staging.inyokaproject.org

novecento schrieb:

Keine Ahnung wie das bei Mint ist, aber bei Ubuntu ist die MD5SUM digitial signiert. Hilft natürlich nichts, wenn der Keyserver auch gekapert wurde, ist aber eine zusätzliche Hürde und wenn man den Publickey schon vor längerem Runtergeladen hat, ist es auch sehr wahrscheinlich, dass er ok ist.

Ubuntu hat auch einen ganzen Stall an unterschiedlichen Servern und Admins die sich darum kümmern. Das ist eben auch mein Kritikpunkt an Mint, dass da eben das hinter-den-Kulissen nicht zu dem gehypten Bild vorne passt.

novecento schrieb:

Keine Ahnung wie das bei Mint ist, aber bei Ubuntu ist die MD5SUM digitial signiert. Hilft natürlich nichts, wenn der Keyserver auch gekapert wurde, ist aber eine zusätzliche Hürde und wenn man den Publickey schon vor längerem Runtergeladen hat, ist es auch sehr wahrscheinlich, dass er ok ist.

Lädst du dir Wochen vor der eigentlichen ISO-Datei den Public-Key dazu herunter? Vor allem, welchem Key willst du vertrauen:

gpg: Suche nach »Clement Lefebvre« auf hkp-Server pgp.mit.edu
(1)	Clement Lefebvre <root@linuxmint.com>
	  2048 bit RSA key 313407C9, erzeugt: 2014-11-05
(2)	Launchpad PPA for Clement Lefebvre
	  1024 bit RSA key 05F55EC4, erzeugt: 2012-07-29
(3)	Clement Lefebvre <root@linuxmint.com>
	  2048 bit RSA key 310374B0, erzeugt: 2012-02-20
(4)	Clement Lefebvre (Linux Mint Package Repository v1) <root@linuxmint.co
	  1024 bit DSA key 0FF405B2, erzeugt: 2009-04-29
(5)	Clement Lefebvre <root@linuxmint.com>
	  1024 bit DSA key 7EC773EA, erzeugt: 2009-01-28
(6)	Clement Lefebvre <root@linuxmint.com>
	  1024 bit DSA key A6B58FA8, erzeugt: 2007-10-11

Du müsstest bei jedem Key überprüfen ob diesem zu vertrauen ist. Man kann bei der Erstellung eines Keys jeden beliebigen Namen und jede beliebige E-Mail-Adresse angeben und damit Dateien signieren. Bei einem GAU wie es LinuxMint passiert ist, würde ich auch nicht mehr darauf vertrauen ob die signierten MD5-Dateien auch mit einem echten Key signiert wurden. Vor allem weil alle sechs Schlüssel in der Liste alle noch gültig sind. Zwei davon betreffen zwar Launchpad und das LinuxMint-Repository. Welchem der vier anderen würdest du also vertrauen, wenn eine ISO-Datei mit einem davon signiert wurden?

glasenisback schrieb:

Lädst du dir Wochen vor der eigentlichen ISO-Datei den Public-Key dazu herunter?

Nein, aber für Ubuntu hätte ich ihn zum Beispiel schon da ich mir regelmäßig Images runterlade. Ich hole den Key nicht jedesmal neu.

glasenisback schrieb:

Du müsstest bei jedem Key überprüfen ob diesem zu vertrauen ist.

Eigentlich müsste ich nur den Key überprüfen, mit dem der Hash signiert wurde. Welcher das ist, sagt mit gpg.

Aber du hast natürlich recht. Wenn das ISO kompromittiert ist, sollte man dem Rest erstmal auch nicht vertrauen.

novecento schrieb:

glasenisback schrieb:

Lädst du dir Wochen vor der eigentlichen ISO-Datei den Public-Key dazu herunter?

Nein, aber für Ubuntu hätte ich ihn zum Beispiel schon da ich mir regelmäßig Images runterlade. Ich hole den Key nicht jedesmal neu.

