Warum verwenden Sicherheitsprogramme....

[y33H@]

Und vom Golem halte ich genau NULL.

Wieso das denn?

 

[snaxilian]

die nicht durch das signieren gelöst werden?

Die Antwort darauf würde mich auch brennend interessieren. Sag's auch bitte den Maintainern fast aller größeren Linux-Distributoren, du bist da einer ganz heißen Sache auf der Spur.

Mal ernsthaft: Solange man für die Berechnung der Checksummen keine Hash-Algorithmen verwendet die keine Kollisionsprobleme haben und der Inhalt der Daten entweder sowieso öffentlich bekannt oder anderweitig geschützt sind gibt es keinen Nachteil.
Ja, bei einer Übertragung per TLS wäre die Integrität bereits beim Download sicher gestellt und ich merke währenddessen schon ob etwas nicht stimmt wohingegen ich beim Plaintext-Download und Prüfung des Hashes ich es erst danach merke aber der Unterschied ist offenbar nicht gravierend genug als dass es so umgesetzt wurde bisher.
Eine Sicherheitslücke oder Schwächung der Integrität der Daten entsteht so jedenfalls nicht, zumindest sofern die Hashes geprüft werden.

 

[ChakuzaFan]

Sag's auch bitte den Maintainern fast aller größeren Linux-Distributoren, du bist da einer ganz heißen Sache auf der Spur.

Mein Thread hat kaum was mit Debian oder einer anderen Linux Distro zutun - finde deinen Seitenhieb vollkommen unnötig...

Wer kann bei der Security Software (Closed Software) sagen, dass die heruntergeladenen Daten auch „signiert“ sind?
Außerdem geht es hier nicht ausschließlich um Signaturen, die heruntergeladen werden müssen - die Programme übertragen an die verschiedensten IP-Adresse - unverschlüsselt Daten weiter - eben auch Daten, die grundsätzlich laut DSGVO schützenswert sind/wären.

LG

 

[MaxOrdinateur]

Die Dateien müssten in der Regel auch bei https Übertragung signiert werden. Deswegen spart man sich das Kopfweh mit https und seinen monatlichen Sicherheitslücken, siehe openssl, und ignoriert es einfach.

Ein Szenario gibt es allerdings wo man https nutzen müsste: bei mehr oder weniger persönlichen Daten. Z.B wenn eine Datei zum testen hochgeladen wird, wenn eine URL die der Nutzer ansurfen will überprüft werden soll, solche Dinge.

Debian funktioniert aber gleich wie AV Software: Debian hat Pakete, AV Software hat Signaturen. Beide sind mehr oder weniger öffentlich und nicht schützenswert ausser Authentifizierung. Und das macht die Signatur.

Jetzt Butter bei die Fische: Was exakt wird übertragen was deiner Meinung nach schützenswert ist?

Zu closed source software bei der du nicht weißt ob Daten signiert sind: du benutzt closed source software. Da ist alles völlig egal. Du hast keinerlei Erwartung daß irgend etwas sicher ist, denn closed source software ist immer völlig unsicher in jeder Hinsicht. Natürlich kann man die Software dekompilieren und nachsehen ob da ein Signaturalgorithmus drin ist, aber dann weiß man ja immer noch nicht ohne weiteres ob der nicht subtil verpfuscht ist. Wenn du Sicherheit willst ist jede Art von closed source sofort ein GAU, dann kannst du bezüglich Sicherheit als Normaluser immer gleich aufhören, es lohnt nicht weiter. Da müsstest du schon die Software im Quellcode bekommen und auch fähig sein einen Audit auszufüheren. So wie eben Microsoft seine Windows Sourcen an Regierungen gibt. Und auch das bringt dich nur sehr bedingt weiter. Siehe Huawei derzeit...

 

[ChakuzaFan]

Die Dateien müssten in der Regel auch bei https Übertragung signiert werden. Deswegen spart man sich das Kopfweh mit https und seinen monatlichen Sicherheitslücken, siehe openssl, und ignoriert es einfach.

Ja, ich weiß.

Jetzt Butter bei die Fische: Was exakt wird übertragen was deiner Meinung nach schützenswert ist?

Vor allem die besuchten Webseiten ,verschiedenste Infos bzgl. paar lokal gespeicherten Dateien, verschiedenste Infos bzgl. der Win10 Konfig (Version, installierte Software,....) , IP Adresse - wird natürlich nicht von jeden Anbieter so erhoben - da die Programme selbst immer unterschiedlich sind bzw. deren Cloud, aber ein Anbieter speziell den ich zu dem Fall auch bereits angeschrieben hatte.

Debian funktioniert aber gleich wie AV Software: Debian hat Pakete, AV Software hat Signaturen. Beide sind mehr oder weniger öffentlich und nicht schützenswert ausser Authentifizierung. Und das macht die Signatur.

Zu closed source software bei der du nicht weißt ob Daten signiert sind: du benutzt closed source software. Da ist alles völlig egal. Du hast keinerlei Erwartung daß irgend etwas sicher ist, denn closed source software ist immer völlig unsicher in jeder Hinsicht.

Genau das ist der Punkt, weshalb ich Debian mit ihren Paketen nicht mit AV Software vergleichen will/möchte.
Das Closed Source Software per se unsicher ist, würde ich nicht sagen bzw. unterschreiben, aber jeder hat persönlich seine eigene Meinung und das ist gut so.

LG

 

[snaxilian]

Der "Seitenhieb" war ein veranschaulichtes Beispiel aus der Realität wo sich schon vor Jahren schlaue Leute Gedanken dazu gemacht haben und zu dem Ergebnis kamen: Wenn Vertraulichkeit nicht relevant ist und man nur sicher stellen muss ob die heruntergeladene Datei identisch ist zu der auf dem Server dann reicht ein Vergleich der Hashes.
Ob der Inhalt der herunter geladenen Daten jetzt ein Update für ein Paket bei Debian ist oder ein Update mit neuen/weiteren Signaturen für einen Virenscanner oder etwas anderes handelt ist da nebensächlich.

Auch Open Source ist nicht per se "sichere Software" und auch ein Audit senkt die Wahrscheinlichkeit aber auch dabei kann etwas übersehen werden.

Leider vermischt du vieles, daher würde ich mir eine klare und strikte Trennung wünschen als Diskussionsgrundlage:

• Software holt Daten (unverschlüsselt) ab, die nicht vertraulich sind
• Software versendet Daten unverschlüsselt

Naja wenn der Hersteller natürlich mit "realtime", Cloud, KI, etc um sich wirft sollte klar sein, dass da Daten übertragen werden. Sind diese personenbezogenen und unverschlüsselt ist dies natürlich absolut nicht ok.