, der sich aus jedem Prozess freikauft.
> >
> > Wo hat sich Microsoft freigekauft? Auch schon CourtShow-geschädigt?
>
> http://www.heise.de/newsticker/data/wst-08.12.99-001/
> http://www.pcworld.com/news/article/0,aid,14739,00.asp
> http://www.oreillynet.com/pub/a/network/2000/02/07/schulman.html
Von freikaufen ist da nirgends die Rede. Im übrigen würde ich eine von mir
entwickelte Erweiterung auch so bauen, dass sie nur auf meinem Basissystem
eingesetzt werden kann. Von einem vorsätzlich eingebauten Fehler, welcher dem
Endanwender bewußt Schaden zufügt, kann hier also nun wirklich nicht die Rede
sein.
> --
> Fragen die sich wiederholen werden schnell langweilig
Antworten erst recht
Franz Hornung
>
> Ach sag mal.. kurz vorm plonken, bist du nicht der Franz Hornung, der in
> Bayerbach wohnt ? Und eine Mailadresse bei atlantisnet hat ???
> Gebete SChutzengel, geistiges Heilen ?? Ach, daher die ganze Glaubenskraft
> an das Heilige Microsoft.
Nimmst du irgendwelche Drogen?
ruth@www:~> whois atlantisnet.de -h whois.nic.de
[whois.nic.de]
% Copyright (c)2002 by DENIC
%
% Restricted rights.
%
%
% Except for agreed Internet operational purposes, no part of this
% information may be reproduced, stored in a retrieval system, or
% transmitted, in any form or by any means, electronic, mechanical,
% recording, or otherwise, without prior permission of the DENIC
% on behalf of itself and/or the copyright holders. Any use of this
% material to target advertising or similar activities are explicitly
% forbidden and will be prosecuted. The DENIC requests to be notified
% of any such activities or suspicions thereof.
domain: atlantisnet.de
descr: Juweliere Hoeffer
descr: Hauptstr. 3a
descr: D-56424 Staudt
descr: Germany
nserver: ns15.schlund.de
nserver: ns16.schlund.de
status: connect
changed: 20011118 091228
source: DENIC
[admin-c]
Type: PERSON
Name: Marcus Hoeffer
Address: Juweliere Hoeffer
Address: Hauptstr. 3a
City: Staudt
Pcode: 56424
Country: DE
Remarks: ID [#6875087/6365900]
Changed: 20011117 182153
Source: DENIC
[tech-c][zone-c]
Type: PERSON
Name: Hostmaster SCHLUND
Address: Schlund + Partner AG
Address: Erbprinzenstr. 1
City: Karlsruhe
Pcode: 76133
Country: DE
Phone: +49 721 91374 50
Fax: +49 721 91374 20
Email: hostm...@schlund.de
Remarks: ID [#5126200/1548]
Changed: 20010914 153910
Source: DENIC
>
> will nix gesagt haben [grinZ]
Ich glaube, du hast ein ganz anderes Problem
Norbert Tretkowski
>> Uh? Klar. "Was, sie haben auf Dialer so und so geklickt? Na, da
>> kann ich dann auch nix fuer sie tun." Der Anwender hat _immer_
>> Verantwortung.
>
> Du übernimmst dann wohl auch die Verantwortung für den Unfall,
> selbst wenn offensichtlich jemand Unbekannter an deinem Auto die
> Bremsanlage manipuliert hat?
Der Vergleich hinkt nicht nur, er sitzt im Rollstuhl.
Wer Unbekannte auf seinem Computer irgendwas installieren laesst, dem
ist nicht mehr zu helfen.
Franz Hornung
> > In welchem Semester bist du? Schon mal was von Software-Engineering
> > gehört.
>
> Eine Mailadresse ist ein Textstring, Franzl, und keine Id-card.
Ok, da hast du recht. Hätte mich wohl mehr an deinen Postingbody als an den
Header halten sollen, dann hätte man gewiss ausschliesen können, dass du Student
bist.
>
> > MS weiß mit Sicherheit von jeder Datei ihrer Software, wer für diese
> > verantwortlich ist.
>
> Weil Du das behauptest, obwohl es offensichtlicher Quark ist, wenn man
> davon ausgeht, es mit potentiell unehrlichen Leuten zu tun zu haben?
Davon gehst vielleicht du aus, ich nicht.
>
> > Interbase war doch eine Borland-Geschichte, oder? Aber wenn ich schon
schreibe,
> > "fast 100% sicher"
>
> Dann ist das dummes Gewäsch. Fast 100% sicher heißt *nicht* sicher, es
> ergibt sich also kein Vorteil (außer Du machst einen code audit des
> binaries).
Absolut sicher ist gar nix. Aber man kann ja entscheiden, wo die
Wahrscheinlichkeit höher ist, sich einen Trojaner einzuhandeln und wo nicht. Und
genau diese Debatte wollen wir hier führen. Aber du hast hierzu wohl nicht viel
beizutragen, als deine ComputerBild-Schnipsel.
>
> > > > [...], aber wer verliert an Ansehen bei OpenSource-Programmen? Die
> > > > Programmierer? Die kennt ja sowieso keiner.
> > >
> > > Das ist ebenfalls faktischer Blödsinn.
> >
> > Nur weil du das sagst? Oder warum?
>
> Wie stellst Du Dir vor, daß verteilte Entwicklung funktionieren könne,
> ohne daß die *Entwickler* bekannt wären?
Da brauch ich mir nix vorzustellen, da erinnere ich dich einfach an deinen
Einleitungssatz mit der ID-Card.
> > Nimmst du irgendwelche Drogen? Natürlich kann man auch binaries patchen,
nichts
> > gegenteiliges habe ich behauptet. Jedoch ist direktes Quellcodemanipulieren
für
> > Informatik-Erstsemester wohl einfacher als binaries zu patchen.
>
> Ein bißchen schwanger gibts nicht. Diese Vermutung ist außerdem
> *falsch*.
In welchen Welten schwebst du heute umher?
Holger Marzen
>> Das ist faktischer Blödsinn, Stichwort »Interbase«. Du übersiehst auch
>> einen entscheidenden Punkt: Du hast keinen geschäftlichen oder
>> sonstigen Kontakt zu einem einzigen Programmierer, der für Mickeysoft
>> arbeitet und die verkaufen Dir nichts, sondern schreiben Software, die
>> ihnen hinterher nicht mehr gehört. Des weiteren muß dort niemand
>> befürchten, das unabhängige Dritte solchen Scherzen auf die Spur
>> kommen würden und im besonderen, daß man sie zu ihm zurückverfolgen
>> könnte.
>
> In welchem Semester bist du? Schon mal was von Software-Engineering
> gehört. MS weiß mit Sicherheit von jeder Datei ihrer Software, wer für
> diese verantwortlich ist.
Das braucht dich als Kunde nicht zu interessieren. Genau zu diesem Zweck
existieren hochbezahlte "Verantwortliche", vulgo Chefs, Schlipse, wie
auch immer.
Und von denen kriegst du weder die Auskunft, wer für ein bestimmtes
Stück Code verantwortlich ist (wechselt mit jeder kleinen
Umstrukturierung, daher sind diese Leute eh nicht zu greifen), noch
irgendeine Form von Schadenersatz. Sonst wäre M$ längst pleite.
Franz Hornung
Auto = OS-Install-CD
Auto != Computer
Vielleicht verstehst du diese Sprache besser ;-)
Norbert Tretkowski
> Auto = OS-Install-CD
Nein.
> Auto != Computer
Ach?
Norbert Tretkowski
[...]
> Und genau diese Debatte wollen wir hier führen.
Da irrst du dich gewaltig.
Wolfgang Kaufmann
Hallo,
> "Ulrich Hanke" <Ulr...@pc-generation.de> schrieb im Newsbeitrag
>> Wofür gibt es wohl "MD5SUM" bei allen ISOs?
> Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
> generiere. Nichtsdestotrotz gibts das bei tar.gz nicht.
ROTFL!
>> Wer sagt Dir das Mickysoft da nix zufügt?
>
> Was zum Beispiel? Die wollen was verkaufen, und wenn jemand dahinterkommt, dass
> die was böswilliges hinzugeschmuggelt haben, kaufts denen niemand mehr ab und MS
ROTFL!
> erleidet wohl einen Image-Verlust, dem nicht mehr nur fahrlässige Bugs zugrunde
MS kann Image mässig gar nichts mehr verlieren. Das geht einfach nicht
mehr.
> Bei OpenSource mußt du erst mal den Täter finden
Ach, nee?
Tschüss,
Wolfgang.
--
"Es gibt Diebe, die nicht bestraft werden und einem doch das Kostbarste
stehlen: die Zeit."
-- Napoleon Bonaparte
Rainer Weikusat
> "Rainer Weikusat" writes:
> > > In welchem Semester bist du? Schon mal was von Software-Engineering
> > > gehört.
> >
> > Eine Mailadresse ist ein Textstring, Franzl, und keine Id-card.
>
> Ok, da hast du recht. Hätte mich wohl mehr an deinen Postingbody als an den
> Header halten sollen, dann hätte man gewiss ausschliesen können, dass du Student
> bist.
Du lenkst ab.
> > > MS weiß mit Sicherheit von jeder Datei ihrer Software, wer für diese
> > > verantwortlich ist.
> >
> > Weil Du das behauptest, obwohl es offensichtlicher Quark ist, wenn man
> > davon ausgeht, es mit potentiell unehrlichen Leuten zu tun zu haben?
>
> Davon gehst vielleicht du aus, ich nicht.
