1 |
On Fri, 2006-07-28 at 18:34 +0200, Aurélien Francillon wrote: |
2 |
|
3 |
> Tu peux ajouter un deuxiemme gros probleme: la securité de tout ca ... |
4 |
> |
5 |
> Coment peut tu etre sur que le package binnaire que tu télécharge ne |
6 |
> contiendra pas de virus, chevaux de troie, rootkit ou autres friandises ? |
7 |
> |
8 |
> Faire confiance aux dev gentoo et aux serveurs rsync on a pas trop le choix |
9 |
> et semble plutot raisonable. Ca sera mieux quand le systeme de verification de |
10 |
> signatures sera mis en place |
11 |
> |
12 |
> Faire confiance a quelques personnes bien identifiées qui administrent un |
13 |
> serveur de packages binnaires semble etre acceptable pour certains ... |
14 |
> au pire si on trouve un jour une saleté ajoutée dans un pkg on sait "sur qui |
15 |
> tapper" |
16 |
> |
17 |
> Faire confiance a nimporte qui sur un reseau P2P de distribution de packages |
18 |
> binaires ... avec potentiellemnt des milliers de contributeurs ca me semble |
19 |
> de la folie ! Ca devient vraiment trop facile de prendre le controle d'une |
20 |
> pachine a distance ;) A moins d'avoir un systeme de gestion de "reputation" |
21 |
> et des signatures GPG ... mais c'est pas simple a mettre en oeuvre... |
22 |
> |
23 |
> Aurélien |
24 |
> |
25 |
|
26 |
Le problème de la sécurité est évident, je te l'accorde mais il serait |
27 |
possible de vérifier l'authenticité d'un paquet binaire en le mettant à |
28 |
disposition sur le P2P |
29 |
soit en mettant en place un système d'authentification des fournisseurs |
30 |
de pkgs soit tout simplement par élimination des paquets binaires |
31 |
n'ayant pas un nombre de fournisseurs différents jugés comme suffisant. |
32 |
C'est à creuser mais cela me semble pas insurmontable. Et pourquoi pas |
33 |
valider les hashcodes des paquets par les devs gentoo ou créer une |
34 |
entité gentoo pour cela... |
35 |
|
36 |
Zentoo |
37 |
|
38 |
-- |
39 |
-------------------------------------------------------------------------------------- |
40 |
Jean-François Maeyhieux |
41 |
-------------------------------------------------------------------------------------- |
42 |
PGP Public Key - Key ID = 63DB4770 Tuttle (JFM) <b4b1@××××.fr> |
43 |
http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0x63DB4770 |
44 |
-------------------------------------------------------------------------------------- |