Je me suis déja posé cette question et je la partage avec vous voyant
que cela ne semble pas
changer.
Il semble en effet "totalement inconscient" et "dénué d'intéret" pour
quelques raisons suivantes :
- Tous les utilisateurs téléchargent tous les patchs des programmes
qu'ils n'utilisent pas
- Pourquoi ne pas les mettre dans les mirrois distfiles...
Ces deux raisons me chagrinent un peu. Maintenant en voici une autre
bien plus grave :
Les sommes md5 des fichiers servent à controler deux choses, qu'ils
aient bien été téléchargés, mais
aussi qu'ils ne soient pas corrompus (ie : avec backdoor). Donc si un
attaquant modifie un
programme sur un un mirroir distfiles, l'utilise en sera averti et devra
faire un "ebuild digest" ce
que très peut feront, donc la portée de cette attaque sera quasi nulle.
Maintenant s'il attaque un mirroir portage ? Et bien il va créer son
patch modifier l'ebuild et les
sommes md5. Tous les utilisateurs l'appliqueront sans aucun warning que
ce soit et s'il est un peu
malin cette backdoor peut rester cacher un certain temps (seul le
mainteneur pourra trouver cette
backdoor et quelques utilisateurs "tres" éclairé sur le paquet en question).
Tout cela pour en venir à la question : Quel intéret puisque je n'en voi
aucun ?
Amicalement,
Seb :)
ps : toujours amoureux de gentoo hein :)
> > Tout cela pour en venir à la question : Quel intéret puisque je > n'en voi aucun ? Fortune! ;)
lol :)
-- mailing list
Christophe Garault
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Sebastien Vincent a écrit :
lol :)
Bon on rigole, mais saches qu'il y a eu une très longue discution enflammée sur la liste gentoo security il y a quelques semaines de celà à ce sujet. Je crois que ce ne serait pas raisonnable de recommencer ici ce débat. Pour ton info tu dois pouvoir retrouver ces threads ("Is anybody else worried about this" et "Trojan for Gentoo") facilement sur gmane. Mais saches que la probabilité que ta machine soit hackée est certainement plus grande que que celle des mirroirs officiels.
- -- Christophe Garault Take your marks: Gen too three: Emerge!
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
Bon on rigole, mais saches qu'il y a eu une très longue discution
enflammée sur la liste gentoo security il y a quelques semaines de
celà à ce sujet. Je crois que ce ne serait pas raisonnable de
recommencer ici ce débat. Pour ton info tu dois pouvoir retrouver ces
threads ("Is anybody else worried about this" et "Trojan for Gentoo")
facilement sur gmane.
Mais saches que la probabilité que ta machine soit hackée est
certainement plus grande que que celle des mirroirs officiels.
- --
Christophe Garault
Take your marks:
Gen too three: Emerge!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (MingW32)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
Bon on rigole, mais saches qu'il y a eu une très longue discution enflammée sur la liste gentoo security il y a quelques semaines de celà à ce sujet. Je crois que ce ne serait pas raisonnable de recommencer ici ce débat. Pour ton info tu dois pouvoir retrouver ces threads ("Is anybody else worried about this" et "Trojan for Gentoo") facilement sur gmane. Mais saches que la probabilité que ta machine soit hackée est certainement plus grande que que celle des mirroirs officiels.
- -- Christophe Garault Take your marks: Gen too three: Emerge!
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
> Bon on rigole, mais saches qu'il y a eu une très longue discution enflammée sur la liste gentoo security il y a quelques semaines de celà à ce sujet. Je crois que ce ne serait pas raisonnable de recommencer ici ce débat. Pour ton info tu dois pouvoir retrouver ces threads ("Is anybody else worried about this" et "Trojan for Gentoo") facilement sur gmane. Mais saches que la probabilité que ta machine soit hackée est certainement plus grande que que celle des mirroirs officiels.
Ha je ne savais pas, je suis désolé, loin de moi l'idée de troller :) Je vais rechercher ces discussions donc merci christophe :)))
Je ne connaissais pas gmane, ca a l'air fort cet outil :)
Amicalement, Seb :)
-- mailing list
> Bon on rigole, mais saches qu'il y a eu une très longue discution
enflammée sur la liste gentoo security il y a quelques semaines de
celà à ce sujet. Je crois que ce ne serait pas raisonnable de
recommencer ici ce débat. Pour ton info tu dois pouvoir retrouver ces
threads ("Is anybody else worried about this" et "Trojan for
Gentoo") facilement sur gmane. Mais saches que la probabilité que ta
machine soit hackée est certainement plus grande que que celle des
mirroirs officiels.
Ha je ne savais pas, je suis désolé, loin de moi l'idée de troller :)
Je vais rechercher ces discussions donc merci christophe :)))
Je ne connaissais pas gmane, ca a l'air fort cet outil :)
> Bon on rigole, mais saches qu'il y a eu une très longue discution enflammée sur la liste gentoo security il y a quelques semaines de celà à ce sujet. Je crois que ce ne serait pas raisonnable de recommencer ici ce débat. Pour ton info tu dois pouvoir retrouver ces threads ("Is anybody else worried about this" et "Trojan for Gentoo") facilement sur gmane. Mais saches que la probabilité que ta machine soit hackée est certainement plus grande que que celle des mirroirs officiels.
Ha je ne savais pas, je suis désolé, loin de moi l'idée de troller :) Je vais rechercher ces discussions donc merci christophe :)))
Je ne connaissais pas gmane, ca a l'air fort cet outil :)