Es ist irrelevant, wovon ich ausgehe (und geäußert hatte ich mich dazu
außerdem nicht). Du tust das im übrigen: Woher kommen denn im anderen
Fall eventuelle backdoors? Das führt zu der interessanten Aussage, das
Du jemanden für vertrauenswürdig hälst, weil er einen bestimmten
Arbeitsvertrag unterschrieben hat. Das Adjektiv dafür wäre
'vertrauenselig'. Woher weißt Du eigentlich, daß alle Leute, die
Zugriff auf interne Rechner bei Firma X haben, auch wirklich dort
arbeiten?
> > > Interbase war doch eine Borland-Geschichte, oder? Aber wenn ich schon
> schreibe,
> > > "fast 100% sicher"
> >
> > Dann ist das dummes Gewäsch. Fast 100% sicher heißt *nicht* sicher, es
> > ergibt sich also kein Vorteil (außer Du machst einen code audit des
> > binaries).
>
> Absolut sicher ist gar nix. Aber man kann ja entscheiden, wo die
> Wahrscheinlichkeit höher ist, sich einen Trojaner einzuhandeln und
> wo nicht.
Dazu bedürfte es allerdings sinnvoller Kriterien und Deine Abneigung
gegen bestimmte Personengruppen ist keins davon, insbesondere dann
nicht, wenn Dich außerdem noch Tatsachen widerlegen. Dein
Allgemeinplatz ist falsch: Es ist mit absoluter Sicherheit bestimmbar,
welche Anweisungen in einem bestimmten Programm enthalten sind
('Reflections on trusting trust' lassen wir mal außen vor ;-), die
'Wahrscheinlichkeit' einer backdoor beträgt also für jedes konkrete
Programm entweder 0 oder 1 und keines ermöglich per se eine Aussage
über ein anderes, das ggf von vollkommen unterschiedlichen Personen
entwickelt wurde. Sicherheitsbestimmungen die *wahrscheinlich*
beachtet worden sind, sind Kokolores: Du möchtest kein Auto, das
*wahrscheinlich* bremst, wenn Du das Bremspedal trittst, sondern
eines, das das tut und um das sicherzustellen gibt es detaillierte
Vorschriften.
> Aber du hast hierzu wohl nicht viel beizutragen, als deine
> ComputerBild-Schnipsel.
Bis jetzt kamen die 'Computer-Bild'-Schnipsel ausschließlich von Dir,
als Beispiel verweise ich auf die typsiche Falschverwendung von
'Trojaner' anstelle von 'trojanischem Pferd'. Das ist *genau* diese
Gewichtsklasse.
> > > > Das ist ebenfalls faktischer Blödsinn.
> > >
> > > Nur weil du das sagst? Oder warum?
> >
> > Wie stellst Du Dir vor, daß verteilte Entwicklung funktionieren könne,
> > ohne daß die *Entwickler* bekannt wären?
>
> Da brauch ich mir nix vorzustellen, da erinnere ich dich einfach an deinen
> Einleitungssatz mit der ID-Card.
Aus Tatsache, daß @students.uni-mainz.de nicht besagt, ich wäre so
ungefähr Anfang bis Mitte zwanzig und hoffnungsfroh damit beschäftigt,
ein Diplom anzustreben, folgt nicht, daß ich keine reale Person wäre.
> > > Informatik-Erstsemester wohl einfacher als binaries zu patchen.
> >
> > Ein bißchen schwanger gibts nicht. Diese Vermutung ist außerdem
> > *falsch*.
>
> In welchen Welten schwebst du heute umher?
ZB in denen von 1994, wo ich eine Menge Informatik-Erstsemester
kennengelernt habe, deren Hobby das cracken kopiergeschützter
Computerspiele war.
Wolfgang Kaufmann
Hallo,
> Dann such dir einen anderen Player. Niemand zwingt dich, MediaPlayer zu
> nehmen, schon gar nicht Microsoft.
Doch Schatzi, genau das versuchen sie.
> Ausserdem glaube ich kaum, dass ein Opensource-Trojaner-Schreiber eine
> README verfasst, die der Endanwender noch VOR der Installation zu
> lesen bekommt.
Sag' mal, ach vergiß es.
Bernd Mayer
>
> "Bernd Mayer" wrote:
> > >
> > > > Kein Problem für jemanden, der sich aus jedem Prozess freikauft.
> > >
> > > Wo hat sich Microsoft freigekauft? Auch schon CourtShow-geschädigt?
> >
> > http://www.heise.de/newsticker/data/wst-08.12.99-001/
> > http://www.pcworld.com/news/article/0,aid,14739,00.asp
> > http://www.oreillynet.com/pub/a/network/2000/02/07/schulman.html
>
> Von freikaufen ist da nirgends die Rede. Im übrigen würde ich eine von mir
> entwickelte Erweiterung auch so bauen, dass sie nur auf meinem Basissystem
> eingesetzt werden kann. Von einem vorsätzlich eingebauten Fehler, welcher dem
> Endanwender bewußt Schaden zufügt, kann hier also nun wirklich nicht die Rede
> sein.
Geh und lass dir weiter vom Onkel Gates Märchen vorlesen
Bernd Mayer
>
> Dagegen kann ich bei z.B. bei Marken-Software (Microsoft, Sun, etc.) zu fast
> mir einen Trojaner hinzuschmuggelt. Microsoft kann an Image verlieren, aber wer
> verliert an Ansehen bei OpenSource-Programmen? Die Programmierer? Die kennt ja
> sowieso keiner.
http://www.vnunet.com/News/1130151
"Microsoft fears that it might be affected by the same security flaw
that could leave Linux systems vulnerable. The company has confirmed
that the zlib software-compression library flaw could affect Office,
Explorer, DirectX, Messenger, Windows XP and Front Page."
http://zdnet.com.com/2100-1104-860428.html
"The next-generation Graphics Device Interface is part of Windows XP,
meaning that the operating system itself could be at risk."
Franz Hornung
>
> Hallo,
>
> > Dann such dir einen anderen Player. Niemand zwingt dich, MediaPlayer zu
> > nehmen, schon gar nicht Microsoft.
>
> Doch Schatzi, genau das versuchen sie.
Dann leidest du unter Verfolgungswahn. Ist vielleicht das der Grund, warum du zu
Linux geflüchtet bist
>
> > Ausserdem glaube ich kaum, dass ein Opensource-Trojaner-Schreiber eine
> > README verfasst, die der Endanwender noch VOR der Installation zu
> > lesen bekommt.
>
> Sag' mal, ach vergiß es.
Komm, zieh deinen Schlafanzug an. Gleich kommt die Lindenstrasse, und danach
mußt du sowieso ins Bett.
Karlheinz klingbeil
> "Karlheinz klingbeil" wrote:
>>
>> Ach sag mal.. kurz vorm plonken, bist du nicht der Franz Hornung, der in
>> Bayerbach wohnt ? Und eine Mailadresse bei atlantisnet hat ???
>> Gebete SChutzengel, geistiges Heilen ?? Ach, daher die ganze
>> Glaubenskraft an das Heilige Microsoft.
>
> Nimmst du irgendwelche Drogen?
nein, wieso ?
nope.. du postest über hombrenet.de, was dir gehört, da ist eine Adresse
nachzulesen, die sich unter
http://www.brain-thing.com/cgi-bin/searchrolinfoadresse.cgi?search_field=all
wiederfindet, mit Mailadresse franz....@atlantisnet.de
Der einzige Post, der im Usenet dazu zu finden ist ist zwar alt und enthält
eine dämliche Frage ( Message-ID: <mp6$69jd...@news.atlantisnet.de>) aber
der Schreiber kommt da auch mit X-Trace: fu-berlin.de 934179243 8728 (none)
rein *und* unterschreibt genau wie du...
Also wenn du das bist, dann hast *du* bestimmt kein Problem mit deinem
Glauben ;))
aber interessehalber: bist du's ???
Franz Hornung
> nope.. du postest über hombrenet.de, was dir gehört, da ist eine Adresse
> nachzulesen, die sich unter
> http://www.brain-thing.com/cgi-bin/searchrolinfoadresse.cgi?search_field=all
> wiederfindet, mit Mailadresse franz....@atlantisnet.de
> Der einzige Post, der im Usenet dazu zu finden ist ist zwar alt und enthält
> eine dämliche Frage ( Message-ID: <mp6$69jd...@news.atlantisnet.de>) aber
> der Schreiber kommt da auch mit X-Trace: fu-berlin.de 934179243 8728 (none)
> rein *und* unterschreibt genau wie du...
> Also wenn du das bist, dann hast *du* bestimmt kein Problem mit deinem
> Glauben ;))
>
> aber interessehalber: bist du's ???
Probiers aus, und schreib da mal eine Mail hin und warte ab, was passiert ;-)
Servus
Franz
Andreas Cammin
>> > Wenn ich mir von einer (angeblichen) MIRROR-Seite das aktuelle
>> > OpenOffice ziehe, natürlich im Quellcode, wie kann ich sicher sein,
>> > dass in diesem Quellcode nicht zusätzlicher Code hinzugemogelt
>> > wurde?
>>
>> <http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
>
> Nett, aber was machst du, wenn du keinen Internetzugang hast?
Dann demonstrier mir mal, wie du ohne Internet-Zugang an trojanerverseuchte
Sourcen von einer kompromittierten Mirror Site rankommen willst :-)
Andreas
--
BEWEIS DURCH KONFUSE LEHRKÖRPER: "Der Professor sagt A, schreibt B,
meint dabei C, rechnet weiter mit D, bekommt E heraus, aber F wäre
richtig gewesen"
Ulli Kuhnle
Müll.
und alles antwortet dem Troll.
