linux-l: Wer hat SSH richtig verstanden...,
Frank Reker
frank at reker.net
Fr Sep 14 14:46:24 CEST 2001
Am Fri 14. Sep 2001 11:15 +0200 schrieb Steffen Dettmer:
>* Frank Reker wrote on Thu, Sep 13, 2001 at 23:07 +0200:
>> Am Thu 13. Sep 2001 22:24 +0200 schrieb Alexander Stielau:
>> >Frank Reker <frank at reker.net> writes:
>
>> Richtig, aber wer benutzt schon die vorkompilierte Version
>> der Distro???
>
>Ich.
>
>> Alle Sicherheitsrelevanten Sachen (wie gpg, ssh, ...)
>> sollte man stets neu kompilieren,
>
>Warum?
>
>> ansonsten kann man auch gleich proprietaere Software
>> verwenden!!!
>
>Begründung fehlt. Du meinst sicherlich, daß man sich die Sourcen
>anguckt. Schon mal versucht, in SSH ne Backdoor zu suchen? Kann
>dauern: ist nämlich viel Code...
Naja, der Source wird von vielen gelesen, eine Hintertuer wuerde
da ziemlich schnell auffallen. Die Gretchenfrage ist, ob man die
orginalsourcen hat, oder eine modifizierte Version. Von daher
muss man grosse Sorgfalt walten lassen, von wo man sich den Kram
runterlaedt, stets pgp-unterschrift ueberpruefen, und den key
nach moeglichkeit von mehreren Stellen besorgen und gegenchecken.
Damit reduziert man die Gefahr eine modifizierte Version zu
erhalten, auch wenn's noch keine 100%-ige Sicherheit ist.
Bei einer vorkompilierten Version musst du erstens dem Distributor
100%-ig vertrauen koennen, und zweitens wissen, dass auch dieser
die gleiche Sorgfalt walten laesst. Bzw. dieser muss sogar noch
eine *sehr* viel hoehere Sorgfalt walten lassen, da es fuer
Cracker sehr viel lukrativer ist einem Distributor wie SuSE ne
modifizierte Version unterzuschieben, da diese dann auf sehr
vielen Rechnern landet.
Und gerade bei ssh, da gefaehrdest du nich nur die Sicherheit
deines eigenen Rechners, sondern auch diejenige derer, auf
denen du dich einlogst, bzw. derer die sich bei dir einloggen.
Von daher ist hier doppelte und dreifache Vorsicht geboten.
--
Don't worry, be happy...
Ciao tex
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 232 bytes
Beschreibung: nicht verfügbar
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20010914/1e3fa5ea/attachment.sig>
Mehr Informationen über die Mailingliste linux-l