Re: [gnome-cyr] ANNOUNCE: GSwitchIt 2.3.3/libxklavier 0.90



Sergey V. Oudaltsov wrote:
: 
: > Просто пожелание: нельзя ли рядом с .tar.gz (или .tar.bz2 ижо таковые
: > будут) выкладывать и их PGP/GPG-сигнатуры?
: С одной стороны, можно было бы. С другой - процесс релиза в sourceforce
: как-то не очень для этого удобен... А что - есть проблемы в
: аутентичности софта с sourceforge? Я думал, они более-менее секурны...

Насчет секюрности SF -- не знаю.

Знаю только, что поломать можно всё.  А можно и не ломать даже --
врезать, например, между атакуемым пользователем и SF (или кем-нибудь
ещё) "transparent" proxy.  "Transparent" в кавычках потому, что он
transparent только до некоторых пор -- пока не запросили некоторый файл
на download или ещё что-нибудь подобное (кого-то, кстати, подобным
образом (именно "подобным", а не "таким же") атаковали...  то ли
openssh, то ли openssl...  Не помню, но если интересно могу поднять
архив bugtraq.)

По этой же причине хотелось бы именно сигнатуры, а не md5-суммы.

-- 
Andrew W. Nosenko    (awn bcs zp ua)



[Date Prev][Date Next]   [Thread Prev][Thread Next]   [Thread Index] [Date Index] [Author Index]