[Berlin-wireless] WICHTIG/IMPORTANT - freifunk-batman: Sicherheitslücke/security problem

Stefan Sperling stsp
So Nov 18 13:31:03 CET 2007 

On Sat, Nov 17, 2007 at 09:39:48PM +0100, Björn wrote:
> echt krank wie hier manche austicken, kann man nur den
> kopf schütteln.

Für den Ton habe ich mich schon entschuldigt, den hätte ich
besser treffen können. Tut mir leid.

Aber "krank" und "austicken" ist auch nicht nett...

> installier einfach das neue paket für
> das webif und gut.

Nee, eben gerade nicht gut.

Ich will nicht als dummer Konsument behandelt werden,
vor allem nicht in einem Projekt das auf Kooperation aufbaut.

> so wie ihr drauf seid, wird so
> schnell keiner mehr eine sicherheitslücke bekanntgeben.
> das wird ins cvs klammheimlich eingepflegt

> und wer nicht
> regelmäßig updated, hat halt pech, wenn der router auf
> einmal nicht mehr der eigene ist.

Ummm... diese beiden Sachen hängen gar nicht zusammen.

Wie wärs mit:

  so wie ihr drauf seid, wird jede sicherheitslücke sofort
  komplett und offen bekanntgeben.
  das wird ins cvs eingepflegt und wer nicht
  regelmäßig updated, hat halt pech, wenn der router auf
  einmal nicht mehr der eigene ist.

Nebenbei, im CVS (ff-devel) ist auch nur ein batman ipkg,
auf Lui's Seite scheints nur binaries zu geben. Die einzige
Möglichkeit an den betroffenen code zu kommen scheint
"ipkg auf WRT installieren und webinterface manuell diffen"
zu sein.

Das macht es einem nicht gerade leicht mitzuhelfen das Loch
zu stopfen, die ff-firmware scheint ein elfenbeinturm
projekt zu sein :(

Das zeigt sich z.B. auch in massig leeren log messages im CVS - die
Entwickler scheinen generell wenig wert auf transparenz zu legen.

> und die paar tage geduld wirst du wohl noch haben,
> bis lui sagt, wo im webif ein möglicher exploit sein
> könnte.

Schau dir meine Argumentation noch mal genau an. Vielleicht
verstehst du dann dass es mir um ein prinzipielles Problem mit
dem Umgang mit Sicherheitslücken geht, und nicht um Zeit.

> sucht euch ne beschäftigung und lasst die leute werkeln.

Björn, mir zu sagen ich solle mir eine andere beschäftigung suchen
ist dreist.

Ich habe schon selbst viel Zeit und Arbeit mit reingesteckt in
batman, z.B. coding style diskussionen mit Marek und code für BSD
support, und freifunk generell, z.B. viele stunden support für
Neulinge die es dann auch geschafft haben ihre nodes selbständig
zu managen, und open source/free software generell, siehe meine
homepage die unten verlinkt ist.

Ich meine dass ich durchaus das recht habe meine Meinung zu Vorgängen
in der Community zu äussern wenn ich finde das etwas nicht in Ordnung ist.

Ich finde auch deinen Input in die community wertvoll.
Mir fällt es jedes mal auf wenn du einen bug in der ff-firmware
auf der mailing liste reportest. Wenn wir bzgl. Umgang mit
Sicherheitslücken nicht einer Meinung sind ändert das von meiner
Seite aus nichts daran dass die wertvolle arbeit leistest.

Im Endeffekt entscheidet bei einem gesunden Projekt sowieso die
community wie etwas gemacht wird, und nicht einzelne Personen.
Einzelne Personen können nur ihre Machtposition innerhalb der
community missbrauchen (IMHO so gerade durch Lui, Jo-Philipp und
Sven-Ola geschehen) oder darauf hinweisen wie sie es gerne hätten.
Letzteres habe ich getan. Was (ausser vielleicht der Ton) stört dich
daran?

-- 
stefan
http://stsp.name                                         PGP Key: 0xF59D25F0
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 187 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20071118/a86e5150/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin