Sicherheit von Fremdquellen?

[lemak]

Hallo

ich kenne den Fall (habe davon gelesen) wo ein Entwickler seine Software in einem eigenen Repository angeboten hat (was für eine weiss ich nicht mehr). Um diese seinen Beta-Tester zu Verfügung zu stellen.
Es haben sich diese aber auch viele andere in ihren Packet-Manager eingetragen. Und um denen mal zu zeigen wozu das führen könnte hat er in einer Version einfach das Hintergrund vom Desktop des Nutzer verändert.

Gab es schon mal einen solchen Fall bei dem wirklich was passiert ist?

Kann man Seiten wie http://rpmseek.com trauen? Wenn man sich die Software nicht selbst als Packet packen möchte.

thx.

[heen]

Moin i!

Du kennst den Fall (von dem du gelesen hast) und fragst ob sowas schon passiert ist?
Ohne Belege tut sich gar nichts!
Ansonsten gilt (schon immer und auf jeder Plattform):
1.Benutze nur Quellen denen du vertraust!
2.Prüfe deine Quellen!
3.siehe 1.

Feinen Tag noch
heen

[Teddybear]

Genau so sehe ich das auch, wie mein Vorredner...

Benutze nur Pakete aus Quellen die du selber geprüft, und für brauchbar und vertrauenswürdig befunden hast.

Die Pakete lassen sich ja ohne weiteres entpacken und einsehen, was dort drin ist, und was konfiguriert wird..

[DeletedUserReAsG]

Die Pakete lassen sich ja ohne weiteres entpacken und einsehen, was dort drin ist, und was konfiguriert wird..

Allerdings werden wohl die Wenigsten die enthaltenen Binaries mit einem Hexeditor o.Ä. durchgehen...

cu,
niemand

[neuss]

Hallo,

Allerdings werden wohl die Wenigsten die enthaltenen Binaries mit einem Hexeditor o.Ä. durchgehen...

Quellen bei denen der Code nicht frei ist, sind per se als unseriös zu betrachten und damit nur mit größter Vorsicht einzusetzen. Ein Hexeditor ist dafür denkbar uneeignet (man bedenke die erforderlichen Mannjahre), aber ein Testlauf in kontrollierter Käfighaltung ist in sicherheitskritischen Umgebungen (also fast alle) durchaus sinnvoll.

gruss neuss