Du schon, aber jemand der gerade auf LinuxMint umsteigt wohl kaum.

Für einige einen Debianer scheint die ganze Chose eine mögliche Folge der grundsätzlichen Einstellung der LM-Führung zu sein, wie hier auch angeführt wurde: https://lwn.net/Articles/676664/.

Angeblich (!) hat sich die Cracker höchstselbst auch gemeldet: http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/:

The hacker then used their access to the site to change the legitimate checksum – used to verify the integrity of a file – on the download page with the checksum of the backdoored version.

http://blog.linuxmint.com/?p=2994#comment-125117

Edit by Clem: No plugins, latest WP, but a custom theme and lax file permissions for a few hours. The security experts will probably find the exact cause. At the moment there’s no indication it’s related to WP core (we’d probably see a lot more sites being hacked right now, this seems to be targeted specifically at us).

Das ist irgendwie bezeichnend für den gesamten Status von Mint.

Eigentlich wären sie als Ubuntu-Flavour besser aufgehoben, wenn sie sich nur noch um ihre Desktops kümmern müssten. Aber dann würde das ganze Ökosystem ( http://www.linuxmint.com/donors.php ) so sicher nicht mehr funktionieren.

seahawk1986 schrieb:

Es ist eigentlich völlig egal, auf welchem Weg die Datei auf deinen Rechner kommt und ob die Leitung dabei gesichert ist oder nicht. Das Zertifikat für eine SSL-Verbindung hat nur einen anderen Vertrauensweg - ein Zertifikat-Anbieter bestätigt damit seinem Kunden anderen gegenüber (z.B. Browsern, die mit entsprechenden Stammzertifikaten ausgeliefert werden), dass das der Webserver desjenigen ist, für den das Zertifikat ausgestellt wurde - aber daraus darfst du nicht den Fehlschluss ziehen, dass die Daten auf dem Webserver nicht kompromittiert sein können.

Aber es ist schon mal die echte Webseite. 😈

k1l schrieb:

Eigentlich wären sie als Ubuntu-Flavour besser aufgehoben, wenn sie sich nur noch um ihre Desktops kümmern müssten.

Ja. Es geht schließlich nur um Alternativen zu purem Gnome 3 oder Unity. 🙄

novecento schrieb:

Diki schrieb:

Leute wer soll das den wissen.

Man wächst mit seinen Aufgaben 😉

👍 Das ist sehr weise! Einfach dabeibleiben und immer ein bischen dazu lernen.

Wurde unser Web-Team in diesem Thread schon gelobt? ♥

k1l schrieb:

Eigentlich wären sie als Ubuntu-Flavour besser aufgehoben, wenn sie sich nur noch um ihre Desktops kümmern müssten.

Wieso Desktops? Von Mint kommt ausschließlich Cinnamon. 😇

tomtomtom schrieb:

k1l schrieb:

Eigentlich wären sie als Ubuntu-Flavour besser aufgehoben, wenn sie sich nur noch um ihre Desktops kümmern müssten.

Wieso Desktops? Von Mint kommt ausschließlich Cinnamon. 😇

Ja. Hätt' ich gern unter Ubuntu.

*off-topic-bemerk* ⇒ *duckundweg*

Lg X.

Xeno schrieb:

Ja. Hätt' ich gern unter Ubuntu.

Und was hindert dich daran?

Cinnamon

Oder meinst du "unter Trusty"? 😛

tomtomtom schrieb:

Xeno schrieb:

Ja. Hätt' ich gern unter Ubuntu.

Und was hindert dich daran?

Cinnamon

Na mit Hineinmurksen Selberkonfigurieren von inoffiziellen Desktops habe ich (allerdings länger zurückliegende) gemischte Errfahrungen gemacht, ums mal so zu sagen. Es funktionierte nicht alles, das aber dafür schlecht 🙄 .

