Re: Debian 2.2 _ no BAD ?

To: debian-russian@lists.debian.org
Subject: Re: Debian 2.2 _ no BAD ?
From: Vlad Harchev <hvv@hippo.ru>
Date: Thu, 31 Aug 2000 14:22:10 +0500 (SAMST)
Message-id: <[🔎] Pine.LNX.4.10.10008311416130.2195-100000@localhost.localdomain>
In-reply-to: <[🔎] Pine.LNX.4.21.0008311127480.10175-100000@party.ice.ru>

On Thu, 31 Aug 2000, Victor Wagner wrote:

> 
> > ... Это что то же по умолчанию ? Я че то не пойму то им дисков по умолчанию мало
> > то им сервисов по умолчанию много.
> > А че правда так ?
> > 
> > dpkg не импользует вычесленные MD5 суммы для проверки целостности файлов.
> > Недавно один из мирроров Debian был взломан и
> > некоторые паеты былы заменены на версии, содержащие троянских коней.
> > ... Не понял а че разве МД5 он не сервера берет ? Или они дебы заменили а там
> > где суммы не стали ? Не понял ?
> 
> А почему мы все про это не слышали?
> А вообще, отсутствие проверки MD5 для бинарных пакетов  - действительно
> недостаток dpkg.

 Я вот на эту тему думал - по моему тут достаточно все непросто. Если бы dpkg
проверял md5 для файлов которые он ставит (и по самому пакету) - это нисколько
бы не затруднило фальсификацию пакетов (просто считаем тот же md5 по
троянсокму пакету и записываем их и все ОК). Единственный выход - это проверка
подписи пакета с помощью pgp (где каждый пакет подписан девелопером, и его 
публичный ключ есть в keyring доступным из инета (и это помоему можно даже 
щас с помощью dpkg сделать) (или позволить запрашивать md5 пакетов по инету и
сравнивать их).

>  
> 

 Best regards,
  -Vlad

Reply to:

Follow-Ups:
- Re: Debian 2.2 _ no BAD ?
  - From: Victor Wagner <vitus@ice.ru>
- Re: Debian 2.2 _ no BAD ?
  - From: Sergey Suleimanov <atibank@mail.astrakhan.ru>

References:
- Re: Debian 2.2 _ no BAD ?
  - From: Victor Wagner <vitus@ice.ru>

Prev by Date: Re: ulimit
Next by Date: Re: Debian 2.2 _ no BAD ?
Previous by thread: Re: Debian 2.2 _ no BAD ?
Next by thread: Re: Debian 2.2 _ no BAD ?
Index(es):
- Date
- Thread