+-------------------+ .:\:\:/:/:.
| PLEASE DO NOT | :.:\:\:/:/:.:
| FEED THE TROLLS | :=.' - - '.=:
| | '=(\ 9 9 /)='
| Thank you, | ( (_) )
| Management | /-vvv-'\
+-------------------+ / \
| | @@@ / /|,,,,,|\ \
| | @@@ /_// /^\ \\_\
@x@@x@ | | |/ WW( ( ) )WW
\||||/ | | \| __\,,\ /,,/__
\||/ | | | jgs (______Y______)
/\/\/\/\/\/\/\/\//\/\\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\
==================================================================
--
Gruß - Ulli
Urs Stotz
[...]
> Jeder, der sich etwas mit C auskennt, kennt die Funktion system(). Wer kann mich
> daran also hindern, wenn ich auf meinem Server die aktuelle sendmail.tar.gz
> anbiete oder anbieten muß, in einen der vielen *.c Files aber eine Zeile mit
>
> system("rm -rf /")
>
> hinzufügen will?
Ich sehe Du bist ein Spezialist in C.
> Dagegen kann ich bei z.B. bei Marken-Software (Microsoft, Sun, etc.) zu fast
> 100% sicher sein, dass bei der Übersetzung kein Trittbrettfahrer dabei ist, der
> mir einen Trojaner hinzuschmuggelt. Microsoft kann an Image verlieren, aber wer
> verliert an Ansehen bei OpenSource-Programmen? Die Programmierer? Die kennt ja
> sowieso keiner.
Nein ich glaube Microsoft kann machen, was sie wollen,
so lange es Leute wie Dich gibt.
Gib doch einmal in der Suchmaschine Deiner Wahl
den Suchbegriff NSA_key ein.
Aber ich denke, das wird daran nichts ändern,
so dass wir in dieser Newsgroup weiterhin solche Artikel
von Dir lesen werden dürfen.
Ich habe Deinen Artikel nur über die Antworten gesehen,
weil Du schon länger Zeit mein Score File schmückst.
Gruss
Urs
Juergen Ilse
Franz Hornung <muell...@yahoo.de> wrote:
> Lars Marowsky-Bree schrieb:
>>>><http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
>>>Nett, aber was machst du, wenn du keinen Internetzugang hast?
>> Offizielle CDs vom Hersteller / Distributor verwenden. Ohne Internet-Zugang
>> sind fuer mich auch kompromittierte Mirrors nicht relevant. Man, diese
>> inkonsistente Argumentation muss doch sogar einem Troll auffallen ;-)
> Deine Lebenserfahrung ist aber auch noch nicht sonderlich ausgebildet.
> Es gibt immer noch genügend Desktops ohne Internetzugang, so dass die
> Updates zum Beispiel per CD eingespielt werden muß. Und bei dieser CD
> handelt sich mit Sicherheit nicht um eine offizielle Distributor-CD. Der
> hätte viele CDs herzustellen im Laufe eines Jahres
du hoer mal, es gibt angeblich den einen oder anderen Softwaredistributor,
der SOOOO viele CDs produziert, dass er sich sogar dazu hinreissen laesst,
einige davon zu verkaufen ...
> Ich habe nie behauptet, dass es eine absolute Sicherheit gibt, ich habe
> nur behauptet, das OpenSource, weil es eben durch viele Hände geht,
> unsicherer ist, als Markenware, wobei ich zu Markenware mittlerweile
> auch SuSE und RedHat dazuzähle.
Du hast merkwuerdige Ansichten ...
> Wenn du eine Debatte beenden willst, weil deine oberflächlichen
> Argumente nicht greifen, dann hält dich keiner auf, die Debatte zu
> verlassen.
Danke gleichfalls.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
[ Alfred Schulze ueber Norton Internet Security in dcsf ]
Es ist ja eigentlich auch nicht zum runterbekommen gemacht.
Normalerweise gehört es genau wie ein Windows ein Leben lang auf den
Computer.
Juergen Ilse
> "Franz Hornung" <muell...@yahoo.de> writes:
>> > Und zum dritten Mal. Was bringt Dich auf den albernen Gedanken, man
>> > könne keine binaries patchen?
>> Nimmst du irgendwelche Drogen? Natürlich kann man auch binaries patchen,
>> manipulieren für Informatik-Erstsemester wohl einfacher als binaries zu
>> patchen.
Ich habe schon von einer OEM-DOS-Version den Disketten-Treiber gepatched,
und das im laufenden System. Es ist mir nicht wesentlich schwerer gefallen
als das patchen eines Quelltextetes. Ich habe auch mal fuer einen Freund
den Kopierschutz eines (von ihm legal erworbenen) Computerspiels weg
gepatched (weil sein Diskettenlaufwerk nach wenigen Tagen nicht mehr mit
der kopiergeschuetzten Diskette klarkam), und auch da hielt sich der Auf-
wand in Grenzen (waehrend ich damals kein PC-Kopierprogramm vorliegen
hatte, dass mir eine lauffaehige Kopie gezogen haette) ...
> Ein bißchen schwanger gibts nicht. Diese Vermutung ist außerdem
> *falsch*.
Natuerlich ist die falsch, aber ich denke nicht, dass Frank das zugeben
wird ...
Juergen Ilse
Franz Hornung <muell...@yahoo.de> wrote:
> Juergen Ilse schrieb:
>> Franz Hornung <muell...@yahoo.de> wrote:
>>>"Robin S. Socha" writes:
>>>><http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
>>>Nett, aber was machst du, wenn du keinen Internetzugang hast?
>> Wenn du keinen Internetzugang hast, wie hast du dann ueberhaupt
>> das aktuelle OpenOffice gezogen?
> Naja mein Lieber Juergen. Wie man das halt macht. Der gelbe
> Weihnachtsmann hat mir von SuSE die CD gebracht, aber die Updates
> besorgt mir mein Kumpel auf CD, der hat DSL.
Und warum weisst du den nicht an, neben den Updates (evt. auch von
einem Mirror) auch die Pruefsummen (vom Original-Server, nicht von
einem Mirror) zu ziehen?
>> Richtig, da stellt man ueberhaupt nicht die Frage, wer wofuer die
>> Verantwortung hat ... Und weil natuerlich der Hersteller alle Verantwortung
>> fuer evt. Fehler uebernimmt, gibt es ja auch solche Klauseln in den diversen
>> "EULAs", dass Schaeden nur bis zu einer Hoechstsumme die maximal dem Kauf-
>> preis der Software oder 500,- EURO (was immer weniger ist) entspricht,
>> gedeckt sind ...
> Naja, zumindest in Deutschland sind solche Klauseln null und nichtig.
> Informier dich mal bei Frau Künast.
... und wer hat bisher mit einer Klage gegen z.B. Microsoft oder andere
amerikanische Hersteller Erfolg gehabt und mehr als den Kaufpreis der
Software an Schadenersatz herausbekommen? Ein einziges Beispiel wuerde
mir schon genuegen (und wenn du keins findest, solltest du dir die Frage
stellen, warum nicht ...).
> P.S: Ist dein Killfile korrupt, oder warum hatte ich die Ehre, von dir
> eine Antwort erhalten zu haben ;-)
Da du darum bittest: Soll nicht wieder vorkommen ... *PLONK*
Ralf Bader
> In welchem Semester bist du? Schon mal was von Software-Engineering
> gehört. MS weiß mit Sicherheit von jeder Datei ihrer Software, wer für
> diese verantwortlich ist.
Das beweist, daß du einfach nur blöde daherfaselst und z.B. noch nie einen
Blick in ein Linux-Quellcodefile geworfen hast. Da weiß nämlich nicht nur
irgendjemand "mit Sicherheit", wer verantwortlich ist, sondern es steht
explizit drin.
Ralf
Lasse Kliemann
> > Franz Hornung schrieb
> >
> > Wofür gibt es wohl "MD5SUM" bei allen ISOs?
>
> Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
> generiere.
Es ist richtig, daß jeder eine Prüfsumme selber generieren kann. Man kann die
Situation aber schon etwas entschärfen, indem man sich von einem Mirror das
eigentliche File zieht und von fünf anderen nur die Prüfsumme. Die müssten
dann alle kompromittiert worden sein, damit dir nichts auffällt.
> Nichtsdestotrotz gibts das bei tar.gz nicht.
Das hat mit .tar.gz vs. .rpm nichts zu tun. Prüfsummen kann man von jeder
Datei erstellen. Besser ist es jedoch, mit Kryptographie zu arbeiten. Eine
solche digitale Signatur ist _sehr_ schwierig zu fälschen. Leider findet
diese Methode bislang eher nur vereinzelt Anwendung. Sehrwohl aber beim
Linux Kernel.
> > Wer sagt Dir das Mickysoft da nix zufügt?
>
> Was zum Beispiel? Die wollen was verkaufen, und wenn jemand dahinterkommt,
> dass die was böswilliges hinzugeschmuggelt haben, kaufts denen niemand mehr
> ab
Darauf würde ich mich nicht verlassen. Denen wird schon seit Jahren alles
abgekauft. Word zum Beispiel. Erzähl' mir nicht, daß das weniger schlimm sei,
als ein Trojaner, der deine Festplatte formatiert.
Hauke Joachim Zuehl
> Was zum Beispiel? Die wollen was verkaufen, und wenn jemand
> dahinterkommt, dass die was böswilliges hinzugeschmuggelt haben, kaufts
> denen niemand mehr ab und MS erleidet wohl einen Image-Verlust, dem
> nicht mehr nur fahrlässige Bugs zugrunde liegen, sondern vorsätzlicher
> schadenerzeugender Code. Die nachfolgenden Schadenersatzforderungen
> kämen sie wohl teuer zu stehen.
*rotfl*
Glaubst du etwa der MS-Propaganda? Bist du wirklich so naiv?
