hi,
darf man medibuntu als fremdquelle erwähnen oder nicht?
mfg
mythos
Anmeldungsdatum: Beiträge: 1080 |
hi, mfg |
Ehemaliger
Anmeldungsdatum: Beiträge: 29065 Wohnort: WW |
Hallo, warum nicht, so lange du nicht auf Programme verweist, die gegen deutsches Recht verstoßen, erst ab 18 Jahre freigegeben sind etc. Gruß |
(Themenstarter)
Anmeldungsdatum: Beiträge: 1080 |
das ist nicht unbedingt eine antwort, die ich erwartet habe. ich möchte eine klare antwort. bitte zutreffendes Ankreuzen: Frage: Darf man Medibuntu als Fremdquelle im Wiki erwähnen? [ ] JA [ ] NEIN /*ich möchte auch kein "ja, wenn...", "nein, aber..." oder dergleichen als antwort \^^.*/ mfg |
Anmeldungsdatum: Beiträge: 20087 Wohnort: Schwabenländle |
Ich sagte Ixel letztens, der mich fragte, "Ja, wenn...". Da Du das nicht hören willst, gibt es von mir eben ein klares "Nein". (Bin aber kein Wiki-Mod... *g*) Gruß, Dee |
(Themenstarter)
Anmeldungsdatum: Beiträge: 1080 |
@Dee mfg |
Anmeldungsdatum: Beiträge: 6565 Wohnort: Berlin |
Ein klares ja oder nein kann noch ein bissel dauern, ich habe intern mal eine Diskussion angefangen, aber bisher hat kaum ein Wiki-Mod drauf geantwortet. gruß |
Anmeldungsdatum: Beiträge: 5244 Wohnort: Bochum |
Ich würde sagen: Klar darf man die Medibuntu-Archive als Paketquelle erwähnen. Man darf nur unter Umständen nicht sagen, was man darin findet... 😉 Liebe Grüße |
(Themenstarter)
Anmeldungsdatum: Beiträge: 1080 |
*push* mfg |
Anmeldungsdatum: Beiträge: 2870 |
Zwei Punkte: Erstens: Es gibt zwei Artikel zu Medibuntu, nämlich Medibuntu und Fremdquellen/Medibuntu. Zweitens: Pakete, die Keys direkt importieren sind nie zu empfehlen. Auch nicht medibuntu-keyring. |
Anmeldungsdatum: Beiträge: 37971 |
Rotbart van Dainig schrieb:
Nein, Fremdquellen/Medibuntu wird von allen Artikel per Include eingebunden, die eben Pakete aus den Medibuntu Quellen einbinden. Dazu gehört auch Medibuntu, der die Quellen erklärt... Beide Artikel sind zu erhalten. |
Anmeldungsdatum: Beiträge: 2870 |
Stimmt, den Include habe ich übersehen. 😉 |
Anmeldungsdatum: Beiträge: 37971 |
Rotbart van Dainig schrieb:
Ja und? Dann würden Pakete aus den Medibuntu Quellen nicht mehr signiert sein und die Paketverwaltung würde meckern, wenn ein Paket aus den Medibuntu Quellen installiert wird. Würde eine "amoklaufende" Paketquelle ein Paket aus den Medibuntu-Quellen aufgrund einer neueren Version überschreiben, dann hilft auch der korrekte Key nix. Ich sehe hier keinen Nachteil. Nur den Vorteil, dass User einmal weniger das Terminal bemühen müssen (Das einpflegen von Keys über "System → Administration → Software-Quellen" ist - sorry - zu ätzend 😉 ) |
Anmeldungsdatum: Beiträge: 2870 |
Chrissss schrieb:
Was schon schlimm genug ist. Vor allem, wenn der Nutzer schon mal trotzdem ein unsigniertes Paket so installiert hat - nämlich den keyring. Das ist der große Unterschied vom Medibuntu-Keyring zum Ubuntu-Keyring und Debian-Keyring aus den Quellen - dort wird der erste Key nicht unsigniert über die Paketverwaltung verteilt.
Das stimmt natürlich, macht es aber eben nicht besser.
Das ist jetzt wenig überzeugend - genau dafür sind die Keymanager da. 😉 |
Anmeldungsdatum: Beiträge: 37971 |
Rotbart van Dainig schrieb:
Ja, aber wo ist das Problem? Im Schlimmsten Fall passt die Signatur von neu aus den Medibuntu Quellen installierten Paketen nicht mehr zum Key.
Erklär das mal einem Einsteiger, lieber klatsche ich da wget -q http://packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add - && sudo apt-get update hin, als das Schritt für Schritt zu erklären. Ich persönlich habe diese Funktionalität seit dem es sie gibt noch nie benutzt... |
Anmeldungsdatum: Beiträge: 2870 |
Im schlimmsten Fall ist es eine Vorbereitung für einen MitM-Angriff. 😉 Das Austauschen von GPG-Signaturen kann schon ein Problem sein... aber klar, wenn man eine Fremdquelle hat, reicht das in der Regel als Einfallspunkt. Der einzige echte Vorteil des Pakets kommt eben auch aus der Problematik - sollte das Archiv gekapert werden, kann man danach zumindest recht sicher neue Schlüssel werteilen. Trotzdem überzeugt mich diese Selbstbefruchtung des Paketsystems nicht... |