[Discuss] [Fwd: Re: interface ID from human name how to?]
Bernd Petrovitsch
(spam-protected)
Mi Jun 14 11:57:35 CEST 2006
On Wed, 2006-06-14 at 11:27 +0200, Matthias Šubik wrote:
[...]
> Deinen hang zu rants in allen Ehren,
:-) Das war kein Rant.
> aber ich wollte nur eine positive Interpretationsmöglichkeit des von
> Aaron zitierten Dokuments vorlegen, nicht eine Zielscheibe für all
> das abgeben, was bei der Implementierung von IPv4 Technologien alles
> vergessen worden ist.
Das war damals wohl nicht nicht absehbar.
> Fakt ist:
> es gibt seit Jahrzehnten selbstkonfigurierende Netze, RS485
> Nodenummern, Appletalk, Firewire, und wahrscheinlich noch
> intelligentere die mir nicht einfallen.
Es gibt sicher keine "Intelligenz" außerhalb menschlicher Hirne -
allenfalls in Marketing- und Sales-Speak.
[...]
> Und wenn soetwas bei IPv6 mitbedacht wird, dass Kühlschrank, Toaster,
> usw. sich gleich mal verständigen können, und der User nur noch seine
> email in den Kühlschrank einstellt, und sich nicht darum kümmern muß,
> dass der Kühlschrank auch eine IP Adresse bekommt, und weiß wo sein
> Standardgateway ist, dann sehe ich das als Fortschritt, und nicht als
> Kontrollverlust.
Die Situation ist, daß sich der "Kontrollverlust" auf administrativer
Ebene abspielt und DHCP/autoconfig/zeroconf/... auf der
(selbstverständlich untergeordneten) technischen Ebene.
Natürlich wollen wir alle "zero-config" Netzwerke haben, aber immer nur
solange, wie sie die administrativen Randbedingungen nicht verlassen
*können*. Und DHCP als solches kann man ja v.a. auch ohne dynamische
IP-Adressen betreiben[0]. Voila.
Dann darf man die technischen Randbedingungen nicht vergessen - bei
meinem LAN in meiner Wohnung ist nun mal zu 100% kontrollierbar, wer und
was da angehängt wird (und wenn es mich wirklich juckt, liegt da halt
Optisches drin, dann gibt es auch keine Induktion mehr).
Bei "normalen" Access Points und 0xFF-Nodes schaut es natürlich anders
aus (und *jedem* eine Local-Link-IP-Adresse geben und dann geht ohne
SSL-mäßige Autentifizierung und Autorisierung nichts, ist ja auch nur
Frotzelei. Naja, man könnte ja dann die fremden Rechner mal absaugen
versuchen. Wenn sich jemand aktiv in *meinen* Access Point hängt, dann
will er eh nach meinem Spielregeln spielen und in denen ist das so
vorgesehen.).
Ich kann es auch anders formulieren: Wo hast du dein offenes Netz, wo
ich allen möglichen illegalen Schnickschnack treiben kann (und mein
weniger das Kopieren von MP3s oder Software), der allenfalls an dir
hängen bleiben wird. Natürlich hast du ein MAC-Adresse, aber das wird
kaum "meine" sein ....
*Vielleicht* kannst du das los werden, aber es ist auch nicht mein
Verständnis von "Verantwortung", daß das Argument "ich kenn mich nicht
aus" oder "ich will es ja nicht kontrollieren" als "ich bin nicht
Schuld" interpretiert wird. *Wenn* das so weiter geht (z.b. sind die
armen DAUs ja mach Meinung vieler auch für ihre virenverseuchten
Spamschleudern nicht verantwortlich, weil sie sich ja auch nicht
auskennen ...), wird es früher oder später einen "Internet-Führerschein"
geben müssen .....
> oder liege ich da falsch?
Wenn du ausschließlich auf der technischen Ebene unterwegs bist, sind
wir einer Meinung. Nur bin *ich* der Admin *meines* Nodes (bzw.
Netzwerks) - jeder andere kann auf seinem machen (oder eher nicht
machen), was er will, aber das muß ja nicht für alle gelten.
Wir können auch gerne "zero-config" machen, aber dann braucht es eine
entsprechenden vertrauenswürdige PKI u.U. und den Willen, das auch
durchzuhalten, damit man das anständig machen kann (und die PKI braucht
es sowieso eher früher als später, nachdem ja jeder MCSE bald weiß, wie
man MAC- und IP-Adressen faken kann).
> Oder haben wir uns einfach nur mißverstanden, und meinen doch das
> gleiche?
[ TOFU entsorgt ]
Bernd
[0]: Und ich hab noch nie von Security-Extensions/Sunoptions bei DHCP
gelesen, um wirklich sicheres DHCP implementieren zu können.
--
Firmix Software GmbH http://www.firmix.at/
mobil: +43 664 4416156 fax: +43 1 7890849-55
Embedded Linux Development and Services
Mehr Informationen über die Mailingliste Discuss