> Servus
> Franz
Gruss,
Hauke
--
"Die grosse Mehrzahl unserer Importe kommt von ausserhalb des Landes"
(George W. Bush)
Michael Bergbauer
> Lars Marowsky-Bree schrieb:
> > On Sun, 23 Mar 2003 14:40:43 +0100, Franz Hornung
> > <muell...@yahoo.de> wrote:
> >
>
> >>Naja, wer macht sich schon diese Arbeit? Die meisten greifen wohl zuerst zu
> >>rpm-Paketen auf Uni-Servern, deren Admins wohl auch nicht so gut bezahlt
> >>sind, dass diese ihre rpms prüfen, bevor sie sie freigeben. Vor allem wenns
> >>kostenlos sein muß.
> > Ja, dasselbe Argument greift allerdings bei angeblichen Security
> > Fixes von
>
> > Microsoft et cetera.
>
> Zumindest seit es die "Automatischen Windows-Updates gibt" sollte
> sowas nicht mehr vorkommen.
Automatische Updates will man nicht. Oder garantiert $ANBIETER fuer
die Sicherheit der Server auf denen die Updates bereitgestellt werden,
sowie aller sonst noch benoetigten Systeme, die fuer eine gesicherte
Uebertragung notwendig sind (z.B. DNS, Routing, Certificate Authority)
--
Michael Bergbauer <mic...@noname.franken.de>
use your idle CPU cycles - See http://www.distributed.net for details.
Visit our mud Geas at geas.franken.de Port 3333
Michael Bergbauer
> Erik Schanze schrieb:
>
> >>Ich verganz gas, dass ich als böser rpm-Schmuggler diese "Quersumme" neu
> >>generiere. Nichtsdestotrotz gibts das bei tar.gz nicht.
> >>
> > Das ist Unsinn.
>
> > Der Unterschied ist, dass die MD5-Summe in einer extra Datei steckt, die
> > parallel auf dem Server angeboten wird. Wenn du Bedenken hast, kannst
> > du dir die MD5-Summe vom Main-Mirror ziehen.
>
> Hier wird die Verantwortung auf den Endanwender übertragen, aber das
> offensichtliche Problem nicht gelöst. Gibts bei SUN und Microsoft
> nicht.
Falscher Ansatz: einzig und alle der Endanwender (bzw. sein dafuer
bezahlter Admin, der nach seinen Wuenschen handelt) hat das Recht
zu entscheiden welche Software auf seinem Rechner laeuft, und nicht
MS, Sun oder sonst wer. Und er ist der einzige, der entscheidet,
welche Updates eingespielt werden. So und nicht anders funktioniert das
ganze.
Was wuerdest du sagen, wenn dir deine Werkstatt das Auto einfach so
zu nem Wartungstermin abholt, ohne dich zu informieren, ohne das
du nen Auftrag gegeben hast, dich aber dafuer zahlen laesst?
Peter Marbaise
> > Richtig, da stellt man ueberhaupt nicht die Frage, wer wofuer die
> > Verantwortung hat ... Und weil natuerlich der Hersteller alle Verantwortung
> > fuer evt. Fehler uebernimmt, gibt es ja auch solche Klauseln in den diversen
> > "EULAs", dass Schaeden nur bis zu einer Hoechstsumme die maximal dem Kauf-
> > preis der Software oder 500,- EURO (was immer weniger ist) entspricht,
> > gedeckt sind ...
>
> Naja, zumindest in Deutschland sind solche Klauseln null und
> nichtig. Informier dich mal bei Frau K~nast.
Peter Marbaise
> Ahoi,
>
> wenn ich mir von einer (angeblichen) MIRROR-Seite den aktuellen Kernel ziehe,
> natürlich im Quellcode, wie kann ich sicher sein, dass in diesem Quellcode nicht
> zusätzlicher Code hinzugemogelt wurde?
>
du könntest zuerst einmal deinen Newsreader auf eine vernünftige
Zeilenlänge einstellen.
Und zu deinen Fragen, es gibt Prüfsummen, die md5 Dinger, mit dem einen
Kernel oder auch ein ISO-Image abgeglichen werden kann.
Gegenfrage, was macht dich sicher wenn du einen Patch von Microsoft
herunterlädst ...
ciao Peter
--
WWW : http://www.marbaise.de/ Uptime: 42 Days 7 Hours
Anwendungen zu Linux gesucht ?
http://freshmeat.net/ gibt Antworten
Peter Marbaise
> > > dass in diesem Quellcode nicht zusätzlicher Code hinzugemogelt
> > > wurde?
> >
> > <http://www.openoffice.org/dev_docs/source/1.0.2/md5sums.html>
>
> Nett, aber was machst du, wenn du keinen Internetzugang hast?
loll, wer hat sowas heutzutage nicht?
>
> >
> > > Wenn ich mir von einer (angeblichen) MIRROR-Seite ein aktuelles
> > > Linux-CD-Image ziehe (z.B. Redhat 8.0), wie kann ich sicher sein,
> > > dass in deren RPM-Pakete nicht zusätzlich hinzugemogelte Programme
> > > mitenthalten sind, die beim installieren mitinstalliert werden?
> >
> > <http://www.linuxiso.org/viewdoc.php/verifyiso.html>
>
> Jetzt mußt du als Chef deiner Hosenträgermanufaktur nur noch so einen Admin
> finden, der das macht, oder ihm nachweisen, dass er das nicht gemacht hat.
>
> Auf diese Weise wird die Verantwortung ja nur auf den Anwender abgeschoben.
> Gibts bei SUN oder Microsoft nicht.
bei SUN wäre ich bereit es fats noch zu glauben, bei MS$ defintiv nicht.
So und nun troll dich, denn dein Gelabbere ist hier OT, den es hat
nichts mit Linux zu tun
ciao Peter
--
WWW : http://www.marbaise.de/ Uptime: 42 Days 7 Hours
GnuPG Key fingerprint = DEDD 790E 7E37 427D BE3D ADA2 E769 797E 5AE8 18EE
Sam Baum
Franz Hornung schrieb:
> wenn ich mir von einer (angeblichen) MIRROR-Seite den aktuellen Kernel
> ziehe, natürlich im Quellcode, wie kann ich sicher sein, dass in diesem
> Quellcode nicht zusätzlicher Code hinzugemogelt wurde?
Wie oft ist das denn schon vorgekommen? Ich habe erst ein oder zwei mal
davon gehört, dass ein FTP-Server mit einer Sicherheitslücke dazu
ausgenutzt wurde um bösartigen Code in das dort angebotene Projekt
einzufügen. Der Grund, dafür, dass es gerade bei grossen Projekten wohl
kaum vorkommen wird und du als sicherheitsbewusster Anwender kaum davon
betroffen sein wirst, weil du eben erst nach einigen Tagen des Erscheinens
einer neuen Version von $SOFTWARE diese herunterlädst und installierst,
ist, dass die QA zwar keine eigene Abteilung ist, aber einfach durch die
unzähligen Anwender eine QA implizit gegeben ist. Gerade jetzt wo der
kommerzielle Erfolg vieler Firmen mit hauseigenen Programmierern an der
(Weiter-)Existenz von OSS hängt, ist die QA doch um Meilen besser, als die
von MS ect je sein könnte.
> Dagegen kann ich bei z.B. bei Marken-Software (Microsoft, Sun, etc.) zu
> fast 100% sicher sein, dass bei der Übersetzung kein Trittbrettfahrer
> dabei ist, der mir einen Trojaner hinzuschmuggelt. Microsoft kann an Image
> verlieren, aber wer verliert an Ansehen bei OpenSource-Programmen? Die
> Programmierer?
Nur unzählige Firmen weltweit, die mit dem Customizing von OSS ihr täglich
Brot verdienen und deren Identifikationsgrad mit "ihrer" Software doch auch
oft ohne Corporate Identity imho höher anzusiedeln ist, als die eines
Firmensklaven.
Ausserdem gewinnt ein Programmierer von guten OSS Software einen
hervoragenden Ruf und eine Präsenz in der Branche die für kommerzielle
Tätigkeiten nur von Vorteil sind. OSS bringt einfach viel zu vielen Leuten
mit gegensätzlichen Interessen (-> Gegenkontrolle) zu viel Nutzen um nicht
zu funktionieren.
Den Vergleich, den du anzustreben versuchst ist zu plakativ um weiter darauf
einzugehen. Ausserdem zeugt er eben gerade von deinem Unverständniss von
OSS und die Unkenntniss über die Branchen die sich darum entwickelt haben.
Die Verantwortung übernimmt ganz genau wie du es darstellst, der Anwender.
Eigentlich stellt der Code, den du dir herunterlädst nichts weiter als eine
Grundlage für dich dar, daraus ein lauffähiges Programm zu entwickeln.
Über die Menge an peinlichen Sicherheitslücken bei MS nie an die
Öffentlichkeit geraten kann man ja auch nur spekulieren, aber einfach davon
auszugehen, dass bei grossen Firmen alles perfekt läuft ist ja auch naiv.
Gruss
Sam
Lasse Kliemann
> "Franz Hornung" <muell...@yahoo.de> writes:
>
> > wenn ich mir von einer (angeblichen) MIRROR-Seite den aktuellen Kernel
> > ziehe, natürlich im Quellcode, wie kann ich sicher sein, dass in diesem
> > Quellcode nicht zusätzlicher Code hinzugemogelt wurde?
>
> herunterlädst ...
Ein Virenscanner?
scnr
Wolfgang Kaufmann
Hallo,
> *** Peter Marbaise:
>> Gegenfrage, was macht dich sicher wenn du einen Patch von Microsoft
>> herunterlädst ...
>
> Ein Virenscanner?
"Wenn's so einfach wäre..." :)
Franz Hornung
news:b5l389$bci$06$1...@news.t-online.com...
