| 1 |
On Fri, 2006-07-28 at 18:34 +0200, Aurélien Francillon wrote: |
| 2 |
|
| 3 |
> Tu peux ajouter un deuxiemme gros probleme: la securité de tout ca ... |
| 4 |
> |
| 5 |
> Coment peut tu etre sur que le package binnaire que tu télécharge ne |
| 6 |
> contiendra pas de virus, chevaux de troie, rootkit ou autres friandises ? |
| 7 |
> |
| 8 |
> Faire confiance aux dev gentoo et aux serveurs rsync on a pas trop le choix |
| 9 |
> et semble plutot raisonable. Ca sera mieux quand le systeme de verification de |
| 10 |
> signatures sera mis en place |
| 11 |
> |
| 12 |
> Faire confiance a quelques personnes bien identifiées qui administrent un |
| 13 |
> serveur de packages binnaires semble etre acceptable pour certains ... |
| 14 |
> au pire si on trouve un jour une saleté ajoutée dans un pkg on sait "sur qui |
| 15 |
> tapper" |
| 16 |
> |
| 17 |
> Faire confiance a nimporte qui sur un reseau P2P de distribution de packages |
| 18 |
> binaires ... avec potentiellemnt des milliers de contributeurs ca me semble |
| 19 |
> de la folie ! Ca devient vraiment trop facile de prendre le controle d'une |
| 20 |
> pachine a distance ;) A moins d'avoir un systeme de gestion de "reputation" |
| 21 |
> et des signatures GPG ... mais c'est pas simple a mettre en oeuvre... |
| 22 |
> |
| 23 |
> Aurélien |
| 24 |
> |
| 25 |
|
| 26 |
Le problème de la sécurité est évident, je te l'accorde mais il serait |
| 27 |
possible de vérifier l'authenticité d'un paquet binaire en le mettant à |
| 28 |
disposition sur le P2P |
| 29 |
soit en mettant en place un système d'authentification des fournisseurs |
| 30 |
de pkgs soit tout simplement par élimination des paquets binaires |
| 31 |
n'ayant pas un nombre de fournisseurs différents jugés comme suffisant. |
| 32 |
C'est à creuser mais cela me semble pas insurmontable. Et pourquoi pas |
| 33 |
valider les hashcodes des paquets par les devs gentoo ou créer une |
| 34 |
entité gentoo pour cela... |
| 35 |
|
| 36 |
Zentoo |
| 37 |
|
| 38 |
-- |
| 39 |
-------------------------------------------------------------------------------------- |
| 40 |
Jean-François Maeyhieux |
| 41 |
-------------------------------------------------------------------------------------- |
| 42 |
PGP Public Key - Key ID = 63DB4770 Tuttle (JFM) <b4b1@××××.fr> |
| 43 |
http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0x63DB4770 |
| 44 |
-------------------------------------------------------------------------------------- |
Archives