Guten Tag,
Ich habe mich für das Rundum-sorglos-Paket entschieden, weil hier kein Java installiert wird und schon einiges vorkonfiguriert ist. (Teilweise) im Gegensatz zum einfachen Hibiscus Jameica, gibt es jedoch keine Möglichkeit die Downloads zu verifizieren, keine PGP-Signatur oder zumindest eine Checksumme die auf einer externen Seite gespeichert wird.
Da es sich um sensible Bankingsoftware handelt, wäre es da nicht sinnvoll dies für alle Betriebssystemversionen anzubieten? Da ich Linux nutze kann ich nicht sagen ob die Windowsversion möglicherweise Zertifikate besitzt, aber zumindest die Linux Version hat gar nichts.
Vielen Dank,
Hibi67
Signaturen für die Installationsdateien?
-
hibi67
- Beiträge: 31
- Registriert: Di 11. Jun 2019, 21:04
- Been thanked: 5 times
-
Hibiscus-Scripter
- Administrator
- Beiträge: 2696
- Registriert: Mi 30. Okt 2013, 17:14
- Wohnort: Würzburg
- Has thanked: 145 times
- Been thanked: 79 times
Re: Signaturen für die Installationsdateien?
Sodala,
dies ist ein etwas umfangreicheres Thema und mit etwas Arbeit verbunden, gerade bei Jameica, weshalb ich das immer vor mir hergeschoben hatte.
Ab sofort sind alle Addons (Stable und Testing) und schon mal die Nightly-Builds von Finance.Websync und Hibiscus Mashup mit einer digitalen Signatur für den Jameica-Updater versehen, womit keine Meldungen mehr in Jameica erscheinen sollten.
Zusätzlich kann man in den Repositorys auch noch die PGP-Signatur und die Checksummen der Plugins und Addons finden.
https://hibiscus-mashup.derrichter.de/i ... ons-stable
https://hibiscus-mashup.derrichter.de/i ... ns-nightly
Du meintest aber wohl die eigentlichen Rundum-Sorglos Pakete?
Die müssen von mir extra behandelt werden. Der Aufwand und Sinn hierzu würde ich bei der nächsten Version prüfen. Nur sind dies normale Downloads von Programmen über https. Es ist nicht wirklich üblich das man hier immer eine Signatur oder Checksum mit angeboten bekommt, eben wegen dem Aufwand.
Aber den Einwand verstehe ich.
Und gleich vorweg, eine wirkliches "Herausgeber-Zertifikat" für den Windows-Installer wird es niemals geben, da dies ja offiziell bei Microsoft beantragt/eingetragen werden müsste denke ich und wir reden hier bei mir nicht von einer Firma sondern einer Privatperson! die das bestimmt nicht beantragen und bezahlen wird.
Wir reden hier nur von der Möglichkeit der manuellen Prüfung der Integrität der Downloads per PGP-Signatur und Checksummen.
Gruß
dies ist ein etwas umfangreicheres Thema und mit etwas Arbeit verbunden, gerade bei Jameica, weshalb ich das immer vor mir hergeschoben hatte.
Ab sofort sind alle Addons (Stable und Testing) und schon mal die Nightly-Builds von Finance.Websync und Hibiscus Mashup mit einer digitalen Signatur für den Jameica-Updater versehen, womit keine Meldungen mehr in Jameica erscheinen sollten.
Zusätzlich kann man in den Repositorys auch noch die PGP-Signatur und die Checksummen der Plugins und Addons finden.
https://hibiscus-mashup.derrichter.de/i ... ons-stable
https://hibiscus-mashup.derrichter.de/i ... ns-nightly
Du meintest aber wohl die eigentlichen Rundum-Sorglos Pakete?
Die müssen von mir extra behandelt werden. Der Aufwand und Sinn hierzu würde ich bei der nächsten Version prüfen. Nur sind dies normale Downloads von Programmen über https. Es ist nicht wirklich üblich das man hier immer eine Signatur oder Checksum mit angeboten bekommt, eben wegen dem Aufwand.
Aber den Einwand verstehe ich.
