Alexander GQ Gerasiov wrote: > На Sun, 8 Feb 2009 23:44:54 +0300 > Alexey Pechnikov <pechnikov@sandy.ru> записано: > >> Hello! >> >> В сообщении от Sunday 08 February 2009 18:30:37 Alexander GQ Gerasiov >> написал(а): >>>> Кто держит репозиторий, тот за него и отвечает. Пусть даже это >>>> зеркало. >>> Вот знаешь, если вдруг у меня под боком окажется _твое_ зеркало >>> какого-либо нужного мне репозитория, я предпочту, чтобы за него >>> отвечал хозяин того репозитория, а не хозяин зеркала (то бишь ты). >> Вроде как речь шла о зеркале _для себя_. Впрочем, и в случае >> корпоративной сети за пакеты должен отвечать местный админ, а отнюдь >> не Мариллат или кто-то еще (хотя это уже скорее должен быть свой >> репозиторий, а не зеркало). > Зеркало для себя? Тогда тем более непонятно, зачем его подписывать > своим ключом. > > Объясни мне, ты в состоянии проверять каждый пакет, который > зеркалируешь, и ручаться за него своей подписью? И стоит ли твоя > подпись того, чтобы ставить этот пакет? > Или вся твоя проверка будет сводиться к тому, что ты проверишь, что > пакет действительно подписан подписью debian ftp-archive или > debian-backports? Тогда нахрена мне (да и кому бы то ни было еще) твоя > подпись? Это же лишнее звено, которое потенциально уязвимо значительно > сильнее, чем ключ архива Дебиан. Ты же наверняка относишься к этому > наплевательски (потому что из твоих слов видно, что ты плохо > представляешь себе всю инфраструктуру и ее смысл) и наверняка хранишь > свой приватный ключ на публичной машине, подключенной к сети, да еще > может и без пассфрейза. > > Попробуй вначале ответить на вопрос "Что удостоверяет подпись релиз > файлы на зеркале?" Какой в ней смысл? > ППКС. -- Eugene V. Lyubimkin aka JackYF, JID: jackyf.devel(maildog)gmail.com C++/Perl developer, Debian Maintainer
Attachment:
signature.asc
Description: OpenPGP digital signature