| 1 |
On Friday 28 July 2006 18:44, Jean-François Maeyhieux wrote: |
| 2 |
> On Fri, 2006-07-28 at 18:34 +0200, Aurélien Francillon wrote: |
| 3 |
> > Tu peux ajouter un deuxiemme gros probleme: la securité de tout ca ... |
| 4 |
> > |
| 5 |
> > Coment peut tu etre sur que le package binnaire que tu télécharge ne |
| 6 |
> > contiendra pas de virus, chevaux de troie, rootkit ou autres friandises ? |
| 7 |
> > |
| 8 |
> > Faire confiance aux dev gentoo et aux serveurs rsync on a pas trop le |
| 9 |
> > choix et semble plutot raisonable. Ca sera mieux quand le systeme de |
| 10 |
> > verification de signatures sera mis en place |
| 11 |
> > |
| 12 |
> > Faire confiance a quelques personnes bien identifiées qui administrent un |
| 13 |
> > serveur de packages binnaires semble etre acceptable pour certains ... |
| 14 |
> > au pire si on trouve un jour une saleté ajoutée dans un pkg on sait "sur |
| 15 |
> > qui tapper" |
| 16 |
> > |
| 17 |
> > Faire confiance a nimporte qui sur un reseau P2P de distribution de |
| 18 |
> > packages binaires ... avec potentiellemnt des milliers de contributeurs |
| 19 |
> > ca me semble de la folie ! Ca devient vraiment trop facile de prendre le |
| 20 |
> > controle d'une pachine a distance ;) A moins d'avoir un systeme de |
| 21 |
> > gestion de "reputation" et des signatures GPG ... mais c'est pas simple a |
| 22 |
> > mettre en oeuvre... |
| 23 |
> > |
| 24 |
> > Aurélien |
| 25 |
> |
| 26 |
> Le problème de la sécurité est évident, je te l'accorde mais il serait |
| 27 |
> possible de vérifier l'authenticité d'un paquet binaire en le mettant à |
| 28 |
> disposition sur le P2P |
| 29 |
|
| 30 |
Ce qui revient a le recompiler avec exactement les memes |
| 31 |
options/compilateur/libraires juste pour verifier que c'est le meme ... |
| 32 |
> soit en mettant en place un système d'authentification des fournisseurs |
| 33 |
> de pkgs soit tout simplement par élimination des paquets binaires |
| 34 |
> n'ayant pas un nombre de fournisseurs différents jugés comme suffisant. |
| 35 |
|
| 36 |
"différents" comment on sait ca ... comme un meme fournisseur peut se faire |
| 37 |
passer pour plusieurs personnes il faut bien un systeme de reputation ... |
| 38 |
|
| 39 |
> C'est à creuser mais cela me semble pas insurmontable. Et pourquoi pas |
| 40 |
> valider les hashcodes des paquets par les devs gentoo ou créer une |
| 41 |
> entité gentoo pour cela... |
| 42 |
|
| 43 |
a mon avis il y a peu de chances d'avoir le support officiel de gentoo... le |
| 44 |
sujet a deja ete beaucoup discute je crois ... |
| 45 |
et aussi une idée similaire la : |
| 46 |
http://marc.theaimsgroup.com/?l=gentoo-dev&m=103071488514488&w=2 |
| 47 |
http://forums.gentoo.org/viewtopic.php?t=265559 |
| 48 |
|
| 49 |
bon courage ;) |
| 50 |
Aurelien |
| 51 |
|
| 52 |
|
| 53 |
|
| 54 |
-- |
| 55 |
gentoo-user-fr@g.o mailing list |
Archives