Und wer sagt dir, dass da keine Pseudonyme/Fakenamen drinstehen, oder die
Originalnamen durch Mr. Hacker verändert wurden? Bei Microsoft interessiert mich
sowas nicht. Die CD wurde bei Microsoft hergestellt, so dass ich im Normalfall
davon ausgehen kann, dass jede Datei darauf von Microsoft stammt, oder von denen
kontrolliert wurde, d.h. wenns Probleme gibt, gehe ich zu Microsoft, genauso
ists mit den MS-Patches übers Internet. Die stammen auch nicht von irgendeinem
FTP-Server, der in irgendeinem Kuhstall steht, sondern von Microsoft selbst,
noch dazu mit Sicherheitszertifikat. Das gleiche Update-Verfahren gibts übrigens
auch von RedHat. Und aus demselben Grund hole ich mir den Internet-Explorer
nicht von irgendeinem Bürgernetz-FTP-Server sondern von MS selbst
Franz Hornung
> > "Franz Hornung" <muell...@yahoo.de> writes:
> >> > Und zum dritten Mal. Was bringt Dich auf den albernen Gedanken, man
> >> > könne keine binaries patchen?
> >> Nimmst du irgendwelche Drogen? Natürlich kann man auch binaries patchen,
> >> nichts gegenteiliges habe ich behauptet. Jedoch ist direktes Quellcode-
> >> manipulieren für Informatik-Erstsemester wohl einfacher als binaries zu
> >> patchen.
>
> Ich habe schon von einer OEM-DOS-Version den Disketten-Treiber gepatched,
> und das im laufenden System. Es ist mir nicht wesentlich schwerer gefallen
> als das patchen eines Quelltextetes. Ich habe auch mal fuer einen Freund
> den Kopierschutz eines (von ihm legal erworbenen) Computerspiels weg
> gepatched (weil sein Diskettenlaufwerk nach wenigen Tagen nicht mehr mit
> der kopiergeschuetzten Diskette klarkam), und auch da hielt sich der Auf-
> wand in Grenzen (waehrend ich damals kein PC-Kopierprogramm vorliegen
> hatte, dass mir eine lauffaehige Kopie gezogen haette) ...
Da rennen wir uns offene Türen ein. Ich gehe halt meist von mir selbst aus. Ich
bin kein so toller EDV-Crack wie du. Binaries patchen traue ich mir nicht zu,
abgesehen von Outlook-Header-Infos verändern ;-) Aber ich denke halt, das was
selbst ich klitzekleiner Hobby- und Gelegenheits-"Programmierer" noch schaffe,
das schaffen genügend andere auch. Schlimm genug, wenn die meisten noch mehr
anstellen können als ich. Aber, das wirst auch du einsehen müssen, Quellcode
verändern geht schneller und einfacher als Binaries zu patchen.
Servus
Franz
Franz Hornung
> Ich sehe Du bist ein Spezialist in C.
>
> > Dagegen kann ich bei z.B. bei Marken-Software (Microsoft, Sun, etc.) zu fast
> > 100% sicher sein, dass bei der Übersetzung kein Trittbrettfahrer dabei ist,
der
> > mir einen Trojaner hinzuschmuggelt. Microsoft kann an Image verlieren, aber
wer
> > verliert an Ansehen bei OpenSource-Programmen? Die Programmierer? Die kennt
ja
> > sowieso keiner.
>
> Nein ich glaube Microsoft kann machen, was sie wollen,
> so lange es Leute wie Dich gibt.
Tolles Argument.
>
> Gib doch einmal in der Suchmaschine Deiner Wahl
> den Suchbegriff NSA_key ein.
> Aber ich denke, das wird daran nichts ändern,
> so dass wir in dieser Newsgroup weiterhin solche Artikel
> von Dir lesen werden dürfen.
Ich schick dir mal einen rpm-Paket deiner Wahl, welches die MD5-Überprüfung
erfolgreich besteht. Würdest du es installieren?
>
> Ich habe Deinen Artikel nur über die Antworten gesehen,
> weil Du schon länger Zeit mein Score File schmückst.
>
Ja klar!
Franz Hornung
> > Nett, aber was machst du, wenn du keinen Internetzugang hast?
>
> Dann demonstrier mir mal, wie du ohne Internet-Zugang an trojanerverseuchte
> Sourcen von einer kompromittierten Mirror Site rankommen willst :-)
Das habe ich schon. In der Zeit, wo du dieses Posting geschrieben hast, hättest
du diese Demonstration auch in diesem Thread finden können. Aber extra für dich
mal ein Dialog zwischen A und B:
A: [ruft bei B an. *tüt* *tüt*]
B: bei B. Hallo?
A: Hallo B. Kannst du mir mal das aktuelle openoffice-update ziehen und brennen?
B: Na klar A. Ich brings dir heut abend vorbei. Du und dein Linux *Hehe* warum
hast den Internetzugang noch immer nicht hinbekommen?
A: Blödmann! Was kann ich dafür, wenn mein beschissenes Linux mein eingebautes
WinModem nicht erkennt und damit nicht arbeiten kann? Ausserdem brauch ich kein
Internet, ich brauch nur was ordentliches zum schreiben.
B: *hehe* Na dann bis heut abend.
[später, so gegen 19:00Uhr]
[*klingel*]
A: Hallo B. Hast die CD dabei?
B: Klar, habs mir vom Bürgernetz-Server geladen, da gings am schnellsten.
A: OK, schmeiss sie rein, du weiß ja wie es geht.
B: Klar.
[5 Minuten später]
B: Hast du die Linux-CDs da? Und das letzte Backup-Band wäre auch nicht schlecht
...
Ciao
Franz
> --
> BEWEIS DURCH KONFUSE LEHRKÖRPER: "Der Professor sagt A, schreibt B,
> meint dabei C, rechnet weiter mit D, bekommt E heraus, aber F wäre
> richtig gewesen"
Nach der Ansicht sind die meisten Antwortposter hier Professoren *ROTFL* :-)
René Möhring
"Franz Hornung" <muell...@yahoo.de> wrote:
> Auto != Computer
Bei soviel Elektronik und Rechenkram in neueren Autos wär ich mir da
nicht so sicher.
Franz Hornung
> > Naja mein Lieber Juergen. Wie man das halt macht. Der gelbe
> > Weihnachtsmann hat mir von SuSE die CD gebracht, aber die Updates
> > besorgt mir mein Kumpel auf CD, der hat DSL.
>
> Und warum weisst du den nicht an, neben den Updates (evt. auch von
> einem Mirror) auch die Pruefsummen (vom Original-Server, nicht von
> einem Mirror) zu ziehen?
Woher soll ein Linux-Newbie das wissen? Linux ist ja angeblich sooooo
benutzerfreundlich. Und so schnell. Und sooo stabil. Und billig. Und ...
Im Ernst. Von dem Sinn und Zweck der Prüfsummen habe ich erst hier erfahren.
Warum sagen das die Leute denen nicht, wenn sie jemanden von Linux überzeugen
wollen?
>
> >> Richtig, da stellt man ueberhaupt nicht die Frage, wer wofuer die
> >> Verantwortung hat ... Und weil natuerlich der Hersteller alle Verantwortung
> >> fuer evt. Fehler uebernimmt, gibt es ja auch solche Klauseln in den
diversen
> >> "EULAs", dass Schaeden nur bis zu einer Hoechstsumme die maximal dem Kauf-
> >> preis der Software oder 500,- EURO (was immer weniger ist) entspricht,
> >> gedeckt sind ...
> > Naja, zumindest in Deutschland sind solche Klauseln null und nichtig.
> > Informier dich mal bei Frau Künast.
>
> ... und wer hat bisher mit einer Klage gegen z.B. Microsoft oder andere
> amerikanische Hersteller Erfolg gehabt und mehr als den Kaufpreis der
> Software an Schadenersatz herausbekommen? Ein einziges Beispiel wuerde
> mir schon genuegen (und wenn du keins findest, solltest du dir die Frage
> stellen, warum nicht ...).
Weils bisher noch keinen Grund zu einer Klage gegeben hat?
>
> > P.S: Ist dein Killfile korrupt, oder warum hatte ich die Ehre, von dir
> > eine Antwort erhalten zu haben ;-)
>
> Da du darum bittest: Soll nicht wieder vorkommen ... *PLONK*
Tipp: Verlagere dein Killfile von /tmp woandershin. Und entferne die Zeile mit
"rm -f $KILLFILE" aus der /etc/crontab
Servus
Franz
Franz Hornung
>
>
> > Was zum Beispiel? Die wollen was verkaufen, und wenn jemand
> > dahinterkommt, dass die was böswilliges hinzugeschmuggelt haben, kaufts
> > denen niemand mehr ab und MS erleidet wohl einen Image-Verlust, dem
> > nicht mehr nur fahrlässige Bugs zugrunde liegen, sondern vorsätzlicher
> > schadenerzeugender Code. Die nachfolgenden Schadenersatzforderungen
> > kämen sie wohl teuer zu stehen.
>
> *rotfl*
> Glaubst du etwa der MS-Propaganda? Bist du wirklich so naiv?
Welcher Propaganda kann man schon glauben? Weder der von MS noch der von Linux
noch irgend einer anderen
Franz Hornung
> Es ist richtig, daß jeder eine Prüfsumme selber generieren kann. Man kann die
> Situation aber schon etwas entschärfen, indem man sich von einem Mirror das
> eigentliche File zieht und von fünf anderen nur die Prüfsumme. Die müssten
> dann alle kompromittiert worden sein, damit dir nichts auffällt.
>
> > Nichtsdestotrotz gibts das bei tar.gz nicht.
