Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Paul Hänsch]

On Sun, Jun 26, 2016 at 09:50:57PM +0200, Erik Grun wrote:
> "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit
> unterzogen werden?"

> [...]

> Außerdem bin ich am überlegen, bei welcher Software ich es mir
> am ehesten wünschte, dass man sie einem Audit unterzöge.

Da gucke ich doch mal in meine Prozessliste, meine APT-Dependencies, etc. und schaue nach der Software, die wohl irgendwie Installiert sein muss und die ganze Zeit läuft, obwohl ich sie *nicht* benutze, jedenfalls nicht direkt und willentlich.

Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit systemd haben wir uns einige dieser Dienste auch auf Serversystemen eingetreten.

Macht mal alle ein `htop -u root`.
Wer sieht den polkitd laufen? (das ist quasi sudo als unix-daemon)
Wer weiß auf Anhieb, wo der Konfiguriert wird, und welche rules der per Default mitbringt?

Liegt das an mir, oder habt ihr auch das Gefühl, dass diese Dinge neben *zig Apache- und MySQL-Audits immerwieder unter dem Radar durch fliegen? Wenn _die_ Audits raus kommen, will ich Popcorn im Haus haben.

Ich habe jedenfalls DBUS und Polkit mal reingeworfen, jetzt habe ich keine lust mehr auf das ReCaptcha.

--
Paul
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160628/e69fca75/attachment.sig>