[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: vérification intégrité des binaires
|
From: |
Philippe Neyrat |
|
Subject: |
Re: vérification intégrité des binaires |
|
Date: |
Tue, 16 Nov 2010 11:49:44 +0100 |
|
User-agent: |
Mozilla-Thunderbird 2.0.0.24 (X11/20100330) |
Bonjour,
Désolé d'avoir répondu à Moebius seulement, voici pour la liste.
moebius a écrit :
> Bonsoir,
Bonsoir,
>
> Non, moi je trouve que ce serait une bonne idée que de sécuriser les
> transferts afin d'être raisonnablement serein sur l'intégrité des
> paquets...sous quelle forme cela peut-il être réalisé...aucune
> compétence pour formuler la moindre proposition...
Ben, si je peux aider...
> Le 15/11/2010 20:48, Michel Villeneuve a écrit :
>> Mon utilisation de LilyPond m'amène à télécharger relativement souvent
>> les dernières versions de développement ou parfois les versions
>> stables quand elles ont mises à jour mais finalement jamais la version
>> antique proposée par mon gestionnaire de paquet (Debian ...).
>>
>> Ce soir en téléchargant la dernière version de développement, le
>> téléchargement s'est avéré incomplet et j'ai bien mis 20 minutes avant
>> de comprendre que c'est mon fichier téléchargé qui était pourri et que
>> ce n'était pas un problème lié à LilyPond qui refusait de s'installer.
>>
>> Du coup je me dis que c'est pas hyper sécurisé de télécharger des
>> binaires et de les installer à la main sans vérifier si les fichiers
>> sont intègres (quand on est boulet comme moi en le téléchargant) et si
>> ils proviennent bien du site qui prétend me les proposer (via GnuPG).
>>
>> Je souhaiterais donc suite à ça pouvoir a minima vérifier la
>> concordance d'une somme de contrôle des binaires que je télécharge sur
>> lilypond.org (j'ai pas vu de somme de contrôle associée aux binaires
>> proposés) et le must serait de pouvoir faire vérifier l'archive par
>> GnuPG ... Je n'ai rien trouvé dans les archives.
>>
>> Qu'en pensez vous? Vous êtes-vous déjà posé la question ? Est ce que
>> cela entraînerait du boulot supplémentaire pour pas grand chose (genre
>> proposer un lien sur la page de téléchargement vers un fichier texte
>> signé avec les hash dedans)?
>>
>> Selon vous, est-ce une suggestion utile ou délire de geek paranoïaque
>> qui ne fera rien qu'à compliquer la vie ?
>>
Je trouve que c'est une excellente idée et je suis surpris que les
développeurs n'y aient pas pensé...
Un simple md5sum <Nom du paquet> ne coûte rien...
Quant à réunir toutes les sommes md5 dans un fichier, c'est pas sorcier
non plus. Une commande récursive sur chaque dossier de l'arborescence
pourrait suffire à créer un fichier de sommes md5.
Au delà de questions de sécurité, les soucis de mauvais transfert
seraient en partie résolus.
Et pour les plus inquiets, des sommes "sha1" sont encore moins
"hackables", et pas plus difficiles à mettre en oeuvre.
(md5 a déjà été contourné, mais avec des moyens énormes...)
Cordialement,
Philippe