Ubuntu 22.4 PLUS & LMDE 6 PLUS auf neuem Download-Server

Zitat von evilware666

Moin UnityUser

Danke für deinen Vorschlag, wie in meinem Thread geschrieben, möchte ich aber lieber keine fremden PPAs verwenden.

mfg: Evilware666

Das PPA ist offiziell von Mozilla.

Mozilla ist dennoch eine Fremdquelle zu Canonical und Fremdquellen können immer Probleme verursachen. Erst recht wenn man die Paketquelle nicht selbe betreut.

Siehe dazu auch hier: https://wiki.ubuntuusers.de/Fremdquellen/#Risiken

Zitat von evilware666

Das ist mir bekannt. Ich integriere nur die offiziellen Ubuntu PPAs sowie Snap und Flatpak, aber keine anderen PPAs. Wer Snap nicht mag, hat ja noch Flatpak zur Auswahl. Mir geht es darum, das System pflegeleicht zu halten."

Mfg: evilware666

Kommt Firefox standardmäßig als Flatpak oder als Snap? Ich habe nichts gegen Snap, aber Firefox startet und läuft da echt langsamer als über das PPA.

Es wäre echt nett, wenn du für Ubuntu PLUS SHA512 Checksummen und GPG-Keys zur Verfügung stellen würdest.

Zitat von evilware666

Moin Moin!

Ich habe die beim Erstellen des Images erzeugte MD5-Datei im Ordner, in dem sich auch die System-ISO befindet.

mfg: evilware666

MD5 Checksummen sind nicht mehr sicher.

Erstelle lieber SHA512 oder SHA256 Checksummen.

Zitat von UnityUser

MD5 Checksummen sind nicht mehr sicher.

https://medium.com/@techclaw/expl…hm-feb249ef9dfb

Erstelle lieber SHA512 oder SHA256 Checksummen.

Man kann es auch übertreiben. Bei Passwörtern gebe ich dir recht. Aber um zu verifizieren das eine Datei die ist die man erwarten würde reicht md5 alle mal.

Zitat von vs2-free-users

Man kann es auch übertreiben. Bei Passwörtern gebe ich dir recht. Aber um zu verifizieren das eine Datei die ist die man erwarten würde reicht md5 alle mal.

Unterschätze das mal nicht, die Linux Mint Website wurde 2016 gehackt und die .iso Dateien wurden manipuliert.

Schädling in Linux Mint nach Hack der Website

Der Server von Linux Mint hat nach einem Hack ein Linux-Installationsimage mit Schädling verteilt, der Passwörter abgreift. Betroffen sind vermutlich nur die…

www.heise.de

Mit SHA256 Checksummen und GPG Keys hätte man die manipulierten Dateien schneller ausfindig gemacht und nicht die verseuchte Version installiert.

Dazu gibt es ein gutes Video von MichlFranken:

Tipp: Checksummen - Integrität und Authentizität von Software prüfen (Linux, macOS, Windows)

Wer ab und an Dateien aus dem Internet herunterlädt und installiert, hofft genau das zu installieren, was der Entwickler bereitgestellt hat. Doch kann eine E...

www.youtube.com

Zitat von UnityUser

2016

Schau mal aufs Tacho. Ist fast 8 Jahre her.

Zitat von zeltinho

Schau mal aufs Tacho. Ist fast 8 Jahre her.

Das Video 2 Jahre. Das mit der Manipulation der ISO Datei kann heute immer noch passieren. In der Zeit hat sich viel verändert, einerseits sind die Schutzmaßnahmen gestiegen: z.B. werden mittlerweile SHA512 Checksummen und GPG Keys zur Verifizierung angeboten. Andererseits haben Hacker ihre Methoden verbessert. MD5 Checksummen waren schon vor acht Jahren unsicher. Heute kann ein Hacker eine Datei mit der identischen MD5 Summe herausgeben.

Das mit den acht Jahren macht keinen Sinn. Das wirst du auch an meinem Beispiel merken:

Vor acht Jahren wurde ich gehackt. Heute mache ich mir da keine Gedanken mehr, ich downloade alles aus dem Internet und ein Antivirenprogramm habe ich auch nicht und ich nutze Windows Vista. Aber macht nichts, das mit dem Virus war acht Jahre lang her, das wird heute sicher nicht mehr passieren.

Ich gebe Young Alpha recht, für neue Projekte oder Downloads sollte man MD5 nicht mehr verwenden. Warum auch?

Dass Mint das bis heute nachhängt zeigt doch, wie selten so etwas in der Vergangenheit vorgefallen ist. Schutz vor Kompromittierung von ISO-Files ist jedoch wichtig, keine Frage.