El día 18 de enero de 2010 04:49, Federico Alberto Sayd
<fsayd@uncu.edu.ar> escribió:
Felix Perez escribió:
El día 17 de enero de 2010 15:49, ga <ga@kutxa.homeunix.org> escribió:
Buenas,
On Sun, Jan 17, 2010 at 10:29:50AM -0800, Rodrigo Gallardo wrote:
On Sun, Jan 17, 2010 at 03:25:43PM +0100, ga wrote:
On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera
wrote:
Hasta que punto es auditable que el .deb que descargamos coincida
100% con el código fuente publicado?
Al 100%, has leido acerca de LFS (Linux from scrash), esto podes
hacerlo con Debian. Pero, estas capacitado?
[Un paquete upstream podría añadir un backdor entre versiones]
Por motivos de aprendizaje, varios traen puertas traseras, para que
leamos y aprendamos a descubrirlas y asi tener un SO seguro. Se dice
de UNIX, que es muy amigable, solo que el escoje a sus amigos! Y segun
se ve, solo escoge a los curiosos y dispuestos a destripar el sistema
in situ! Tambien, se puede ser un usuario de Estable (Lenny), y no
tener dificultades! o como la mayoria, usar windows pirateado! Asi que
mejor a usar windows 7.......pirateado!!!!!!!
Pues no quería que te sintieras ofendido (ni nadie) por ninguno de mis
comentarios, simplemente es una posibilidad, somos humanos :).
Nos gusta Debian, pero (personalmente) creo que ciertas cosas hay que
analizarlas friamente, sin el corazón en la mano.
Por cierto, mantengo un pequeño paquete, y no hago eso.
Esto, suena como a querer darnos atol con el dedo! Lo siento por el localismo.
¿No haces "eso" que?
¿no revisas?
¿no usas diff?
¿no entiendes los cambios?
Si es así por favor danos el nombre del paquete, para estar alertas
cuando haya algún cambio, no vaya a ser cosa que algo "no deseado" se
te pase.
Saludos.
Me parece que lo que no se puede lograr de forma preventiva (Analizar
minuciosamente el código para ver que no se haya infiltrado código
malicioso) en la comunidad open source se compensa con el modelo reactivo de
la comunidad.
Esto, se llama retorica; hablar mucho y no decir nada!
preventiva? quien no puede? Tu quizas, por ahora; pero que tal si
aprendes. No existe ningun "modelo reactivo", esas son palabras sin
significado real.
Si sabes como hacerlo, pues lo haces y si quieres, pues lo compartes.
Muy simple.
Un claro ejemplo es el tema del bug SSL que afectó a Debian más o menos un
año atrás. La difusión fue tal y los esfuerzos de los desarrolladores que no
se registraron incidentes importantes. Fue tanta la publicidad y la
cooperación que cualquier atacante malicioso dejó de ver el la posible
vulnerabilidad como algo "explotable".
Mas retorica!
Viéndolo de ese lado eso es un punto a favor. Además la solución se basa en
un modelo de muchas personas auditanto el código contra uno o dos
desarrolladores (a veces sin conocimientos profesionales de seguridad)
preocupándose por la seguridad de su proyecto o paquete.
Y seguimos sin decir nada.