Re: Debian 2.2 _ no BAD ?

To: Debian Russian <debian-russian@lists.debian.org>
Subject: Re: Debian 2.2 _ no BAD ?
From: Vlad Harchev <hvv@hippo.ru>
Date: Thu, 31 Aug 2000 18:05:14 +0500 (SAMST)
Message-id: <[🔎] Pine.LNX.4.10.10008311759520.4507-100000@localhost.localdomain>
In-reply-to: <[🔎] 877l8xip69.fsf@solt.atibank.astrakhan.ru>

On 31 Aug 2000, Sergey Suleimanov wrote:

> >>>>> "Vlad" == Vlad Harchev writes:
> 
> >> А не достаточно подписать Packages?
> 
> Vlad> Как я понимаю, для проверки подписи надо знать публичный ключ
> Vlad> подписавшего - и он соответственно должен быть запрошен из инета
> Vlad> (иначе если ключи - в файле локально - то взломщик подпишет
> Vlad> своим публичным ключем троянский пакет и положит его в тот
> Vlad> локальный файл, откуда его будет читать программа-установшик
> Vlad> - по крайне мере так можно затроянивать iso-images).
> 
>         Оставлять проблему достоверности ключа на совести cd-vendor.

 Одно дело - CD-vendor, а другое - сайт на котором лежит iso-image. У
CD-вендора совесть может быть чиста (он не проверял достоверность ключей,
но и не ложил коней), а содержимое может быть "с конями" из-за хакнутого
сайта-источника.

>         А как иначе ставиться с cd-rom? Не факт что и base2_2.tgz там
>         лежит оригинальный, а не с переделанным dpkg.

 В принципе, конечно сначала надо проверить пакеты на сидюке, прежде чем
ставить (наверно, любой не устаревший dpkg сойдет). Хотя в случае, когда все
пакеты проверены (и все ОК) в пределах небольшой сети можно ставить с компакта
"не проверяя" (и весь этот тред - никчемный :).

> -- 
>   Sergey Suleimanov
> 

 Best regards,
  -Vlad

Reply to:

References:
- Re: Debian 2.2 _ no BAD ?
  - From: Sergey Suleimanov <atibank@mail.astrakhan.ru>

Prev by Date: Re: Debian 2.2 _ no BAD ?
Next by Date: Re: Debian 2.2 _ no BAD ?
Previous by thread: Re: Debian 2.2 _ no BAD ?
Next by thread: Re: Debian 2.2 _ no BAD ?
Index(es):
- Date
- Thread