Am Samstag, 8. Januar 2005 22:55 schrieb Christian Boltz: [...]
Der zugehörige SuSE-GPG-Key wird bereits bei der Installation _von CD/DVD_ auf die Festplatte installiert - und genau diese Tatsache macht den Key für mich vertrauenswürdig.
Ist klar.
Bleibt noch die Frage, ob man SuSE und den CDs/DVD vertrauen kann. Wenn nicht, solltest Du Dir eine andere Distri suchen, denn die ganzen Pakete auf CD/DVD sind auch von SuSE ;-)
lol
Die Pakete, die rpmseek findet, stammen in der Regel von "weniger vertrauenswürdigen" Leuten. Das heißt jetzt nicht, dass diese Leute etwas Böses in die preinstall- oder postinstall-Scripte (oder ins Programm selbst) schreiben, aber ich halte das Risiko für höher.
Klingt auch logisch
Natürlich kannst Du auch bei rpmseek-Paketen die Signatur überprüfen (falls die Pakete signiert sind) - allerdings musst Du den dafür benötigten Key von einem Keyserver ziehen, wo jeder einen Key ablegen kann - auch unter falschem Namen.
Klar, jeder Schutz ist halt nur so sicher wie sein Geheimnis.
Einem Key, den ich auf einem Keyserver finde, [...] das könnte ja aus einem anderen Source-RPM stammen. </Paranoia>
Da ich mir _eigentlich_ das ganze Kommandozeilengewurschtel ersparen möchte (deswegen benutze ich SuSE und nicht Debian oder Gentoo) und die Pakete möglichst einfach mit Klickibunti installieren möchte (sofern vorhanden), stellt sich für mich die Schlussfolgerung, in Zukunft wohl nur noch Pakete von 'vertrauenswürdigen' Quellen zu installieren. Schließlich benutze ich Linux ja, um nicht irgendwann zu einer Virenschleuder zu werden, wie es mit 'anderen' OS manchmal der Fall ist. Danke auf jeden Fall für die Erklärung, vielleicht kann ich die Ratschläge irgendwann ja mal gebrauchen, wenn es darum geht, einen _wirklich sicheren_ Rechner aufzusetzen. -- Geisterfahrer sind oft sehr entgegenkommend! best regards, kuDDel Stephan Chudowski