[sage] IE und Self-Signed Certificates ?

Benedikt Stockebrand me at benedikt-stockebrand.de
Fri Oct 31 20:42:01 CET 2008 

Hallo Jörg und Liste,

Joerg Mertin <smurphy at solsys.org> writes:

> An Alle die sich auf den Schlipps getreten fuehlen.

tut sich hier eigentlich keiner, außer Dir vielleicht.  Wobei ich
gerade auch den Thread nochmal durchgesehen habe und die gleiche
Meinung habe wie Jürgen: Das war im wesentlichen sachlich, und
mindestens von meiner Seite auch nur sachlich gemeint.  Kann es sein,
dass Du da was in den falschen Hals bekommen hast?

> ich will mich hiermit foermlich bei Allen entschuldigen, denen ich
> zu arrogant gekommen bin - indem ich behauptet habe - ich kuemmere
> mich um die Sicherheit meiner Systeme und Zugaenge selbst, da mir
> Zertifizierungsstellen und andere Software nicht vertrauenswuerdig
> sind.

Dafür musst Du Dich nicht entschuldigen, es ist hier niemandem
verboten, eine eigene Meinung zu haben.

Genauso ist es aber auch niemandem verboten, die eigene Meinung zu den
Postings anderer zu sagen.

Um nochmal auf das Thema zurückzukommen: Ich kann nicht alles von
vorne bis hinten selbst machen:

- Ich muss Hardware von Herstellern kaufen, die selbst in Ländern
  sitzen, in denen elementare demokratische Grundprinzipen wie eine
  Gewaltenteilung und gegenseitige Kontrolle vom Staat ausgehebelt
  werden (http://en.wikipedia.org/wiki/National_security_letter) und
  die in Ländern produzieren lassen, bei denen solche Zustände so
  selbstverständlich sind, dass sie nicht einmal mehr publiziert
  werden.

- Ich muss Betriebssysteme einsetzen, die so umfangreich sind, dass ich
  im Leben keinen kompletten Code Review machen könnte (mal abgesehen
  davon, dass die auch nicht unbedingt alles finden).

- Ich muss Compiler benutzen, die kompromittiert sein können, ohne
  dass ich es erkennen kann (Ken Thompson, "Reflections on Trusting
  Trust", Turing Award Lecture 1983,
  https://eprints.kfupm.edu.sa/61743/1/61743.pdf).

- Ich muss, um mit anderen kommunizieren zu können, Protokolle
  benutzen, die von der Sicherheit her dreißig Jahre hinter der Zeit
  sind (so ziemlich der gesamte TCP/IP-Stack).

Das heißt nicht, dass ich ohne weiteres alles einsetze, was irgendwer
irgendwo mal entwickelt hat, sondern dass ich mir sehr genau überlegen
muss, was ich wo und wie einsetze, was tatsächlich den Aufwand wert
ist, eine eigene Lösung zu bauen und letztlich auch was prinzipbedingt
nicht zu verantworten ist.


Jetzt aber wirklich ein schönes Wochenende,

    Benedikt

-- 
Benedikt Stockebrand, Dipl.-Inform.   http://www.benedikt-stockebrand.de/

More information about the SAGE mailing list