>
> Das hat mit .tar.gz vs. .rpm nichts zu tun. Prüfsummen kann man von jeder
> Datei erstellen. Besser ist es jedoch, mit Kryptographie zu arbeiten. Eine
> solche digitale Signatur ist _sehr_ schwierig zu fälschen. Leider findet
> diese Methode bislang eher nur vereinzelt Anwendung. Sehrwohl aber beim
> Linux Kernel.
OK, also das mit den Prüfsummen und der Kryptographie hat mich dann doch
überzeugt. Ich kannte das vorher nicht. Das muß aber dem Endanwender auch gesagt
werden.
Ich habe hier gerade meine persönliche Linux-Bibel in der Hand:
"Linux - Installation, Konfiguration, Anwendung" von Kofler (Addison-Wesley)
"MD5SUM" ist daran gar nicht enthalten. "Prüfsumme" findet sich nur in der
Kommando-Referenz kurz erläutert. Aber in keinstem Zusammenhang mit
Installations- oder Update-Paketen, oder überhaupt mit dieser Problematik. Woher
soll also ein Anwender sowas wissen, wenn es ihm nicht in Zusammenhang mit
Installation, Update, etc. untergejubelt wird?
> > Was zum Beispiel? Die wollen was verkaufen, und wenn jemand dahinterkommt,
> > dass die was böswilliges hinzugeschmuggelt haben, kaufts denen niemand mehr
> > ab
>
> Darauf würde ich mich nicht verlassen. Denen wird schon seit Jahren alles
> abgekauft. Word zum Beispiel. Erzähl' mir nicht, daß das weniger schlimm sei,
> als ein Trojaner, der deine Festplatte formatiert.
Ich kenn Word. Auch in dem Zusammenhang, dass gelöschter Text nur aus dem
sichtbaren Teil des Word-Files gelöscht wird, aber mit einem normalen Texteditor
jederzeit wieder ausgelesen werden kann. Ein Linuxer mag darin Absicht und
Vorsatz sehen, ich sehe es als Bug, den es in der StarOffice-Version 3 oder 4 in
ähnlicher Weise im STarCalc-Teil gab.
___________
Also: Ich weiß jetzt, wie ich unbehelligt OpenSource verwenden kann. Nur finde
ich es schade, dass man nicht von anfang an auf diesen Umstand hingewiesen wird.
Und wenn einem dann solche Zweifel an OpenSource kommen und diese in einem
Linux-Forum klären will, wird man von einigen als Troll abgespeist und kriegt
pampige Antworten. Ist mir aber letztendlich wurscht, zumal es doch auch normale
Leute gab, von denen ich ja was dazugelernt habe. Und mit den anderen hatte ich
ja auch meinen Spaß :-)
Servus
Franz
Lars Marowsky-Bree
<muell...@yahoo.de> wrote:
> Ich schick dir mal einen rpm-Paket deiner Wahl, welches die MD5-Überprüfung
> erfolgreich besteht. Würdest du es installieren?
Natuerlich nicht.
a) Kann man RPM Packages auch ohne Installation angucken;
b) ist MD5 nur die einfachste Prüfung gegen Fehler bei der Datenübertragung;
es gibt eben aus diesem Grund im RPM Package Format auch noch eine
kryptographische Signatur.
Was willst Du eigentlich erreichen? Zeigen, das auch Linux Schwachstellen hat?
Das ist doch allgemein bekannt, niemand behauptet, das keine
Angriffsmöglichkeiten existieren. Der wichtige Unterschied zu Microsoft (etc)
ist, das Du _die Möglichkeit_ hast, nachzuschauen, wenn Du Dich genug darum
bemühst, was der Code macht, zusätzlich steht noch das Vertrauen und 'der
Stolz' der Entwickler direkt auf dem Spiel; unterschätze diesen Faktor nicht,
er schlägt sich nicht nur in Flame-Tiraden in den newsgroups nieder, sondern
ein gewisser Teil der Energie geht auch wirklich in die Projekte ;-) Und Open
Source hat auch keine PR-Maschine um Pannen auszubuegeln; ein erfolgreiches
Projekt kann sich einfach nicht zuviele Pannen leisten, sonst gibt es
sicherlich das naechste. _Zusätzlich_ kann der Endanwender dann noch einen
"vertrauenswürdigen" Distributor aussuchen, in dessen Security Team etc er am
meisten Vertrauen hat.
Bei MS ist der Durchschnittsanwender _ausschliesslich_ auf das Vertrauen zu MS
angewiesen.
Robin S. Socha
> "Juergen Ilse" wrote:
Es gibt Tage, da wird einem beim News-Lesen schon am frühen Morgen
speiübel. Nicht, weil das Niveau hier so schlecht wäre, denn dafür
lieben wir dcoulm ja: Idioten fragen, Profis antworten.
Nein, es geht um etwas Anderes, Größeres. Es geht um menschliche
Schicksale. Nehmen wir als Beispiel Franz Hornung. Franz ist nach
eigenem Bekunden "kein so toller EDV-Crack", womit sich die Frage
stellt, was er in einer technischen Newsgroup macht, da ihm zudem
offensichtlich selbst minimale Kenntnisse von Linux fehlen.
Die Antwort ist einfach und erschreckend. Franz Hornung hat perverse
Neigungen. Anders als seine Vorgänger in dieser NG handelt es sich
jedoch nicht um sexuelle Devianzen (Boekemeier und das ovis aries, die
#usenet-friends Regulars und die 16jährige, rasierte "Steffi" usw.)
sondern um intellektuelle: Franz Hornung hat es sich zum Ziel gesetzt,
als GRÖßter Gruppenidiot Aller Zeiten (GRÖGAZ) in die Geschichte dieser
GABELN einzugehen.
Ein Unterfangen von titanischen Ausmaßen, haben wir doch schon Bloeki,
Kopacz, Desloovere, Dr. Enezian et al. überlebt. Aber Franz Hornung gibt
nicht auf. Und er macht scheinbar alles richtig...
>> > Naja mein Lieber Juergen.
1. Grammatik 6. Aber dafür Jargon aus den Untiefen der
Kaninchenzüchtervereinsjahreshauptversammlung in einer
mitteldeutschen Provinzstadt.
>> > Wie man das halt macht.
2. Solidarisierung mit den enthirnrindeten Massen. 10 Punkte in der
C-Note (Appell an das kollektive Minderwertigkeitsbewußtsein).
>> > Der gelbe Weihnachtsmann hat mir von SuSE die CD gebracht, aber die
>> > Updates besorgt mir mein Kumpel auf CD, der hat DSL.
3. Ableiten abstruser Verschörungstheorien aus einer falschen
Grundannahme. Wir erinnern uns: Ursprünglich hatte Franz noch
behauptet, "Linux" sei nicht verifizierbar, was ihm in der ersten
Threadebene um die Ohren gehauen wurde (GPG-signierte MD5-Summen
etc.). Dann zog er sich auf die erste Rückfallposition zurück: Wer
kein Internet hat, hat auch keine MD5-Prüfsummen. Stimmt das?
Natürlich nicht. Es ist sogar blühender Schwachsinn. Oder besser
gesagt: Es /wäre/ blühender Schwachsinn, wenn es Franz Hornung darum
ginge, etwas zu beweisen. Aber er will sich ja lediglich zum Idioten
machen. Und zu diesem Zwecke ist eine solche Behauptung dann wiederum
perfekt geeignet.
>> Und warum weisst du den nicht an, neben den Updates (evt. auch von
>> einem Mirror) auch die Pruefsummen (vom Original-Server, nicht von
>> einem Mirror) zu ziehen?
>
> Woher soll ein Linux-Newbie das wissen?
4. Konstruierter Linux-Newbie, der über dieselben oder - falls möglich
- geringere Kapazitäten verfügt als man selbst. Die Idee ist deshalb
so frappierend einfach und erfolgreich, weil Männer umso weniger
bereit sind, intellektuelle Überlegenheit anzuerkennen, je dümmer
sie selbst sind. Franz Hornung bringt also mit einem Schlag sämtlich
Outlook-Express-Luser und SuSE-Käufer hinter sich.
> Linux ist ja angeblich sooooo benutzerfreundlich. Und so schnell. Und
> sooo stabil. Und billig. Und ...
5. Verbreitung frisch erlernten Fachwissens. Weil Franz Hornung nicht
nur in der Computer BILD sondern auch in zwei Webforen Beiträge
gelesen hat, in denen stand, daß Linux krass geil ist, glaubt er,
hier - in einer technischen Newsgroup - könne er mit dieser These
provozieren. Das gibt Abzüge, Herr Hornung. Linux *ist*
benutzerfreundlich. Aber es haßt Idioten. Schnell, stabil und
billig... Naja. Wenn man die Arbeitszeit berechnet, die ein Franz
Hornung zur Installation brauchen würde (was sind eigentlich die
zugrundeliegenden Lohnnebenkosten eines ungelernten Hilfsarbeiters?),
dürften die Kosten die des Zweiten Weltkriegs überschreiten.
> Im Ernst.
6. Wenn Franz Hornung jetzt Ernst macht - war dann vorher alles Spaß?
Und wenn ja, warum war es dann nicht lustig? Genau! Es diente nur
einem Zweck: Den Fall umso tiefer und schmerzhafter zu machen.
> Von dem Sinn und Zweck der Prüfsummen habe ich erst hier erfahren.
> Warum sagen das die Leute denen nicht, wenn sie jemanden von Linux
> überzeugen wollen?
