Hi Jochen, *,
2012/1/30 Jochen <oooml@jochenschiffers.de>:
Am 30.01.2012 19:50, schrieb Christian Lohmaier:
<schnipp> jeder Alarm bei LO dürfte ein falscher sein wenn die
md5summe bzw. die Signatur stimmt) <schnipp>
Das hat mich schon immer mal interessiert: warum kannst Du/man so sicher
sein, dass LO viren/trojanerfrei ist?
Weil ich den Leuten traue, die die Installationssätze bauen, signieren
und auf unsere Server laden.
Sprich: Ich bin sicher, daß LO aus den Sourcen gebaut werden, die auch
so im git-repostitory liegen.
Und warum bin ich so sicher, daß die Sourcen sauber sind? Tja - ich
vertraue darauf, daß in dem geerbten OOo-Code kein Trojaner drin war
(falls doch, dann haben sämtliche Antivirenhersteller versagt, und der
OOo-Trojaner ist unbemerkt auf Millionen von Rechnern installiert).
Und das kein neuer Trojaner/Virus eingebaut wird - tja, da vertraue
ich auf das "viele Augen sehen mehr als eines" Prinzip.
Wenn überhaupt, kann das nur jemand einen Trojaner/Virus einschleusen,
der Schreibzugriff auf das Repository hat. Den gibt es aber erst,
nachdem man ein paar Patches via Mailingliste beigetragen hat, und so
die entsprechenden Fähigkeiten nachgewiesen hat. Und der Trojaner
müßte dann so geschickt versteckt werden, daß der eingecheckte Code
keinem der anderen Entwicklern komisch vorkommt. Müßte also
"unübersichtlicher/nicht-offensichtlicher" Code sein. Aber solchen
Code will man prinzipiell nicht. Und zig Zeilen Assembler sind für LO
auch nicht typisch.
In diesem Sinn gibt es einfachere Möglichkeiten einem User einen Virus
unterzuschieben. Indem man eben ein modifiziertes LO baut, und das dem
leichtgläubigen User über irgendeine andere Seite unterschiebt - aber
dann würde die Signatur nicht mehr stimmen (md5summe kann man mit
etlichem Aufwand noch fälschen - aber wenn man auf die
Leichtgläubigkeit der User setzt, dann kann man auch darauf vertrauen,
daß die Prüfsumme nicht gegengecheckt wird - ganz zu schweigen die
gpg-Signatur & man kann ja dem Nutzer auch die entsprechend gefälschte
md5sum vorsetzen - wenn er schon ein gefaktes LO von $böse_Seite lädt,
dann kann $böse_Seite auch die passende md5sum anbieten).
ciao
Christian
--
Informationen zum Abmelden: E-Mail an discuss+help@de.libreoffice.org
Probleme? http://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: http://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: http://listarchives.libreoffice.org/de/discuss/
Alle E-Mails an diese Liste werden unlöschbar öffentlich archiviert
Context
Privacy Policy |
Impressum (Legal Info) |
Copyright information: Unless otherwise specified, all text and images
on this website are licensed under the
Creative Commons Attribution-Share Alike 3.0 License.
This does not include the source code of LibreOffice, which is
licensed under the Mozilla Public License (
MPLv2).
"LibreOffice" and "The Document Foundation" are
registered trademarks of their corresponding registered owners or are
in actual use as trademarks in one or more countries. Their respective
logos and icons are also subject to international copyright laws. Use
thereof is explained in our
trademark policy.