Re: Agent mail

[Johnny B <frozzenshell@gmail.com>]

Le 10/15/2013 02:31 PM, Sébastien NOBILI a écrit :
> Le mardi 15 octobre 2013 à 13:55, Dorian Carpentier de Changy a écrit :
> > Les MD5 et moi, ce n'est pas encore le convolage.
> > MD5 calcule l'intégrité d'un fichier (comme les clients bittorrent
> > vérifient les copies installées des fichiers)?
> > Mais si je lance un debsums nom.paquet depuis une vérification en
> > local quel script/client me garantit qu'il vérifie le hashage avec
> > un site hébergeant les paquets réputé intègre au quel j'ajoute que
> Avant de t'intéresser à l'intégrité de la source des sommes MD5, qu'est ce qui
> te garantit que ton binaire md5sum est lui-même intègre et qu'il va te retourner
> réellement la somme MD5 du fichier et non pas la valeur qui fera que tu ne te
> posera pas de question quant à l'intégrité de ton système ?
>
> En gros, comme tu l'écris plus bas, debsums n'a pas vocation à faire un audit
> sécurité d'un système.
>
> Seb
Je suis ok avec toi sur le principe d'intégrité et d'authenticité, en 
revanche qu'est ce qui garantit que la team mozilla n'a pas foiré sa 
nouvelle version avec un tas de saloperie dedans ?

Je pousse un peu le bouchon mais http://www.mozilladeb.fr/ communique la 
licence sur laquelle les packages sont distribués et le contact du dev 
du coup perso j'ai peu de suspicion quant a un package corrompu ...