Tor und die Eigenkompilate

Bezüglich Tor brauche ich wohl keine Worte mehr zu verlieren, das haben wir hier schon getan, ebenso auch warum man TOR nutzen sollte. Zu Windows braucht man dazu nicht viel zu sagen, das Paket ist einfach zu installieren und somit recht pflegeleicht in der Bedienung.

Aber Torpark beispielsweise sollte gemieden werden, nennt sich nun xB-Browser. Warum und wieso kann man hier nachlesen. Soweit so gut, nun sah ich das inzwischen auch Eigenkompilate von Tor im Netz auftauchen, kann man auch beispielsweise auf Essential Freebies im entsprechenden Posting beobachten — Finger weg! Und ebenso Finger Weg von Testversionen.

Die Tor-Entwickler geben nicht umsonst den Hinweis darauf, das Tor eben noch keine 100% Sicherheit bietet, eine Testversion ist zum *Testen* da und keineswegs zum produktiven Einsatz gedacht. Warum aber nun die Meidung von Eigenkompilaten? FreeBSD, Debian etc. bieten doch auch derlei Päckchen an? Nun die Leute dort tun die Arbeit weil man ihnen vertraut, weil sie das Wissen darum besitzen. Eine falsche Compiler-Konfiguration etc. kann schon nicht absehbare Folgen haben, von fehlenden wichtigen Patches oder gar fehlendem Vertrauen in die jeweilige Person ganz zu schweigen. Die Maintainer der Pakete für die bekannten Linux-Distros bzw. BSD-Forks sind in der Regel auch auf den entsprechenden Mailinglisten vorzufinden, man kennt diese und man weiß auch um ihre Fähigkeiten.

Unter Windows hingegen ist es in Mode gekommen allerlei Dinge neu zu kompilieren, wenn denn der Quellcode vorhanden ist. Man packt etwas neu zusammen oder schnappt sich gar die allerneueste Testversion etc. Möchte man Sicherheit, was anzunehmen ist bei der Benutzung von Tor, sollte man auch einige Parameter beachten: Vertrauenswürdigkeit der Person — sprich die Verifizierung mittels anderer fähiger Leute, keine Testversionen oder Versionen mit fragwürdigen Patches. Mißachtet man dies kann man seine 90% Sicherheit vielleicht schon um 20 Prozentpunkte herabsetzen. Also zumindest unter Windows sollte man _nur_ zu den offiziellen Paketen greifen, unter freien Systemen solte man sich erkundigen wie diese Dinge gepflegt werden und vor allem von wem. Das gilt selbstverständlich auch für alle anderen sicherheitsrelevanten Applikationen und im weiteren Sinn für das System selbst.

Ein Wort noch zum mitgelieferten Vidalia, diese nette GUI wird oft als Crap bezeichnet und als Argument für die Neuerstellung eines Pakets unter Windows dargereicht. Dem ist aber nicht so, Vidalia ist ein probates Werkzeug das auch informationstechnischen Nutzen bezüglich Tor besitzt. Selbst Leute die bei FreeBSD Commiter sind und der Desktop-Bloatware KDE/Gnome entsagen wissen um diesen Umstand. Es ist umgekehrt also viel crap bei eben diesen Eigenkompilaten vorzufinden, was die Vehmenz oft postulierter Aussagen pro dem warum massiv verdeutlicht.

Augen auf bei der Sicherheit. Zur Sicherheit gehört eben mehr als nur die Nutzung einer Applikation!

Wenn diese Denkweise übertrieben erscheint, dann sollte man aber auch darüber nachdenken ob Tor und vielen Bereichen nicht paranoid übertrieben erscheint. Ist dem nicht so, gilt wohl auch hier das Motto wer A sagt, muß auch B sagen 😉

Eine Antwort zu “Tor und die Eigenkompilate”

  1. c sagt:

    Mal abgesehen vom (inzwischen) unsäglichen Torpark, oder halt xB-Browser, sind mir keine anderen Tor-Kompilate bekannt, und das ist eventuell auch gut so.
    Es gibt zwar noch OperaTor, aber soweit ich das beurteilen kann ist das lediglich ein Bundle aus einer portablen Opera-Version, sowie Tor und Privoxy.
    Privat nutze ich Tor seit einigen Monaten und habe diese bisher immer von tor.eff.org bezogen. Und das bleibt auch so 😉

RSS-Feed abonnieren