Nop schrieb: >> Die meisten Internetbenutzer >> klicken solche Meldungen sowieso ungelesen weg. > > Nach meiner Erfahrung lesen sehr viele Leute was von "nicht > vertrauenswürdig" und machen sich Sorgen. Ich habe bereits eine > Applikation per Webstart verbreitet und bevor wir eine unterstützte > Signatur drangepackt haben, gab das ständig Rückfragen. > Wenn man denen aber vorher, also z.B. auf der Seite von der sie die Java-Anwendung starten, ein paar aufklärende Worte über Zertifikate und deren Sinn und Zweck erklärt würde sich diese Unsicherheit legen und das nächste Mal wüssten sie bescheid.
>> Das es nicht Bestandteil eines Browsers ist habe ich weder behaupt noch >> Deine Aussage von gestern bestritten. >> Davon abgesehen, kann man wohl jedem Programm, dass CA-Zertifikate >> benutzt auch entsprechende hinterlegen, die nicht bei der Installation >> vorhanden sind. Im Fall von Java-Webstart ist das bei Linux relativ >> einfach, bei Windows etwas komplizierter (hat mich ca. eine halbe Stunde >> bei google gekostet ;-) ) Darüber hinaus bei Browsern und >> E-Mailprogrammen usw. > > Ja schön, und wozu soll das Ganze gut sein? > - Es kann niemand sehen außer Dir. > - Für Dich ist es überflüssig, schließlich vertraust Du OSM auch ohne > Signatur. Ich glaube wir drehen uns hier im Kreis. Das es durchaus sinnvoll ist, Webseiten mit Passwörtern u.ä. per SSL zu verschlüsseln steht glaube ich außer Frage. Nun kann man für ein solches Server-Zertifikat eine Menge Geld ausgeben - oder eine kostenlose Variante nehmen. Diese erfordert derzeit vom Nutzer ein entsprechendes Root-Zertifikat in seinen Browser zu importieren. (Beim IE funktioniert das sogar mit nur einem Klick.) Ebenso macht es heutzutage durchaus Sinn seine E-Mails zu signieren - was ja auch auf der Mailingliste einige mit PGP tun. Ich glaube also schon, dass es sinnvoll ist und keine großen Klimmzüge erfordert. Im Fall von Browser und E-Mailclient ist es sogar einfacher als z.B. ein EMail-Konto einzurichten. > - Es ist widersinnig: Wenn jeder Webstart sein x-beliebiges > Rootzertifikat unterjubeln könnte, wäre die Chain of Trust ausgehebelt Schau mal unter home.ms-team.de, da sollte mit drei Bildchen das Vorhandensein des entsprechenden Zertifikates in Java Erkennbar sein. Damit ist aber das Chain of Trust nicht ausgehebelt. Was besagt denn das ganz: Die CA-Stelle bestätigt, dass das verwendet Client-Zertifikat von ihr an diese Person/Email-Adresse/Server ausgegeben wurde und das die Person die ist, die sie behauptet zu sein - mehr nicht. Deswegen heißt es doch aber noch lange nicht, dass das Java-Programm keinen Schaden anrichtet. > Wenn Du irgendeine CA außerhalb der Chain of Trust von Webstart > unterstützen willst, ehrt Dich das, aber es hat nix mit JOSM per > Webstart zu tun und hilft uns hier nicht weiter. Deswegen hatte ich auch angeboten, die Diskussion darüber zu beenden. > Es macht wohl keinen Sinn weiterzureden, ich versuch bloß immer noch den > Sinn in Deinem Standpunkt zu verstehen: Es kommt mir die ganze Zeit so > vor, als ob wir hier einen Kuchen backen wollen - und Du kennst einen > hervorragenden Eisenwarenhändler und willst uns überreden unsere Zutaten > lieber dort einzukaufen. Um bei Deinem Beispiel zu bleiben würde ich eher sagen, dass Du eine Backmischung verwenden willst - die gut schmeckt und einfach zu backen ist und ich rühre lieber die Zutaten selbst zusammen - was zwar etwas aufwendiger ist, aber dafür mehr Möglichkeiten bietet. -- Gruß Mario
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Talk-de mailing list Talk-de@openstreetmap.org http://lists.openstreetmap.org/listinfo/talk-de