Oder meinst du "unter Trusty"? 😛

Nein, meine ich nicht 😈 .

Lg X.

tomtomtom schrieb:

k1l schrieb:

Eigentlich wären sie als Ubuntu-Flavour besser aufgehoben, wenn sie sich nur noch um ihre Desktops kümmern müssten.

Wieso Desktops? Von Mint kommt ausschließlich Cinnamon.

Ja stimmt, irgendwie verbinde ich Mate auch immer noch mit Mint, was aber falsch ist.

Debian bietet für alle großen Dekstops auch direkt schon eigene Isos. Bei ubuntu gibts auch ein mate-ubuntu. Von einem Cinnamon Flavour weiß ich jetzt nichts. Also wäre da zwar noch ein Platz für ein Cinnamon Ubuntu run by Mint. Aber das wird nicht passieren.

Xeno schrieb:

tomtomtom schrieb:

Wieso Desktops? Von Mint kommt ausschließlich Cinnamon. 😇

Ja. Hätt' ich gern unter Ubuntu.

Cinnamon war in debian ist aber wieder rausgeflogen, weil sie auf einem sehr alten gnome aufgesetzt hatten und mit den Anpassungen den neueren gnome Versionen nicht hinterherkamen. Als die Differenz der Pakete zu groß wurde hat debian das Paket rausgeschmissen. Mittlerweile ist es aber wieder drin. Aber dadurch halt nicht in 14.04.

k1l schrieb:

Ja. Hätt' ich gern unter Ubuntu.

Cinnamon war in debian ist aber wieder rausgeflogen, weil sie auf einem sehr alten gnome aufgesetzt hatten und mit den Anpassungen den neueren gnome Versionen nicht hinterherkamen. Als die Differenz der Pakete zu groß wurde hat debian das Paket rausgeschmissen. Mittlerweile ist es aber wieder drin. Aber dadurch halt nicht in 14.04.

Ich weiss. Debian testing rödelt hier auf meinem Multibootsystem flott mit Cinnamon. Handkehrum kann man sich über Debian immer mal wieder tüchtig ärgern. Ist aber noch offtopicer als eh schon, daher jetzt Schluss hier dazu von mir.

k1!: Ja stimmt, irgendwie verbinde ich Mate auch immer noch mit Mint, was aber falsch ist.

Na ja, so ganz falsch ist das ja nicht. Als sich hier (z.B.) alle tot gelacht haben, über das "neue Gnome2" hat Lefebvre das Projekt so weit als möglich unterstützt und bald zum (zweiten) Standarddesktop bei Mint gemacht, neben der kompletten Eigenentwicklung Cinnamon, um Altvordere Gnome2-Fans zu gewinnen. Und das Konzept ist ja soweit auch aufgegangen. Aktuell fungiert er auch noch als Teammitglied. Daher denke ich mal, dass das dann doch relativ erfolgreiche Stehaufmännchen Mate ohne Mint so wohl nicht gelaufen wäre. Bei den Desktops hat der Herr schon ein "gutes Händchen", ansonsten aber............. ❓ ❓

L.G.

Ali_As schrieb:

Aktuell fungiert er auch noch als Teammitglied.

Und wer sich mal in dem Git-Repo umsieht kann auch sehen, was er selbst beigetragen hat: Skripte zum Packen der deb-Pakete.

Daher denke ich mal, dass das dann doch relativ erfolgreiche Stehaufmännchen Mate ohne Mint so wohl nicht gelaufen wäre.

Die ersten Pakete für Mint gab es erst, als das ganze schon ganz gut gelaufen ist.

Ja, Mint hat gut Werbung für MATE gemacht und es kam Clem sicherlich gelegen, dass er auch nach 11.04 wieder das "alte GNOME" anbieten konnte. Aber bei der Entwicklung an sich ist da nicht viel zu sehen von Beteiligung von Mint.