Le Wed 25/06/2003, Sven Luther disait > On Wed, Jun 25, 2003 at 01:37:39PM +0200, Erwan David wrote: > > Le Wed 25/06/2003, Sven Luther disait > > > > > > Je n'ai pas peur de .deb verole, car si je n'utilise que des packages > > > officiels, je n'ai en general pas de crainte a avoir, a moins que > > > quelqu'un se mette entre moi et mon mirroir debian et se fasse passer > > > pour lui, ou que les archives debian ou le miroir soit compromis, ce que > > > je pense etre assez peut probable, et rentrerai peut etre plus dans la > > > categories des attaques UNIX classiques que dans celle des virus. > > > > Disons que la signature des paquets + le debian keyring, si correctement > > utilis�s (mais correctement utiliser la crypto c'est pas �vident du > > tout) peuvent �tre une bonne protection contre ce genre de menace. > > Oui, sauf que les packages eux meme ne sont pas signe, uniquement le > .changes, et que la verification est uniquement faite a l'entree des > packages dans l'archive, pour le moment du moins.
ce serait amha une piste � �tudier, les probl�mes �tant 1) les paquets non officiels 2) la gestion des cl�s 3) le debian-keyring initial. -- Erwan
