Les clefs secretes de Debian chez Google!
Le
GP
Public secrete Keyrings. Matthew Garret noticed that the secret
keyring to access the wanna-build database for Debian's AMD64 port was
publically available and detectable via Google. Adam Majer reacted
fast and immediately revoked this archive key since it had to be
considered compromised.
http://www.debian.org/News/weekly/2004/43/
Je sais bien que je ne devrais pas plus critiquer Debian que Dieu en
personne mais, tout de même, pour une organisation qui vante la
sécurité de sa distribution, avoir ses clés secrètes chez Google,
c'est quelque chose, non?
Sur la même note, il semble que nous ne soyons pas les seuls à nous
étonner de cette liste de bugs dits /release critical/:
Release Critical Bug Reports. Cord Beermann noticed that the list of
RC-bug reports was considered as junk by the mailing lists recently,
and didn't make it to the lists any more.
Meanwhile back on the farm, Slackware 10.1 est déjà en prévente:
http://store.slackware.com/cgi-bin/store
Comme, jusqu'à présent, le délai entre deux versions n'a jamais été de
moins de six mois, la sortie ne devrait pas se faire avant décembre,
mais ce sera probablement avant la sortie de Sarge. Car, aux dernières
nouvelles:
Recent changes
2 release-critical bugs were closed and 2 were opened.
GP
keyring to access the wanna-build database for Debian's AMD64 port was
publically available and detectable via Google. Adam Majer reacted
fast and immediately revoked this archive key since it had to be
considered compromised.
http://www.debian.org/News/weekly/2004/43/
Je sais bien que je ne devrais pas plus critiquer Debian que Dieu en
personne mais, tout de même, pour une organisation qui vante la
sécurité de sa distribution, avoir ses clés secrètes chez Google,
c'est quelque chose, non?
Sur la même note, il semble que nous ne soyons pas les seuls à nous
étonner de cette liste de bugs dits /release critical/:
Release Critical Bug Reports. Cord Beermann noticed that the list of
RC-bug reports was considered as junk by the mailing lists recently,
and didn't make it to the lists any more.
Meanwhile back on the farm, Slackware 10.1 est déjà en prévente:
http://store.slackware.com/cgi-bin/store
Comme, jusqu'à présent, le délai entre deux versions n'a jamais été de
moins de six mois, la sortie ne devrait pas se faire avant décembre,
mais ce sera probablement avant la sortie de Sarge. Car, aux dernières
nouvelles:
Recent changes
2 release-critical bugs were closed and 2 were opened.
GP
Poser une question
C'est la faute de la voiture si le conducteur commet une erreur dans
l'application du code de la route et cause un accident ?
Ah, et bien sur tu oublies de préciser que la clé est accessible depuis
des miroirs, mais bon, faire des rapports biaisés ça ne t'a jamais
dérangé.
--
Irvin Probst
There are 10 types of people in the world... those who understand binary
and those who don't.
J'suis pas sûr de comprendre là. Vas-tu prétendre que c'est la faute
de Google si les dévelippeurs laissent les clés secrètes à la vue de
tout le monde?
Les clés secrètes seraient aussi disponibles sur les miroirs!!!
Des rapports biaisés? Mais c'est un copier-coller du DWN! Le DWN
ferait-il des rapports biaisés?
GP
Non, il dit que c'est de la faute des miroirs. Ce qui est très clair
si on creuse un peu (il suffit de suivre les liens) :
http://lists.debian.org/debian-deve...01657.html
Ben oui, comme tu vois.
Ce qu'Irvin a quoté est un copier-coller du DWN ? Le DWN serait en
français maintenant ? :)
Il te reproche d'avoir déformé ce qui était écrit, et il est vrai qu'en
lisant tes propos, on a l'impression que le problème est imputable à
l'"organisation" debian, ce qui est faux.
--
Blaise
Tout comme c'est la faute de Debian si un pauvre péruvien à laissé trainé
sa clé secrète...
--
Ozzonn
--
KeyID: 0xA756BAA0 > www.keyserver.net
FingerPrint: C3AC B2D0 D68B 426F B316 C334 D5FF 201E A756 BAA0
Non et je ne sais pas d'où tu sors cette idée farfelue.
Mais mon cher Heudeubert, si tu avais vraiment pris la peine de faire le
tour de l'information mise à ta disposition sur DWN, au lieu de
t'empresser de venir cracher ton fiel ici en nous copiant/collant pour
la nième fois un message en anglais que tu ne traduis meme pas, tu aurais
vu que la clé amd64 n'est accessible /que/ sur des miroirs. Le repertoire
en question est Forbidden en http sur alioth.debian.org.
Que cette clé /soit/ sur des miroirs c'est la honte complète pour
l'équipe amd64 [1], quelqu'un chez eux a salement foiré dans la gestion
des scripts assurant la synchronisation des miroirs et mérite un gros
coup de pied dans le fondement.
Par contre que tu te serves de l'erreur commise par un gars, sans doute
mal reveillé, pour discrediter la /distribution/ Debian n'est qu'une
preuve supplémentaire de ta petitesse.
À moins bien sur que tu te mettes à soutenir que ce n'était pas ce que
tu cherchais à faire en intitulant ton post "Les clefs secretes de
Debian chez Google!".
Lui non, il donne des liens *directs* vers *l'ensemble* des informations
pertinentes et s'abstient de commentaires puerils, méprisants et
ridicules.
[1] Eh oui tu ne peux meme pas blamer les ftpmasters, ils ne gerent pas
amd64.
--
Irvin Probst
There are 10 types of people in the world... those who understand binary
and those who don't.