7. Onkel Robins eiserne Regeln, #42: Unterstelle dem Profi das
Lächerliche und Du wirst wie ein mit Katzenscheiße überschütterter
Schwachkopf dastehen. In diesem Sinne: Wer wollte hier doch gleich
jemanden überzeugen? Niemand. Franz maskiert vergeblich seine
Dummheit als
>> >> Klauseln in den
> diversen
>> >> "EULAs", dass Schaeden nur bis zu einer Hoechstsumme die maximal
8. Erneut: Solidarität sicher. Klar, Franz Hornung verwendet Outlook
Express. Aber durch den Beweis der Tatsache, daß er damit nicht
umgehen kann, sind ihm die Herzen und die jeweils eine Hirnzelle der
anderen OE-Luser hier sicher.
Was lernen wir daraus? Nichts, wie immer. Außer, daß Franz Hornung
nicht weiß, was Logik ist; er an Argumentation schon deshalb nicht
interessiert ist, weil er keine Argumente hat; und jede Diskussion mit
einem Idioten sinnlos ist, weil er Dich auf sein Niveau herabzieht und
durch Erfahrung schlägt.
Wie gesagt: Zum Kotzen. Und das am Morgen...
Franz Hornung
OK, 100% convinced. Nur sollte man darüber (MD5, krypt Sig) auch bereits als
Einsteiger informiert werden, so dass eine solche Überprüfung beim Anwender
genauso selbstverständlich wird, wie der Download selbst.
Servus
Franz
Robin S. Socha
[...]
> OK, 100% convinced. Nur sollte man darüber (MD5, krypt Sig) auch bereits
> als Einsteiger informiert werden, so dass eine solche Überprüfung beim
> Anwender genauso selbstverständlich wird, wie der Download selbst.
Du bist Mitteldeutscher, oder? Hier ist Linux. Wir schreiben
"Solidarität" "Subsidiarität" - der Rest ist Mitleid. Und jetzt sieh
endlich zu, daß Du Land gewinnst, Franz, denn hier ist News, aber daß
Outlook-User nichts Neues zu sagen haben, ist nicht neu.
[fup2 de.alt.gruppenkasper]
Hauke Joachim Zuehl
Franz Hornung tipperte:
>
> Welcher Propaganda kann man schon glauben? Weder der von MS noch der von
> Linux noch irgend einer anderen
Ack :)
Was Propaganda bedeutet, sieht man ja in den letzten Tagen in
erschreckender Realitaet :(
Nur...welche Linux-Propaganda meinst du?
Vielleicht der Irrglaube, Linux sei absolut sicher? Nein, dies ist - wie
schon oft hier zugestanden wurde - de facto nicht der Fall. Gruende
brauche ich nicht anzufuehren. Dass aber absolute Sicherheit bei der
"Konkurrenz" nicht gegeben ist, zeigt u.a.
http://www.heise.de/newsticker/data/kav-22.03.03-001/ wieder einmal.
Sollte mir das zu denken geben?
Gut, es gibt immer wieder kompromittierte Pakete, aber - mal ehrlich -
was waere das Leben ohne Risiko :)? Steige ich morgens in mein Auto ein,
pruefe ich ja auch nicht, ob irgendein Idiot die Bremsleitungen
durchgeschnitten hat (na ja, ich habe Glueck und koennte rechtzeitig in
einen Acker fahren, bevor ich auf eine Bundesstrasse abbiege).
Irgendwo wurde mal angemerkt in diesem Thread, dass man gewissen Quellen
vertrauen kann.
Nun, einem sehr guten Freund (und Linux Newbie) habe ich einmal mit einem
simplen Shell-Skript klargemacht, dass auch dieses Vertrauen nicht 100%
sein kann. Ergebnis war ein deaktivierter Root-Account.
Warum ich das gemacht habe? Weil der Kerl neu im Netz und neu bei Linux
ist und ich ihn schlichtweg sensibilisieren wollte, nicht einfach blind
auf alles draufzuklicken, was ihm geliefert wird.
Btw:
Der Windows-Shareware-Szene vertraue ich noch weniger, als OpenSource
Programmen :)
In diesem Sinne mal einen Tag mit _etwas_ weniger Propaganda :)
Kim Huebel
> Die stammen auch nicht von irgendeinem
> FTP-Server, der in irgendeinem Kuhstall steht, sondern von Microsoft selbst,
> noch dazu mit Sicherheitszertifikat.
Naja, Herr Hornung, würden sie sich erstmal schlaumachen über
Angriffsverfahren im Internet und die Funktionsweise von Zertifikaten?
> Das gleiche Update-Verfahren gibts übrigens
> auch von RedHat.
Und ist deswegen also auch sicherer, als sich seine Updates per FTP von
einem Redhat-Mirror zu saugen? Na dann.
> Und aus demselben Grund hole ich mir den Internet-Explorer
> nicht von irgendeinem Bürgernetz-FTP-Server sondern von MS selbst.
Stell dir vor, ich auch, aber weils halt im Windows-Update angeboten
wird und es halt bequem ist. Andersrum, man kann sich die Updates bei
Microsoft auch auf CD bestellen.
regards, Kim
--
Dear Mr. George W. Bush: STOP WAR - START THINKING!!!
--------------------------------------------------------------------
Realnamen in der From:-Zeile sowie gültige Emailadressen erhöhen die
Chance gelesen zu werden und sinnvolle Antworten zu erhalten!
Franz Hornung
news:iloverobin.8...@news.socha.net...
[censored]
Hat dir deine Mami heute früh deinen Kaba nicht gemacht?
Theodor Rash
Jeder Virenscanner, der diesen Namen verdient, müsste den Patch sofort
löschen.
Theo
Franz Hornung
news:iloverobin.8...@news.socha.net...
> * Franz Hornung <muell...@yahoo.de> writes:
>
> [...]
> > OK, 100% convinced. Nur sollte man darüber (MD5, krypt Sig) auch bereits
> > als Einsteiger informiert werden, so dass eine solche Überprüfung beim
> > Anwender genauso selbstverständlich wird, wie der Download selbst.
>
> Du bist Mitteldeutscher, oder?
Du hast vorhin hier die User in Idioten und Profis unterteilt. Siehst du dich
hier deshalb als Profi, weil du herausfinden kannst, wo die User zu Hause sind?
Ansonsten ist ja von dir hier nicht viel an Info gekommen, ausser das jetzt
jeder weiß, dass du Diabetiker bist.
Michael Raab
Führst Du Selbstgespräche? Viele Leute hier, die weitaus mehr Ahnung
haben wie Du und ich, haben Dir versucht zu erklären, das OpenSource
vertrauenwürdiger ist als der Dreck von Microsoft. Und Material, das man
sich von einem Mirror zieht, muss in jedem Fall überprüft werden.
Also gehe am besten wieder unter Deinen M$-Stein, unter dem Du
hervorgekrochen kamst. Und trolle woanders weiter.
end
Bye Michael
[fup2 dag°]
--
Man verliert keine Bücher durch Verleihen -- außer denen, die man
besonders gerne behalten hätte. -- Murphy's Law
_______________________________________________________________________
Gegen TCPA! http://www.againsttcpa.com/what-is-tcpa.html
Lasse Kliemann
> OK, also das mit den Prüfsummen und der Kryptographie hat mich dann doch
> überzeugt. Ich kannte das vorher nicht. Das muß aber dem Endanwender auch
> gesagt werden.
>
> Ich habe hier gerade meine persönliche Linux-Bibel in der Hand:
>
> "Linux - Installation, Konfiguration, Anwendung" von Kofler
> (Addison-Wesley)
>
> "MD5SUM" ist daran gar nicht enthalten. "Prüfsumme" findet sich nur in der
> Kommando-Referenz kurz erläutert. Aber in keinstem Zusammenhang mit
> Installations- oder Update-Paketen, oder überhaupt mit dieser Problematik.
> Woher soll also ein Anwender sowas wissen, wenn es ihm nicht in
> Zusammenhang mit Installation, Update, etc. untergejubelt wird?
Ich bin auch der Ansicht, daß auf die Wichtigkeit und Notwendigkeit von
digitalen Signaturen an heruntergeladener Software mehr aufmerksam gemacht
werden sollte.
Wenn du aber zum Beispiel SuSE hast, und auf deren Security Liste mitliest,
wird dir bei jedem vorgeschlagenen Update nahegelegt, die Signaturen vor dem
Einspielen zu überprüfen. Das geht mit rpm auch sehr einfach. Das Gute bei
SuSE ist zudem, daß sich der öffentliche Schlüssel auf den CDs befindet, also
auf alle Fälle der richtige ist. Bei Schlüsseln, die man sich von den
Keyservern holt, muß man ja sonst immer noch den Fingerprint überprüfen, was
so richtig nur über gedruckte Medien oder eben persönlich funktioniert. Oder
aber man hat einen so guten Keyring, daß sich dort ein Pfad von dem
benötigten Schlüssel zu einem vertrauenswürdigen und garantiert Echten
befindet. Ein Startpunkt ist der Zertifizierungsschlüssel von Heise, dessen
Fingerprint sich in jeder c't gedruckt findet. Irgendwo wird IIRC auch ein
Buch verlegt, welches die Fingerprints etlicher wichtiger Schlüssel enthält.
> Ich kenn Word. Auch in dem Zusammenhang, dass gelöschter Text nur aus dem
> sichtbaren Teil des Word-Files gelöscht wird, aber mit einem normalen
> Texteditor jederzeit wieder ausgelesen werden kann. Ein Linuxer mag darin
> Absicht und Vorsatz sehen, ich sehe es als Bug, den es in der
> StarOffice-Version 3 oder 4 in ähnlicher Weise im STarCalc-Teil gab.
Wer will überhaupt freiwillig Office-Pakete benutzen?
Rainer Weikusat
> Aber, das wirst auch du einsehen müssen, Quellcode
> verändern geht schneller und einfacher als Binaries zu patchen.
Das wird niemand einsehen, denn es ist falsch.
