1 |
On Friday 28 July 2006 18:44, Jean-François Maeyhieux wrote: |
2 |
> On Fri, 2006-07-28 at 18:34 +0200, Aurélien Francillon wrote: |
3 |
> > Tu peux ajouter un deuxiemme gros probleme: la securité de tout ca ... |
4 |
> > |
5 |
> > Coment peut tu etre sur que le package binnaire que tu télécharge ne |
6 |
> > contiendra pas de virus, chevaux de troie, rootkit ou autres friandises ? |
7 |
> > |
8 |
> > Faire confiance aux dev gentoo et aux serveurs rsync on a pas trop le |
9 |
> > choix et semble plutot raisonable. Ca sera mieux quand le systeme de |
10 |
> > verification de signatures sera mis en place |
11 |
> > |
12 |
> > Faire confiance a quelques personnes bien identifiées qui administrent un |
13 |
> > serveur de packages binnaires semble etre acceptable pour certains ... |
14 |
> > au pire si on trouve un jour une saleté ajoutée dans un pkg on sait "sur |
15 |
> > qui tapper" |
16 |
> > |
17 |
> > Faire confiance a nimporte qui sur un reseau P2P de distribution de |
18 |
> > packages binaires ... avec potentiellemnt des milliers de contributeurs |
19 |
> > ca me semble de la folie ! Ca devient vraiment trop facile de prendre le |
20 |
> > controle d'une pachine a distance ;) A moins d'avoir un systeme de |
21 |
> > gestion de "reputation" et des signatures GPG ... mais c'est pas simple a |
22 |
> > mettre en oeuvre... |
23 |
> > |
24 |
> > Aurélien |
25 |
> |
26 |
> Le problème de la sécurité est évident, je te l'accorde mais il serait |
27 |
> possible de vérifier l'authenticité d'un paquet binaire en le mettant à |
28 |
> disposition sur le P2P |
29 |
|
30 |
Ce qui revient a le recompiler avec exactement les memes |
31 |
options/compilateur/libraires juste pour verifier que c'est le meme ... |
32 |
> soit en mettant en place un système d'authentification des fournisseurs |
33 |
> de pkgs soit tout simplement par élimination des paquets binaires |
34 |
> n'ayant pas un nombre de fournisseurs différents jugés comme suffisant. |
35 |
|
36 |
"différents" comment on sait ca ... comme un meme fournisseur peut se faire |
37 |
passer pour plusieurs personnes il faut bien un systeme de reputation ... |
38 |
|
39 |
> C'est à creuser mais cela me semble pas insurmontable. Et pourquoi pas |
40 |
> valider les hashcodes des paquets par les devs gentoo ou créer une |
41 |
> entité gentoo pour cela... |
42 |
|
43 |
a mon avis il y a peu de chances d'avoir le support officiel de gentoo... le |
44 |
sujet a deja ete beaucoup discute je crois ... |
45 |
et aussi une idée similaire la : |
46 |
http://marc.theaimsgroup.com/?l=gentoo-dev&m=103071488514488&w=2 |
47 |
http://forums.gentoo.org/viewtopic.php?t=265559 |
48 |
|
49 |
bon courage ;) |
50 |
Aurelien |
51 |
|
52 |
|
53 |
|
54 |
-- |
55 |
gentoo-user-fr@g.o mailing list |