[gnucash-de] Unsignierte Pakete von alioth

[Jörg Sommer]

Hallo Stephan,

Stephan Windmüller <stephan.windmueller at cs.uni-dortmund.de> wrote:
> Gestern kam wieder ein Update der Debian-Pakete für GnuCash von alioth.
> Genau wie beim letzten Mal warnte mich das Paketsystem, dass die Pakete
> nicht aus einer verstrauenswürdigen Quelle stammen. Gerade bei Aktionen
> wie Online-Banking wird mir da doch etwas mulmig.
>
> Leider ist die Startseite[0] wenig informativ. Weiß jemand, wie man den
> Entwicklern nahelegen könnte, ihre Pakete zu signieren?

Und Du bist Dir sicher, dass das dann nicht nur eine kosmetische
Veränderung wäre? Hol Dir die Datei *.changes und ruf gpg --verify damit
auf. Wenn das passt, kannst Du die MD5‐Summe darin mit der der Datei
vergleichen.

Wir können das Archiv nicht signieren, weil die Signierung automatisch
geschieht. Wir müssten den privaten Schlüssel dann auf den Server legen
und noch ein paar andere schräge Sachen machen. Wenn Micha nicht noch
eine Idee hat, ich weiß nicht, wie wir es anders machen sollten.

Du hast aber auch die Möglichkeit zu:

% apt-get source gnucash
% cd gnucash-*
% wget -O- -q http://aqbanking.alioth.debian.org/gnucash-2.2.4.patch | \
    patch -p1
% dpkg-buildpackage -uc -b
% sudo dpkg -i ../*.deb

Schöne Grüße, Jörg.
-- 
Die Erde ist das einzigste Irrenhaus, das von seinen eigenen Insassen
verwaltet wird.
                                                (U. Schmidt)