Il Linux Day visto da me.

[Angelo Naselli]

> [cut cut]
> > - MD5 o altro checksum non garantisce che il pacchetto
> > sia buono ma serve solo per verificare che il download
> > sia avenuto correttamente. Per avere certezza
> > dell'origine occorre la firma digitale e non so quanti
> > sorgenti siano distribuiti con firma.
> 
> Affermazione inesatta.
> Un buon sysadmin non prende l'md5 SOLO da un server, ma fa un controllo
> incrociato con altri mirror.
> La firma digitale è ottima cosa, ma non tutti la usano.
Anche se io in fatto di sicurezza sono il meno indicato per parlare,
qui posso dire qualcosa. 
La firma digitale che viene aggiunta dalle distribuzioni è un'ottima
cosa, ma se vogliamo essere paranoici, sicuramente non è presente
nei pacchetti sorgenti (o quasi). Tutti i programmi che "pacchettizzo"
io non hanno firma, solo md5, o fiducia che siano su SF, dove possono
essere messi sul sito solo da chi è autorizzato (relativamente ad un
progetto).
Per cui non sono sicuro di poter affermare che se utilizzi un programma
firmato dalla distro esso sia totalmente affidabile. Sicuramente è stato 
costruito e testato sulla distribuzione dagli host ufficiali.

Angelo
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: non disponibile
Url:         http://lists.linux.it/pipermail/glug/attachments/20061102/f7486b71/attachment.pgp