staging.inyokaproject.org

hi,
darf man medibuntu als fremdquelle erwähnen oder nicht?

mfg
mythos

Hallo,

warum nicht, so lange du nicht auf Programme verweist, die gegen deutsches Recht verstoßen, erst ab 18 Jahre freigegeben sind etc.

Gruß
noisefloor

das ist nicht unbedingt eine antwort, die ich erwartet habe. ich möchte eine klare antwort.

bitte zutreffendes Ankreuzen:

Frage: Darf man Medibuntu als Fremdquelle im Wiki erwähnen? [ ] JA [ ] NEIN

/*ich möchte auch kein "ja, wenn...", "nein, aber..." oder dergleichen als antwort \^^.*/

mfg
mythos

Ich sagte Ixel letztens, der mich fragte, "Ja, wenn...". Da Du das nicht hören willst, gibt es von mir eben ein klares "Nein". (Bin aber kein Wiki-Mod... *g*)

Gruß, Dee

@Dee
das wenn kenne ich schon (nur non-free). ich möchte aber auf free verweisen. ich glaube, das war von anfang an klar \^^.

mfg
mythos

Ein klares ja oder nein kann noch ein bissel dauern, ich habe intern mal eine Diskussion angefangen, aber bisher hat kaum ein Wiki-Mod drauf geantwortet.

gruß
Ixel

Ich würde sagen: Klar darf man die Medibuntu-Archive als Paketquelle erwähnen. Man darf nur unter Umständen nicht sagen, was man darin findet... 😉

Liebe Grüße
Fredo

*push*
hmm ... wenn unkarheit besteht, dann trage ich die fremdquelle einfach ein. so komme ich bestimmt schneller zu einer antwort \^^

mfg
mythos

Zwei Punkte:

Erstens: Es gibt zwei Artikel zu Medibuntu, nämlich Medibuntu und Fremdquellen/Medibuntu.
Ein Artikel muss weg.

Zweitens: Pakete, die Keys direkt importieren sind nie zu empfehlen. Auch nicht medibuntu-keyring.
Mal abgesehen davon, dass es die Idee der schwachen Out-of-Band-Authentifizierung unterläuft, ermöglicht es anderen Fremdquellen, diesen Key einfach zu überschreiben.

Rotbart van Dainig schrieb:

Erstens: Es gibt zwei Artikel zu Medibuntu, nämlich Medibuntu und Fremdquellen/Medibuntu. Ein Artikel muss weg.

Nein, Fremdquellen/Medibuntu wird von allen Artikel per Include eingebunden, die eben Pakete aus den Medibuntu Quellen einbinden. Dazu gehört auch Medibuntu, der die Quellen erklärt... Beide Artikel sind zu erhalten.

Stimmt, den Include habe ich übersehen. 😉

Rotbart van Dainig schrieb:

[...] ermöglicht es anderen Fremdquellen, diesen Key einfach zu überschreiben.

Ja und? Dann würden Pakete aus den Medibuntu Quellen nicht mehr signiert sein und die Paketverwaltung würde meckern, wenn ein Paket aus den Medibuntu Quellen installiert wird. Würde eine "amoklaufende" Paketquelle ein Paket aus den Medibuntu-Quellen aufgrund einer neueren Version überschreiben, dann hilft auch der korrekte Key nix. Ich sehe hier keinen Nachteil. Nur den Vorteil, dass User einmal weniger das Terminal bemühen müssen (Das einpflegen von Keys über "System → Administration → Software-Quellen" ist - sorry - zu ätzend 😉 )

Chrissss schrieb:

Ja und? Dann würden Pakete aus den Medibuntu Quellen nicht mehr signiert sein und die Paketverwaltung würde meckern, wenn ein Paket aus den Medibuntu Quellen installiert wird.

Was schon schlimm genug ist. Vor allem, wenn der Nutzer schon mal trotzdem ein unsigniertes Paket so installiert hat - nämlich den keyring. Das ist der große Unterschied vom Medibuntu-Keyring zum Ubuntu-Keyring und Debian-Keyring aus den Quellen - dort wird der erste Key nicht unsigniert über die Paketverwaltung verteilt.

Würde eine "amoklaufende" Paketquelle ein Paket aus den Medibuntu-Quellen aufgrund einer neueren Version überschreiben, dann hilft auch der korrekte Key nix.

Das stimmt natürlich, macht es aber eben nicht besser.

Ich sehe hier keinen Nachteil. Nur den Vorteil, dass User einmal weniger das Terminal bemühen müssen (Das einpflegen von Keys über "System → Administration → Software-Quellen" ist - sorry - zu ätzend 😉 )

Das ist jetzt wenig überzeugend - genau dafür sind die Keymanager da. 😉

Rotbart van Dainig schrieb:

Was schon schlimm genug ist. Vor allem, wenn der Nutzer schon mal trotzdem ein unsigniertes Paket so installiert hat - nämlich den keyring. Das ist der große Unterschied vom Medibuntu-Keyring zum Ubuntu-Keyring und Debian-Keyring aus den Quellen - dort wird der erste Key nicht unsigniert über die Paketverwaltung verteilt.

Ja, aber wo ist das Problem? Im Schlimmsten Fall passt die Signatur von neu aus den Medibuntu Quellen installierten Paketen nicht mehr zum Key.

Das ist jetzt wenig überzeugend - genau dafür sind die Keymanager da. 😉

Erklär das mal einem Einsteiger, lieber klatsche ich da

wget -q http://packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add - && sudo apt-get update 

hin, als das Schritt für Schritt zu erklären. Ich persönlich habe diese Funktionalität seit dem es sie gibt noch nie benutzt...

Im schlimmsten Fall ist es eine Vorbereitung für einen MitM-Angriff. 😉 Das Austauschen von GPG-Signaturen kann schon ein Problem sein... aber klar, wenn man eine Fremdquelle hat, reicht das in der Regel als Einfallspunkt.

Der einzige echte Vorteil des Pakets kommt eben auch aus der Problematik - sollte das Archiv gekapert werden, kann man danach zumindest recht sicher neue Schlüssel werteilen. Trotzdem überzeugt mich diese Selbstbefruchtung des Paketsystems nicht...