On Mon, Dec 10, 2018 at 07:15:06PM +0100, Alberto Cammozzo wrote:
Potrei fidarmi del committer ma non del repository, o di tutti i repository. Pensa ad esempio ai molti repository alternativi di app Android (Play, f-droid, ecc).
Non hai bisogno di fidarti del repository (o del canale tra lui ed esso) se hai un checksum su ciò che scarichi ed una signature che certifichi che il checksum corrisponde a quello dichiarato dal maintainer. Perché puoi verificare entrambe le cose dopo il download e notare mismatch. Molti repository funzionano infatti in questo modo. Che so, puoi scaricare i pacchetti Debian/Ubuntu/etc. via HTTP (anziché via HTTPS) senza rischi di tampering, proprio perché apt-get verifica per te le signature ed i checksum prima di installare i pacchetti in locale. -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »