1 |
On Fri, Jul 28, 2006 at 06:44:20PM +0200, |
2 |
Jean-François Maeyhieux <b4b1@××××.fr> wrote |
3 |
a message of 79 lines which said: |
4 |
|
5 |
> Le problème de la sécurité est évident, je te l'accorde mais |
6 |
> il serait possible de vérifier l'authenticité d'un paquet binaire en |
7 |
> le mettant à disposition sur le P2P soit en mettant en place un |
8 |
> système d'authentification des fournisseurs de pkgs |
9 |
|
10 |
Là encore, on peut utiliser l'expérience de Debian : les architectures |
11 |
"minoritaires" (comme la Sparc) n'ont pas assez de machines de |
12 |
compilation automatique ("build daemon") des paquetages |
13 |
officiels. Régulièrement, un gars sympa dit qu'il a une vieille Sparc |
14 |
achetée sur eBay et qu'il veut bien la faire mouliner la nuit pour |
15 |
Debian. Et, non moins régulièrement, son offre est rejetée car, même |
16 |
si lui est connu et de confiance, comment savoir si sa machine va être |
17 |
bien administrée et bien sécurisée ? |
18 |
|
19 |
Un paquetage binaire étant forcément installé par root, je crois que |
20 |
le problème de sécurité est LE problème de cette proposition et que |
21 |
c'est celui à creuser en premier. |
22 |
-- |
23 |
gentoo-user-fr@g.o mailing list |