[linux-l] GPLv3 erschienen

Steffen Schulz pepe_ml at gmx.net
Mo Jul 23 00:16:03 CEST 2007 

On 070722 at 23:20, Steffen Dettmer wrote:
> erstmal Danke für eure Mails

*Ich* danke, immer sehr interessant hier was aus der Praxis zu lesen :)

> * Steffen Schulz wrote on Sun, Jul 22, 2007 at 17:17 +0200:
> > Was man machen kann ist, dass der Anwender 3 rote Knoepfe druecken muss
> > bevor nicht zertifizierte Software erlaubt wird. Wenn nun ein Trojaner
> > ein DoS macht und regelmaessig zeigt, dass man doch bitte seinen
> > Kartenleser updaten soll, dann werden die Leute aber genau das tun.
> Es geht ja sogar ohne die roten Knoepfe, wenn man nicht
> zertifizierte Software automatisch laden kann: man flasht die Firmware
> einfach um; die neue Version bucht halt auf ein neues Konto oder so. 
> Dabei wird erst der PC gehakt, damit man z.B. Eingaben vom "PC
> Keyboard" emuliert oder was auch immer man braucht.

Die roten Knopfe am Klasse-3-Geraet sollten halt einen erweiterter
Schutz gegenueber kompromittierten PCs darstellen. Wuerden halt
immernoch problemlos Leute drauf reinfallen, reicht also nicht.

> > Sicher fallen anteilsmaessig nicht viele darauf rein, aber das Argument
> > hilft bei Spam und Phishing auch nicht..
> Das Problem hier wäre doch aber, besonders wenn man noch digitale
> Unterschrift mit reinnimmt: es würde sich sehr lohnen! Die Auswirkungen
> sind schon krass, wenn man mal darüber nachdenkt. Meiner Meinung nach
> übrigens so krass, dass ich gar keine Digitale Unterschrift möglich
> haben möchte, weil ich selbst einem Gerät, was nur signierten Code
> ausführt, nicht genug traue!

Auch weil man bei IT immer mit der totalen Unwissenheit seitens dem
Richter rechnen muss. Unterschriften kann man faelschen, aber so'ne
Signatur...ist doch mit Krypto, das ist doch sicher...

> > Man koennte die Geraete ja mit Sollbruchstelle verkaufen, die bei der
> > Inbetriebnahme(oder schon im Handel) mit Hinweis auf die Konsequenzen
> > kaputt gemacht werden soll. Bei Update dann Hardwareaustausch oder so.
> 
> Super Idee! Übrigens so gut, dass man es tatsächlich macht! [1]

Naja fast. :)

Tamper evident ist mir wenigstens theoretisch bekannt, ich meinte hier
aber noch was anderes. Wenn die Geraete laut Lizenz Updates erlauben
muessen, es aber aus Sicherheitsgruenden fuer Hinz und Kunz nachhaltig
deaktiviert sein soll, koennte man halt ne 'Sollbruchstelle' einfuegen.
Beim Einkauf gibts ne kurze Belehrung, der Verkaeufer macht was kaputt
und von da an funktionieren Firmware-Updates nicht mehr. Wer von seinem
Recht dagegen gebrauch machen will, laesst diese Stelle unberuehrt. Er
kann zu Hause dann zB den selbst geprueften Code einspielen oder ne
vernuenftige Nutzeroberflaeche programmieren. Wenn er irgendwann fertig
ist, kann er immernoch die Update-Funktion deaktivieren.

Klasse waer natuerlich, wenn man davon unabhaengig jederzeit pruefen
kann ob gerade zertifizierte Software geladen ist. Falls der Haendler
vorher schon andere Software aufspielt oder wenn ein Geraet mit
manipulierter Firmware weitergegeben wird.

> oder einfach 100 mal schnell an- und ausschalten

Die Variante ist bestimmt prickelnd..  :)


/pepe
-- 
pepe at unixfan.net                            gpg --recv-key A04D7875
Key fingerprint: B805 57BE E4AF 0104 CC51  77A1 CE6F 8D46 A04D 7875

Mehr Informationen über die Mailingliste linux-l