News Freier Text-Editor: Notepad++ 8.8 bringt Fehlerbehebungen, aber auch Neues
- Ersteller mischaef
- Erstellt am
- Zur News: Freier Text-Editor: Notepad++ 8.8 bringt Fehlerbehebungen, aber auch Neues
Die compilierte Version gehostet in dem Github Projekt, das auch den QuellCode enthält, erscheint mir bereits vertrauensvoller als ein Zertifikat, dem man erst noch nachgehen müsste.
Dennoch könnte das Kompilat sowohl mit und ohne Zertifikat auf einem abweichenden Quellecode fußen.
Möchte man selbst das ausschliessen, kann man bei Open source den build ja auch selbst vornehmen. Womit man sicherheitstechnisch noch über einem Zertifikat stünde.
Ich sehe daher nicht, dass sich Don Ho (oder wie auch immer) überhaupt so sehr drehen müsste, wie er es freundlicherweise bereits wieder tut.
Dennoch könnte das Kompilat sowohl mit und ohne Zertifikat auf einem abweichenden Quellecode fußen.
Möchte man selbst das ausschliessen, kann man bei Open source den build ja auch selbst vornehmen. Womit man sicherheitstechnisch noch über einem Zertifikat stünde.
Ich sehe daher nicht, dass sich Don Ho (oder wie auch immer) überhaupt so sehr drehen müsste, wie er es freundlicherweise bereits wieder tut.
Zuletzt bearbeitet:
Evil E-Lex
Captain
- Registriert
- Apr. 2013
- Beiträge
- 3.074
Ein völlig nutzloses Konzept wie Code-Signing mit "ist halt notwendig" zu verteidigen ist schon speziell.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 8.613
Doch. Hast Du. Hast Du sogar selbst zugeben.MaverickM schrieb:
Siehe Posting #122. Dort steht sogar der Satz
Naja. Wie Du selbst ja schon einräumst, hinkt der Vergleich. Da ist es eben Kraft Gesetz festgelegt.MaverickM schrieb:
Der Unterschied ist also erheblich.
Wer entscheidet denn, was "ordentlich" ist und was nicht?MaverickM schrieb:
Das ist doch nur Meinung und sonst nix weiter.
Wenn ich ein Projekt beurteile, kann ich das doch nur nach deren Zielen tun. Und dann kann ich halt draufgucken, ob die zum erreichen ihrer Ziele geeignete Mittel einsetzen oder nicht.
Wenn deren Ziel jetzt wäre, eine DAU-freundlichen Editor zu entwickeln, den man problemlos Installieren kann ohne das Hürden oder verunsichernde Meldungen auftauchen und dann machen die das so, dann kann ich denen das natürlich zu Recht vorwerfen.
Vielleicht ist das aber gar nicht deren Ziel. Vielleicht ist deren Ziel ja eher, sich nicht unnötige Abhängigkeiten reinzuziehen. Und dann ist dieses nicht auf die vorhandene Code-Signing-Infrastruktur zu setzen - aus genannten Gründen - völlig legitim und nachvollziehbar.
Und über solche Dinge lässt sich dann auch diskutieren.
Das tust Du aber nicht. Du stellst irgendwelche Meinungen und Behauptungen in den Raum, ohne sie aber zu unterfüttern. Und ohne auf die Punkte einzugehen, die man Dir nennt. Stattdessen wiederholst Du Dich nur.
So eine "Diskussion" ist irgendwie witzlos.
andy_m4 schrieb:
Nein, habe ich nicht. Das eine ist die Tatsache, dass ich der Meinung bin, dass man - wenn man auf einer Plattform veröffentlichen will - sich auch an die Regeln zu halten hat. Das heißt: Zertifikat.
Das andere ist die Meinung zum Thema Zertifikate an sich. Und die habe ich nirgends kundgetan.
andy_m4 schrieb:
Derjenige, der die Plattform-Regeln aufsetzt.
andy_m4 schrieb:
Nein, ist es nicht. Nur weil Du bei dem einen keine Wahl hast, bei dem anderen schon (Weil dich niemand zwingen kann), ist es trotzdem inhärent das gleiche.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 8.613
Na das sind ja jetzt keine Regeln in dem Sinne, das die irgendeine Verbindlichkeit hätten.MaverickM schrieb:
Das sind ja eher Wünsche (oder von mir aus auch Empfehlungen), die der Hersteller hat. Und wünschen kann man sich ja viel. Heißt aber nicht, das man da als Nutzer mitgehen muss. Ist ja schließlich sein Gerät.
