# Cucumber Plugin Installation . Eclipse Warnmeldung



## pixelhead (7. Sep 2021)

Hallo zusammen,

bei der Installation von Cucumber 
(Eclipse -> Marketplace: Cucumber Eclipse Plugin 1.0.0.202106240526) 
für ein Projekt in Eclipse bekomme ich nach Klick auf "Install" eine 

Hinweismeldung 1: 
"Review Licenses. There are no licenses to review. Either the software does not specify a license, or the license has already been reviewed and approved."

Klick auf "Finish"

Hinweismeldung 2:
"Warning: Installing unsined software for which the authenticity or validity cannot be established. Continue with the installation?"

Ich ging erstmal auf cancel. 

Was ist da los? Ich kenne die Quellen auf Marketplace nur als sicher.

Wie kriege ich jetzt sicher Cucumber in meinem Projekt hinzugefügt?

Danke schon mal vorab und viele Grüße


----------



## Robert Zenz (7. Sep 2021)

Also zu Hinweis 1: Das Projekt gibt keine Lizenz fuer das Plugin an. Das kann oder auch nicht von Interesse fuer dich sein, wahrscheinlich aber eher nicht. Da musst du einmal nachfragen was das Plugin macht, wenn es zum Beispiel Code generiert oder aehnliches, waere eine Lizenz zu haben schon besser. Mit 99,99% Wahrscheinlichkeit aber komplett uninteressant fuer dich als Benutzer.

Hinweis 2: Das Plugin wurde nicht mit einem Zertifikat signiert welches so bestaetigt beziehungsweise geprueft werden kann. Diese Pruefung ist interessant wenn du sichergehen willst dass die Software welche du installierst wirklich von diesem Entwickler stammt. Zum Beispiel kann man damit auch Man-In-The-Middle Attacken abfangen welche dir versuchen Schadsoftware unterzujubeln. Ebenfalls mit 99,99% Wahrscheinlichkeit uninteressant fuer dich als privaten Benutzer, weil dein PC, dein Netzwerk, deine Internetleitung oder der Marketplace-Server komprimiert sein muss mit Schad-Software damit dies ausnutzbar ist...grob.

Zu letzterem gilt dass ein Plugin Entwickler ein "offizielles" Zertifikat braucht um diese Signierung machen zu koennen, dieses Zertifikat kostet so aber Geld weil es von einer "offiziellen" Stelle ausgestellt werden muss ("offiziell" in Anfuehrungszeichen weil ein paar Firmen an der Spitze der Zertifikatskette sitzen welche als Vertrauenswuerdig angesehen werden). Da es Geld kostet, haben es aber viele Projekte nicht.


----------



## pixelhead (7. Sep 2021)

Danke erstmal.

Unangenehm. Das ist nicht mein eigener Rechner, deswegen werde ich es nicht wagen da was unsicheres aufzuspielen. Keine Ahnung was ich jetzt alternativ machen kann.


----------



## Robert Zenz (7. Sep 2021)

Also "uninteressant" im Sinne von "ohne Auswirkungen fuer dich, aber im Hinterkopf halten und wissen was es bedeutet".

Zum Beispiel nicht signierte Plugins in einer Firmenumgebung zu installieren koennte problematisch sein, unter Umstaenden, wenn es dir die IT Fachperson nicht explizit erlaubt hat. Im Zweifelsfall, immer die Zustaendigen fragen.


----------

