[Discuss] Node-Security

David Hopfmueller (spam-protected)
Mo Mai 16 18:45:00 CEST 2016 

On 05/16/2016 05:29 PM, Erich N. Pekarek wrote:
> Am 2016-05-16 um 15:30 schrieb David Hopfmueller:
>> On 05/16/2016 02:17 PM, Erich N. Pekarek wrote:

Hi,

>> Das heisst, AirOS ist open-source? Das waere mir neu. Hast Du einen
>> Link zum Quellcode?
> "Some of the software in the firmware is licensed under the GNU General
> Public License and other Open Source and Free Software licenses. You can
> find the complete and corresponding source in the GPL archive."

Ja, der GPL-Teil, wo AFAIR nicht mal die Kernel-Patches zur Verfuegung 
gestellt worden sein sollen (nur die Upstream-Sources).

> Also im Zweifel kann man den Support anschreiben, um den Code inklusive
> der proprietären Binaries, die für einen vollständigen Build
> erforderlich sind, anzufordern.

Was laut diverser Quellen (inkl. Christoph Loesch in diesem Thread) 
unbeantwortet bleibt. Also handelt es sich spaetestens fuer aktuelle SW 
und HW um Closed-source-Geraete. Kann man auch gleich MikroTik nehmen.

[Auto-Update]
> Scherz beiseite: Konkrete Vorschläge, wie man das realisieren kann?

Die Turris-Leute wollen das z.B. fuer den Omnia implementieren. Mal 
schauen, wie sie das umsetzen (gibt's wahrscheinlich schon irgendwo auf 
GitHub), aber allzu kompliziert sollte das nicht sein, soweit getestete 
Updates verfuegbar sind.

> --verbose? Gargoyle, DD-WRT, Lede, Superwrt, ...? oder doch die
> Überreste von Backfire Vienna oder gar noch älteres?

Generell alle Knoten, die vor Jahren mal ein Image bekommen haben mit 
der Aufforderung: "das flashen", die halt immer noch genau auf diesem 
Stand sind. Schaetzomativ der Grossteil der Geraete.

>> So etwas duerfen wir einfach nicht als Standard-Loesung billigen oder
>> gar empfehlen.
> Alternative? Verbote?

Zuerst einmal die kollektive Erkenntnis, dass wir das nicht wollen. Und 
dann eine wohl durchdachte Basis fuer ein v642-Image, dessen Pflege 
nicht von der Verfuegbarkeit einer einzelnen Person abhaengt.

>>> Besinnnen wir uns auf diese Fragen, bevor wir uns auf konkrete
>>> strategisch-technische Maßnahmen festlegen, die über ein Stopfen von
>>> Löchern hinausgehen:
>> Gerne, aber nicht ich && in diesem Thread.
> Also business as usual ;-)

Es gibt genug Moeglichkeiten, sich effektiv in der Richtung 
einzubringen, es muss nicht jeder Thread (a la Godwin's Law) in dieser 
Ecke enden.

CU,
David

Mehr Informationen über die Mailingliste Discuss