[Frugalware-users-fr] Debian migre vers SHA-2
hermier at frugalware.org
hermier at frugalware.org
Dim 10 Mai 11:46:26 CEST 2009
> Salut,
> Je viens de tomber sur ça : http://linuxfr.org/2009/05/09/25437.html
>
> Est-ce aussi dans les cartons de frugal?
Pour ce qui est archives compressée, je pense que debian pousse un peut
trop la paranoia.
Pour se qui nous concerne, nos archive de paquets sont de simple tar.bz2
renomées. Ce qui est peut sensible aux attaques.
Pour inserer un exploit, il faudrait corrompre le contenu du tar, et
prédire le comportement de bzip2 pour obtenir une archive valide.
Et obtenir une archive avec une somme identique est autement improbable, a
moins que bzip2 contiennent une faille qui pourrait permetre d'insérer des
données alléatoire ce qui est autement improbable dans une compression de
fichier.
Par contre pour l'autentification des develloppeurs il faudrait voir ca
avec vmiklos. Mais avec l'utilisation de git, on ne perdrait pas grand
chose de vital. Se serait juste gonflant de devoir reconstruire les sites,
mais fondementalement si un dev est corrompu on peut tracé se qu'il à
fait. Vu qu'on est pas nombreux une intrusion devrait se voir assez vite.
Enfin si on devait y passer, il y aura une annonce publique au personnes
intéressées.
Plus d'informations sur la liste de diffusion Frugalware-users-fr