Ich finde keine Signatur des Entwicklers auf der Seite von Portfolio.
Ich denke das ist was du suchst, oder?:
unter den Assets stehen zwar dis *.asc, aber wo sehe ich, dass der Key von Andreas Buchen wirklich zu ihm gehört?
Irgendwo sollte auf der Seite, z.B. im Impressum der öffentliche Key des Entwicklers angegeben sein.
Sonst kann kein Zusammenhang zwischen dem Programm und dem Entwickler erstellt werden.
Die digitale Signatur der .exe kann auch nicht verfiziert werden. Bei einem Finanzprogramm halte ich die Verifizierbarkeit der Echtheit für sehr wichtig.
Veilleicht können mich andere Benutzer einmal darüber informieren, wie sie das sehen…
1 Like
Das ist genauso unsicher wie auf GitHub.
Offensichtlich hast du PP bisher schon genutzt; dann kannst du jedenfalls feststellen, dass die von dir bisher genutzte Version und die aktuelle vom selben Schlüssel signiert wurden. (Automatische Updates solltest du dann wohl abschalten …)
So - ich habe dir jetzt nochmal die asc abgeglichen mit der Rückmeldung vom Keyserver abfotografiert.
Bedenke aber bitte mal folgende Dinge bevor du weiterschreibst:
a) Es steht dir frei jederzeit ein kommerzielles Programm zu erwerben wenn du der Ansicht bist, damit besser zu fahren oder mehr Sicherheit zu kaufen.
b) Das ganze Projekt PP wird von Entwicklern voran gebracht die ihre Freizeit hier investieren. Was du für wichtig hältst ist somit zweitrangig (Sieht Punkt a) )
c) Wenn du einen Key mit relativ hoher Sicherheit verifizieren willst musst du die Person treffen, den Personalausweis fordern und diese schickt ihn dir dann am besten während du ihr über die Schulter schaust. Erst dann ist der key halbwegs verifiziert.
d) auch ein hier geposteter Key wäre keine wirklich absolute Sicherheit.
e) Der vielleicht wichtigste Punkt: Gib in eine Suchmaschine deiner Wahl mal “Was ist GPG” und “Web-of-Trust” ein.
f) Der Quellcode ist veröffentlicht. Eine größere Sicherheit gibt es eigentlich nicht. Wenn du Sorge(n) hast nimm den und jag ihn selber durch einen Compiler. Viel Spaß.
EOF
1 Like
zu a) auch Freeware legt Wert auf Sicherheit (veracrypt, keepass…)
zu b) Freizeit investieren schließt nicht aus, besonders auf die Sicherheit zu achten, gerade heute…Sicherheit ist NIE zweitrangig!
zu c) das ist ein korrektes Prozedere - allerdings wird die Idee mit dem öffentlichen Schlüssel im Portal der Entwicklers sehr häufig angewendet.
zu d) absolute Sicheheit gibt es nicht - man kann nur versuchen, es sicherer zu machen.
zu e) was willst Du damit sagen?
zu f) Wieviele Anwender sind in der Lage, den Quellcode zu verstehen? Die meisten Nutzer installieren Binaries und für diese große Mehrheit ist ein Überprüfung sehr wichtig zur Vermeidung von Schadcode.
Danke, das du dir die Mühe gemacht hast, auf meine Frage zu antworten.
1 Like
Da wir jetzt das Alphabet von Varianten aufzählen könnten, können wir wieder zum Thema zurück.
Ich finde den Einwand als guten Hinweis und wird sicherlich beim Hauptentwickler @AndreasB als Info notiert.
Mit einem Glas Wein in der Hand…
Alex
1 Like