| 1 |
On Fri, Jul 28, 2006 at 06:44:20PM +0200, |
| 2 |
Jean-François Maeyhieux <b4b1@××××.fr> wrote |
| 3 |
a message of 79 lines which said: |
| 4 |
|
| 5 |
> Le problème de la sécurité est évident, je te l'accorde mais |
| 6 |
> il serait possible de vérifier l'authenticité d'un paquet binaire en |
| 7 |
> le mettant à disposition sur le P2P soit en mettant en place un |
| 8 |
> système d'authentification des fournisseurs de pkgs |
| 9 |
|
| 10 |
Là encore, on peut utiliser l'expérience de Debian : les architectures |
| 11 |
"minoritaires" (comme la Sparc) n'ont pas assez de machines de |
| 12 |
compilation automatique ("build daemon") des paquetages |
| 13 |
officiels. Régulièrement, un gars sympa dit qu'il a une vieille Sparc |
| 14 |
achetée sur eBay et qu'il veut bien la faire mouliner la nuit pour |
| 15 |
Debian. Et, non moins régulièrement, son offre est rejetée car, même |
| 16 |
si lui est connu et de confiance, comment savoir si sa machine va être |
| 17 |
bien administrée et bien sécurisée ? |
| 18 |
|
| 19 |
Un paquetage binaire étant forcément installé par root, je crois que |
| 20 |
le problème de sécurité est LE problème de cette proposition et que |
| 21 |
c'est celui à creuser en premier. |
| 22 |
-- |
| 23 |
gentoo-user-fr@g.o mailing list |
Archives