Albert Mueller
> Nur sollte man darüber (MD5, krypt Sig) auch bereits als
> Einsteiger informiert werden, so dass eine solche Überprüfung beim Anwender
> genauso selbstverständlich wird, wie der Download selbst.
Lesen bildet ;)
Nicht mühsam auf Google recherchierten Kram, sondern einfach das Handbuch
Deiner Distribution:
| You should take care of what programs you install on your computer.
| MandrakeSoft provides MD5 checksums and PGP signatures on its RPM files
| so you can verify you are installing the real thing. You should never
| run any unfamiliar binary, for which you don’t have the source, as root!
Sofern man das distributionseigene Frontend zur Installation benutzt,
findet die Überprüfung der Signatur automatisch statt. Ich könnte
mir vorstellen, daß auch andere Distributoren, entsprechende Hinweise in
Ihren Handbüchern bereithalten.
Albert
Peter Maria Stirnberg
Franz Hornung wrote:
> Ich habe hier gerade meine persönliche Linux-Bibel in der Hand:
> "Linux - Installation, Konfiguration, Anwendung" von Kofler
> (Addison-Wesley)
der Kofler ist keine Linuxbibel sondern ein weit überschätztes Stück
totes Holz, von Loosern für Looser empfohlen und treibt einem bei
näherer Betrachtung die Tränen in die Augen; also genau das richtige
für dich. Und nun troll dich.
Gruss
Peter
Andreas Kohlbach
>
> Franz Hornung wrote:
[Das Uebliche]
> nope.. du postest über hombrenet.de, was dir gehört, da ist eine Adresse
> nachzulesen, die sich unter
> http://www.brain-thing.com/cgi-bin/searchrolinfoadresse.cgi?search_field=all
> wiederfindet, mit Mailadresse franz....@atlantisnet.de
> Der einzige Post, der im Usenet dazu zu finden ist ist zwar alt und enthält
> eine dämliche Frage ( Message-ID: <mp6$69jd...@news.atlantisnet.de>) aber
> der Schreiber kommt da auch mit X-Trace: fu-berlin.de 934179243 8728 (none)
> rein *und* unterschreibt genau wie du...
> Also wenn du das bist, dann hast *du* bestimmt kein Problem mit deinem
> Glauben ;))
Er trollt oefter auch in anderen Gruppen rum, verwendet vermutlich
"X-No-Archive: Yes", damit man seine Trolltaten nicht nachlesen kann, und
muesste eigentlich auch schon merkfrefreit sein. Sein "Hombre News" ist
ein OE, in den lediglich der X-Newsreader veraendert wurde (siehe sein
Kammquoting und einige andere OE Nettigkeiten).
> aber interessehalber: bist du's ???
Vermutlich. Und bitte das Trollfuettern einstellen.
F'up poster.
--
Andreas
Ralf Schmidt
* Franz Hornung <muell...@yahoo.de> tippte:
Warum gehst Du nicht einfach sterben?
*PLONK*
--
Linux ist benutzerfreundlich.
Doch es ist weder ignorantenfreundlich noch idiotenfreundlich.
Robert Brendel
> Ahoi,
>
> wenn ich mir von einer (angeblichen) MIRROR-Seite den aktuellen Kernel
> ziehe, natürlich im Quellcode, wie kann ich sicher sein, dass in diesem
> Quellcode nicht zusätzlicher Code hinzugemogelt wurde?
Gegen dazumogeln durch Dritte gibt es die MD5-Checksummen, die genau dies
verhindern.
> [...]
> Dagegen kann ich bei z.B. bei Marken-Software (Microsoft, Sun, etc.) zu
> fast 100% sicher sein, dass bei der Übersetzung kein Trittbrettfahrer
> dabei ist, der mir einen Trojaner hinzuschmuggelt. Microsoft kann an Image
> verlieren, aber wer verliert an Ansehen bei OpenSource-Programmen? Die
> Programmierer? Die kennt ja sowieso keiner.
Wieso kannst Du Dir bei großen Firmen sicher sein? Hast Du in den Quellcode
geschaut? Neuerdings werden immer mehr Trojaner gerade auch in
Kommerziellen Produkten entdeckt. Weisst Du zum Beispiel welche Daten an MS
geschickt werden, wenn Du ein Online-Update machst und dazu sogar gleich
noch online bestimmen lässt, welche Komponenten Du noch abzudaten hast?
Wenn Du ein Media-File im MS-Media-Player abspielt werden Daten übers Netz
geschickt, ein Teil davon mögen z.B. ID3-Tags sein, aber was hält MS davon
ab, Daten über Dein restlichen System zu sammeln und zu versenden?
Hast Du Dir schon mal Deine Word oder Excel Files in einem Editor
angeschaut? Auf der Homepage des WDR Computer Clubs wirst Du ein Beispiel
finden, wo Daten aus dem Organiserprogramm Ausschnittsweise enthalten
waren: wie kommen die darein?
Warum also sollte man bei großen Firmen sicher sein, daß sie nicht von vorne
herein "Trojaner" in Ihr Produkt einbauen. Du kannst ja noch nicht einmal
in das Produkt hineinschauen... Sniff einmal Deinen eigenen Netzwerktraffic
mit, Du wirst verwundert sein, was da an Daten so alles dabei ist.
Aus dieser Sicht sollte also zumindest die Wahrscheinlichkeit des Entdeckens
bei Opensource-Produkten wesentlich höher sein, als bei kommerzieller
Software, die nur als Binary ausgetauscht wird.
Nur mal weitergedacht :o)
Gruß
Robert Brendel
Franz Hornung
Ralf Schmidt schrieb:
> Warum gehst Du nicht einfach sterben?
Hast du nichts besseres beizutragen, als deine sozialen Handicaps zu
präsentieren?
> *PLONK*
Dein Killfile ist wohl auch nur temporär. Änder das mal.
Franz Hornung
>
> Er trollt oefter auch in anderen Gruppen rum, verwendet vermutlich
> "X-No-Archive: Yes", damit man seine Trolltaten nicht nachlesen kann, und
> muesste eigentlich auch schon merkfrefreit sein. Sein "Hombre News" ist
> ein OE, in den lediglich der X-Newsreader veraendert wurde (siehe sein
> Kammquoting und einige andere OE Nettigkeiten).
>
>> aber interessehalber: bist du's ???
>
> Vermutlich. Und bitte das Trollfuettern einstellen.
Nimmst du irgendwelche Drogen, oder leidest du an Verfolgungswahn?
Kaderli Manuel
[nichts]
plonk
Franz Hornung
> [nichts]
>
> plonk
Du mußt nicht ein Posting schreiben, um einen Killfile-Eintrag hinzuzufügen. Du
mußt das mit einem Texteditor machen. Der plonk-Befehl macht da gar nix.
Eugen Ernst
> Wieso kannst Du Dir bei großen Firmen sicher sein? Hast Du
> in den Quellcode geschaut?
Es ist wesentlcih einfacher sich den tatsächlichen Netzwerkverkehr
anzuschauen, als sich durch Millionen von Codezeilen zu wühlen.
Derartigen Käse kann nur jemand schreiben, der vom Softwareentwickeln
schon mal gar keine Ahnung hat und glaubt, er wäre in irgendeinerweise
kompetent, weil das Autosetup von Suse allein durchgelaufen ist.
Deinen restlichen Unfug habe ich gar nicht erst gelesen.
mfg
Eugen
Rainer Weikusat
> Robert Brendel schrieb:
>
> > Wieso kannst Du Dir bei großen Firmen sicher sein? Hast Du
> > in den Quellcode geschaut?
>
> anzuschauen, als sich durch Millionen von Codezeilen zu wühlen.
> Derartigen Käse kann nur jemand schreiben,
der noch nie ein Netz mit mehr als drei Rechnern in Betrieb gesehen
hat.
[rw@winter]:~/work/mpeg2 $netstat -ni
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500 0131590107 0 0 0 3876993 1 0 0 BMRU
Pro Tag mußt Du den Sinn von ca 8*10^6 ethernet frames in Echtzeit
verstehen, dh ca jede hunderstel Sekunde einen. Das ist nicht
kompliziert sondern unmöglich. source code audits sind möglich.
Robert Brendel
> anzuschauen, als sich durch Millionen von Codezeilen zu wühlen.
> Derartigen Käse kann nur jemand schreiben, der vom Softwareentwickeln
> schon mal gar keine Ahnung hat und glaubt, er wäre in irgendeinerweise
> kompetent, weil das Autosetup von Suse allein durchgelaufen ist.
Die Frage ist auch nur rethorisch! vielleicht sollte ich ein <IRONIE>
</IRONIE> vor und nach meinem Beitrag ergänzen. Was ich ausdrücken wollte
war, daß man sich bei kommerzieller Software genauso sicher oder unsicher
sein muss wie bei freier (um nicht OpenSource entgegenzusetzen).
Das es _nahezu_ völlig unmöglich ist Quellcode nach Lücken zu druchforsten,
gerade bei größeren Projekten, ist wohl klar und bedarf keiner weiteren
Diskussion.
> Deinen restlichen Unfug habe ich gar nicht erst gelesen.
Hättest Du's getan, wär Dir aufgefallen, daß ich das Auslesen des
Netzwerktraffics als bessere Maßnahme klar dargestellt habe.
mfg
Robert
Rainer Weikusat
> Das es _nahezu_ völlig unmöglich ist Quellcode nach Lücken zu druchforsten,
> gerade bei größeren Projekten, ist wohl klar und bedarf keiner weiteren
> Diskussion.
Es ist falsch. Zeitraubend ist nicht dasselbe wie unmöglich.
Robert Brendel
auch dass es gemacht wird, und dass es Toolunterstützt mitlererweile ganz
gut funktioniert, auch wenns tierisch zeitraubend ist.
Robert