Fedora heeft een grote verandering doorgevoerd in de policy bij het installeren. Voortaan kunnen lokale gebruikers zonder privileges gesigneerde pakketten installeren. Dit werd pas opgemerkt toen iemand toevallig bij een bugreport vroeg waarom er niet om een rootwachtwoord werd gevraagd bij het installeren.

Richard Hughes, verantwoordelijk voor PackageKit bij Fedora antwoordde: “PackageKit staat je default toe om gesigneerde content van gesigneerde repositories te installeren zonder een wachtwoord. Het vraagt je alleen om te authenticeren als iets ongesigneerd is of als de handtekening niet klopt.”

Het allereerste commentaar daaronder is veelzeggend: "Het was fijn geweest als je dit had opgemerkt in de release notes." Daarna duurde het even voordat deze thread werd opgepikt, maar nu is hij al meer dan 100 reacties lang, waarin Fedora zelfs ‘de nieuwe Windows’ wordt genoemd.

Hughes verdedigt zich door te zeggen dat deze instelling goed is getest en niet onveilig is. De nieuwe default policy geldt alleen voor de desktopversie, niet voor de server. Volgens Hughes is er gekeken naar hoe de desktop wordt gebruikt, waarbij bleek dat dit de meest logische keuze was. Bovendien kunnen admins op netwerken met meerdere gebruikers deze instelling makkelijk weer terugzetten naar de oude situatie. Ook wijst hij erop dat dit negen maanden geleden uitgebreid en publiekelijk is besproken, en dat de instelling in Rawhide ook al op deze manier was gezet. Naar zijn mening is het niet iets dat teruggedraaid moet worden, het is gewoon een keuze voor een default.

De meeste mensen die reageerden zijn het niet met hem eens. Het wordt Hughes ook niet in dank afgenomen dat hij schrijft dat het hem niet veel kan schelen hoe Unix tot nu toe werkte. De nieuwe instelling wordt gezien als een breuk in het vertrouwen.

De discussie hierover is nog lang niet afgelopen. Het zou ons dan ook niet verbazen als in de volgende versie bij de installatie zal worden gevraagd hoe deze instelling moet worden gezet. Achteraf lijkt dan ook de logische keuze.

Bron: Techworld