Und wenn ich die Signaturvorgabe "umgehen" will ist das ja auch kein finsterer Hack oder so, sondern das lässt sich ja auf offiziellen Wege bewerkstelligen. Würde das Microsoft also ernst meinen, würden sie das ja nicht anbieten.
Insofern hält man sich an "die Regeln" wenn man das umgeht.
Möglicherweise hast Du Recht.n/a schrieb:
Man kann ja auch zu bestimmten Dingen ja auch eine unterschiedlich Meinung haben und ich finde das auch vollkommen in Ordnung.
Und wenn jemand sagt: "Ist ja doof, das Notepad++ keine offizielle Signatur hat und es wäre doch so viel bequemer usw. wenn sie das hätte"
dann würde ich auch gar nichts dazu sagen. Ich würde mit der Meinung zwar nicht übereinstimmen, aber ich hab kein Problem damit, wenn wer das anders sieht.
Aber hier wurde ja gleich ne Fundamentalkritik rausgehauen mit Absolutheitsanspruch "Man muss es so machen und wenn mans nicht so macht, ist das unprofessionell."
Das ist dann schon eine andere Hausnummer.
Und dann muss man auch damit rechnen, das jemand nach hakt und sich nicht mit einem "iss aber so" abspeisen lässt.
Zuletzt bearbeitet:
L
LotusXXL
Gast
Ich zitiere mal einen Kommentar eines Users bei Dekmodder. Ich glaube, der bringt es auf den Punkt und macht deutlich, worum es hier geht:
https://www.deskmodder.de/blog/2025...-cve-2025-49144-zertifikat-und-mehr/#comments
Quelle:
https://www.deskmodder.de/blog/2025...-cve-2025-49144-zertifikat-und-mehr/#comments
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 8.613
Ich greife das gleich mal auf, um dazu was zu sagen. :-)LotusXXL schrieb:
Es entlarvt halt sehr schön, was für ein Unsinn das ist.
Code-Signing wird ja immer damit "verkauft", das es die Sicherheit erhöht. Und ob da nun "Don Ho" oder "Lieschen Müller" drin steht, das man ja den Programmcode nicht automatisch gut oder böse.
Wenn man ordentlich machen wollte, müssten Firmen wie Digicert eigentlich hingehen und das Programm (zumindest grob) auditieren und dann halt unterschreiben, das alles ok ist. Das macht natürlich Arbeit, weil irgendwer sich das halt angucken muss und dann wäre auch eine Gebühr voll gerechtfertigt.
Was Digicert aber macht, ist sich die Arbeit zu sparen und trotzdem eine Gebühr zu kassieren. Und die im Wesentlichen dafür, das sie 'nen openssl-Befehl absetzen.
By the way. Der Vorschlag von Notepad++ war ja, dann halt Notepad++ einzusetzen, was ich auch vollkommen in Ordnung finde. Das ist ja bei anderen Programmen auch so. Selbst bei Microsoft-eigenen Programmen steht ja da nicht irgendwie der verantwortliche Chefentwickler drin, sondern Microsoft.
Und das Don Ho da nicht seinen bürgerlichen Namen drin stehen haben will, kann ich auch voll verstehen. Nachher kommt irgendwer an und klagt, weil er meint, da wären irgendwelche Patente verletzt oder so ein Blödsinn. Und es nützt einem ja dann oft auch nichts, wenn man im Recht ist, weil den Stress und die Kosten für die Verteidigung hat man ja trotzdem.
Und das man sich Risiko nicht aussetzen will, bloß weil man kostenlos Open-Source-Software entwickelt und anbietet finde ich total nachvollziehbar.
