Verifizierbarer Repository-Schlüssel
David Hopfmueller
david at hopfmueller.at
Di Jun 24 20:43:43 CEST 2014
Am 2014-06-24 11:25, schrieb Benedikt Wildenhain:
> Der Schlüssel wird also über eine ungesicherte HTTP-Verbindung
> angeboten
> und besitzt keine ohne Weiteres verifizierbaren Unterschriften, was
> Person-in-the-middle-Angriffe ermöglicht. Gibt es eine offizielle
> Möglichkeit, die Korrektheit dieses Schlüssels zu überprüfen?
Laut [1] (Punkt 3.3.1) kein Bug sondern 'Feature' iSv Einschränkung der
Community- ggü. der Enterprise-Version:
| The repositories for the community edition are made available through
HTTP only, while the enterprise edition's repositories are available
over HTTPS only. For the community edition, the the authenticity cannot
be verified.
IMHO keine glückliche Entscheidung, da es den Zweck der Unternehmung
(Privacy, Security) torpediert.
-- d.h
[1]
http://docs.kolab.org/en-US/Kolab_Groupware/3.0/html/Community_Installation_Guide/pref-Community_Installation_Guide-Preface.html
Mehr Informationen über die Mailingliste users-de