On Monday 21 September 2009 20:39:05 Malte Gell wrote:
Volker
wrote Hallo zusammen,
seit ein paar Tagen erhalte ich (11.1) unter yast und zypper die Warnung
New repository or package signing key received: Key ID: 94F9ACD253809572 Key Name: OpenOffice.org:STABLE OBS Project OpenOffice.org:STABLE@build.opensuse.org Key Fingerprint: D3948FAFB8FD4AB39FBBB90694F9ACD253809572 Repository: openSUSE BuildService - OpenOffice.org
Do you want to reject the key, trust temporarily, or trust always? [R/t/a/?]: (...) * Hat sich der Key für das Repo tatsächlich geändert oder versucht mir jemand was unterzuschieben?
Ich habe auch den Eindruck, dass SUSE/Novell das mit den Repo-Keys nicht allzuernst nehmen. Bei mir haben sich auch schon öfters Keys geändert. Auf den Projektseiten sind die Keys nirgends aufgelistet, soweit ich weiß, du kannst sie faktisch nicht verifizieren. Daher bleibt dir nichts anderes übrig, als das Repo entweder einzubinden oder es bleiben zu lassen. Toll, nicht war...
Ja, das ist auch seit längerem mein Eindruck. Ich hab deshalb mal ganz unvoreingenommen gefragt, wie das eigentlich gedacht ist. In den offiziellen Suse Handbüchern steht dazu nichts, opensuse.org ist keine Hilfe und auf den Mailinglisten, einschliesslich opensuse-security, gibt's nur hin wieder Leute, die die selben Fragen stellen, ohne das das Thema voran kommt. Es existiert praktisch keine Dokumentation, ob es funktioniert weiss wohl niemand, den Anwendern und Novell scheint's wiederum egal zu sein. IMHO ist ein intransparentes und halbherzig durchgesetztes Sicherheitsinstrument meist schlechter als gar keines. Und die einzige Funktion der Repository-Signature in OpenSuse ist anscheinend die Anwender zu konditionieren, Sicherheitswarnungen weg zu klicken.
Man könnte sich mal bei security@suse.de darüber beschweren (vielleicht besser in Englisch, man weiß ja nicht, wer das zu lesen bekommt).
Ich würde mich nicht beschweren, höchstens Bugs reporten. Allerdings frage ich mich, ob es Sinn macht so offensichtliche und schon lang bestehende Misstände zu reporten - ich frage mich sogar, ob da überhaupt noch jemand in Nürnberg oder USA ist, den es interessiert.
Gruß Malte
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org