Il Linux Day visto da me.

[Angelo Naselli]

> Se non lo fa nessuno ci sarà anche un motivo.
> Quanti sono in grado di passarsi in rassegna i
> sorgenti di openssl (che non sono certo due righe di
> codice) e stabilire se é stato modificato in modo da
> produrre chiavi crittografiche deboli o fare lo stesso
> su openssh ed individuare se é stato introdotta di
> deliberatemente una modifica che permette un'exploit
> da remoto?
> Difficilmente troverai scritto "Hacked By The H4k3r"
> da qualche parte, temo.
Vero, ma è sempre possibile farli controllare da qualcuno
che sappia farlo (anche a pagamento, un lavoro non deve
essere sempre e per forza gratis) per avere la "certezza"
che ciò che si otterrà dopo aver compilato sia sicuro.

> Io preferisco lasciare l'incombenza a chi pacchettizza
> la distribuzione nella speranza, non del tutto
> infondata, che sia un po' più bravo di me almeno nel
> verificare la fonte. Se poi sono proprio curioso posso
> sempre scaricarmi i sorgenti e controllare di persona.
Questa è abbastanza un'utopia. Quasi tutte (beh direi tutte)
le distribuzioni sopravvivono grazie alle comunità
di collaboratori non dipendenti, ed offrono le piattaforme
per creare i pacchetti che vengono testati durante la
fase di sviluppo della distribuzione stessa. Escluderei
che ogni packager (e so cosa dico) si controlli i sorgenti
di ogni SW che pacchettizza. I sorgenti vengono scaricati
dai siti ufficiali. A volte vengono modificati con patch,
ma è difficile, a meno di problemi riscontrati e fissati 
sui repository (svn/cvs) dei programmi e non ancora rilasciati
o problemi di di compilazione.

Ciao
	Angelo 
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: non disponibile
Url:         http://lists.linux.it/pipermail/glug/attachments/20061104/bba105fa/attachment.pgp