Und gleich vorweg, eine wirkliches "Herausgeber-Zertifikat" für den Windows-Installer wird es niemals geben, da dies ja offiziell bei Microsoft beantragt/eingetragen werden müsste denke ich und wir reden hier bei mir nicht von einer Firma sondern einer Privatperson! die das bestimmt nicht beantragen und bezahlen wird.
Wir reden hier nur von der Möglichkeit der manuellen Prüfung der Integrität der Downloads per PGP-Signatur und Checksummen.
Gruß
... wer lesen kann ist wie immer im klaren Vorteil ...
Vor dem Posten: Bitte die Posting-Regeln für neue Beiträge lesen und beachten und IMMER die vollständige Status-Log posten
(Der Post wird ansonsten gelöscht oder einfach ignoriert ohne das geholfen wird)
Hilfe und Informationen zu den Test- und Nightly-Builds und deren Installation findet Ihr z. B. im Tipps und Tricks-Forum
(Weitere hilfreiche Artikel findet man in der FAQ auf der Projekt-Website)
Wer ein Dankeschön für die Arbeit und Unkosten senden möchte, kann gerne auch
Spenden
Vor dem Posten: Bitte die Posting-Regeln für neue Beiträge lesen und beachten und IMMER die vollständige Status-Log posten(Der Post wird ansonsten gelöscht oder einfach ignoriert ohne das geholfen wird)
Hilfe und Informationen zu den Test- und Nightly-Builds und deren Installation findet Ihr z. B. im Tipps und Tricks-Forum(Weitere hilfreiche Artikel findet man in der FAQ auf der Projekt-Website)
Wer ein Dankeschön für die Arbeit und Unkosten senden möchte, kann gerne auch
Spenden-
Hibiscus-Scripter
- Administrator
- Beiträge: 2696
- Registriert: Mi 30. Okt 2013, 17:14
- Wohnort: Würzburg
- Has thanked: 145 times
- Been thanked: 79 times
Re: Signaturen für die Installationsdateien?
so nun sind auch die Installer von mir signiert und mit Prüfsummen versehen.
Selbst die Windows-Installer haben die digitale Signatur mit CA von Jameica, aber wie bereits erwähnt wird es hier kein "Hersteller-Zertifikat" geben, womit der Herausgeber immer "Unbekannt" ist.
Ansonsten findet man alles, wie hier Gewünschte, nun auch bei den Installer "Rundum-sorglos-Packeten" unter:
https://hibiscus-mashup.derrichter.de/i ... p/download
Gruß
Selbst die Windows-Installer haben die digitale Signatur mit CA von Jameica, aber wie bereits erwähnt wird es hier kein "Hersteller-Zertifikat" geben, womit der Herausgeber immer "Unbekannt" ist.
Ansonsten findet man alles, wie hier Gewünschte, nun auch bei den Installer "Rundum-sorglos-Packeten" unter:
https://hibiscus-mashup.derrichter.de/i ... p/download
Gruß
... wer lesen kann ist wie immer im klaren Vorteil ...
Vor dem Posten: Bitte die Posting-Regeln für neue Beiträge lesen und beachten und IMMER die vollständige Status-Log posten
(Der Post wird ansonsten gelöscht oder einfach ignoriert ohne das geholfen wird)
Hilfe und Informationen zu den Test- und Nightly-Builds und deren Installation findet Ihr z. B. im Tipps und Tricks-Forum
(Weitere hilfreiche Artikel findet man in der FAQ auf der Projekt-Website)
Wer ein Dankeschön für die Arbeit und Unkosten senden möchte, kann gerne auch Spenden
Vor dem Posten: Bitte die Posting-Regeln für neue Beiträge lesen und beachten und IMMER die vollständige Status-Log posten(Der Post wird ansonsten gelöscht oder einfach ignoriert ohne das geholfen wird)
Hilfe und Informationen zu den Test- und Nightly-Builds und deren Installation findet Ihr z. B. im Tipps und Tricks-Forum(Weitere hilfreiche Artikel findet man in der FAQ auf der Projekt-Website)
Wer ein Dankeschön für die Arbeit und Unkosten senden möchte, kann gerne auch
Spenden