Und was Digicert angeht: Die wollen nicht nur keine Arbeit damit haben, sondern auch keine Verantwortung übernehmen. Deshalb sind die ja auch so erpicht darauf, das Don Ho seinen bürgerlichen Namen da rein schreibt.
Falls dann irgendwer ankommt und sagt: "Hey. Ich hab hier Malware und da klebt euer Zertifikat dran", können die sich immer rausreden mit: "Ähm ja. Wir garantieren ja auch nicht, das da keine Malware drin ist, aber wir können Dir einen Verantwortlichen nennen, zu dem Du gehen kannst."
Das ideale Geschäftsmodell: Keine Arbeit, kein Risiko. Aber trotzdem eine Gebühr kassieren. Die zudem einen gewissen Schutzgeld-Charakter hat so a-la "Wäre doch schade, wenn Windows meckert, wenn der User Dein Programm installieren will."
Zuletzt bearbeitet:
andy_m4 schrieb:
Sorry, aber was für ein hochgradiger Unsinn. Das hat schon seinen Sinn, warum Zertifikate auf natürliche Personen oder Gesellschaften ausgestellt werden müssen.
Wenn Du nichts von Zertifikaten hältst, was treibst Du dann im Netz? Hinweis... HTTPS...
Zuletzt bearbeitet:
(Ausdrucksweise)
Evil E-Lex
Captain
- Registriert
- Apr. 2013
- Beiträge
- 3.074
Welchen denn, außer dass den Zertifikatsbuden das Konto gefüllt wird?MaverickM schrieb:
Davon ab sind Code-Signing und Transportverschlüsselung zwei Paar Schuhe. Bei Let's Encrypt findet keinerlei Validierung der Personen/Gesellschaften statt. Verschlüsselt ist es trotzdem und niemanden juckt's. Außer den Zertifikatsbuden natürlich. Die können plötzlich nicht mehr für ein einfachen Shellscriptaufruf hunderte Euro verlangen, weil es das gleiche Maß an Vertraulichkeit nun gratis gibt.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 8.613
Naja. Dann verrate mir doch den Sinn, statt so überheblich daher zu reden.MaverickM schrieb:
https sagt auch nichts darüber aus, ob eine Webseite gut oder böse ist.MaverickM schrieb:
Wie mein Vorredner schon sagte, ist der primäre Sinn von https, das die Übertragung verschlüsselt abläuft und auf den Weg zu mir auch nix manipuliert wird.
Und ja. Das gibt Sicherheit.
Und jetzt geh mal auf die Notepad++-Seite und die verwendet https. Dem Betreiber der Webseite vertraue ich ja sowieso, sonst würde ich ja nicht auf die Idee kommen, sein Programm zu benutzen.
Und https stellt für mich sicher, das der Download unterwegs auch nicht manipuliert wurde.
Welchen Mehrwert bringt mir Digicert-Zertfikat jetzt noch mal?
Merkst selbst, oder?
Evil E-Lex schrieb:
Gegenfrage, welchen Sinn hat ein Zertifikat, dass sich jeder Clown ausstellen kann?
Let's Encrypt ist an sich eine feine Sache für viele simple Sachen. Aber nicht umsonst ist die Laufzeit begrenzt. Zudem hat es auch andere Einschränkungen:
Evil E-Lex schrieb:
Das ist schlichtweg falsch. Let's Encrypt bietet keine Extended Validation, keine Wildcard Zertifikate, gar nichts.
andy_m4 schrieb:
Wo hätte ich denn irgendwas dergleichen geschrieben!?
Evil E-Lex
Captain
- Registriert
- Apr. 2013
- Beiträge
- 3.074
EV ist doch ohnehin tot, seitdem es die grüne Adresszeile nicht mehr gibt. Und was Wildcard-Certs angeht:MaverickM schrieb:
@Evil E-Lex
OK, letzteres war mir tatsächlich nicht bekannt.
OK, letzteres war mir tatsächlich nicht bekannt.
Ich meine, die DNS Challange für Wildcard Certs (also für den
* in den SANs) ist aber nicht ganz trivial. Deshalb issued man eigentlich für jede Subdomain ein eigenes Cert an. Und ja, man muss nur eine E-Mail-Adresse zu sich angeben, die aber nicht im Cert steht