On Mon, Nov 24, 2003 at 07:59:14AM +0100, Jean-Bruno Luginb�hl wrote: > Une question � ce propos. Les fichiers sont compar�s � des checksums, > lors des apt-get et consoeur (n'est-ce pas?), mais d'ou proviennent ces > checksum? Du m�me serveur? Dans ce cas, lors d'une compromission, on ne > s'en rend pas compte. D'un autre serveur s�curis�, dans ce cas si le > fichier est modifi�, alors apt-get va s'en rendre compte, non?
Il y a des signatures �lectroniques GPG sur le fichier Release.gpg, qui peut �tre v�rifi�. Par contre c'est clair que le fonctionnement g�n�ral n'est pas clair ni automatique et que la plupart des utilisateurs Debian ne v�rifient pas le Release.gpg, voire installent des deb non officiels. J'esp�re franchement que le fonctionnement sera am�lior� avant que sarge ne sorte, car il s'agit d'un tr�s grave probl�me en particulier pour une distribution si d�centralis�e. _______________________________________________ gull mailing list [EMAIL PROTECTED] http://lists.alphanet.ch/mailman/listinfo/gull
