Am Freitag, 9. August 2013, 22:53:50 schrieb Martin Schröder:
Am 9. August 2013 22:51 schrieb Peter Geerds <linux@himmelsgetrei.de>:
Schalte deinen Verstand aus - dann bist du gefährdet.
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos?
Weil's bei den Repo-Schlüsseln nicht um ein Web-of-Trust geht, sondern darum die Integrität der heruntergeladenen Dateien zu prüfen. Alles andere wäre auch eher schwierig, dann bräuchte jeder Paketverwalter einen eigenen Schlüssel und du müsstest jedem Paketverwalter vertrauen, dass er die Pakete vorher sorgfältig auf Schadsoftware geprüft hat etc. In der Praxis sieht es aber doch eher so aus, dass der Paketverwalter einfach die Quellen nicht und diese zu einem Paket zusammenschnürt ohne vorher jede Zeile des Codes auf Sinn und Zweck zu prüfen, letzteres wäre auch garnicht machbar. Die Verantwortung liegt hier bei den Projekten selbst. -- Viele Grüße, Michael