th packages signing
Andrzej 'The Undefined' Dopierała
undefine w aramin.net
Nie, 17 Lut 2008, 15:41:07 CET
On Sun, Feb 17, 2008 at 01:09:32PM +0100, Paweł Zuzelski wrote:
> To jest trochę bez sensu. Klucz nie powinien być przesyłany tą samą drogą
> którą są przesyłane dane. Obecnie podpis daje złudne poczucie
ee.. ale klucz się instaluje raz i potem już nie jest aktualizowany...
> bezpieczeństwa - jeżeli komuś uda się podrzucić mi "oszukane" pakiety (na
> przykład podszywając się pod domenę pld-linux.org), to równie łatwo może mi
> podrzucić własny klucz i poldek się nie zorientuje, że instalowane pakiety
> nie pochodzą z PLD.
...więc po instalacji klucz daje tyle że poldek będzie buczał w
przypadku gdy ktoś mu podmieni updaty - a to jest główne
niebezpieczeństwo ;)
--
Andrzej 'The Undefined' Dopierała
Linux && Unix && Network administrator
PLD Linux Developer HomePage: http://andrzej.dopierala.name/
JID: undefine w piastlan.net e-mail: andrzej w dopierala.name
Więcej informacji o liście dyskusyjnej pld-devel-pl