Към: Питане и корекция
От: Павел
На: 11-11-2004@17:03 GMT+2
Оценка: 1/НеутраленИ за какво точно им трябва да са сертифицирани? Те и да са пак могат да ти сложат троянец ако искат - въпроса е ти какво доверие имаш в ОпенИнтегра.
Какво сега аз като не съм сертифициран от Патрик Волкердърн дрън, не мога да си публикувам пакети за Slackware ли? Това дали ще го инсталираш или не си е твой проблем. Пък и никаде не пише че това е че това е официален пакет - това е просто пакет.
А даже хората са се постарали и са сложили сертификати глупости и т.н.
Просто мнение
[Отговори на този коментар]
Към: Питане и корекция
От: Beco <vlk< at >lcpe[ точка ]uni-sofia[ точка ]bg>
На: 11-11-2004@18:52 GMT+2
Оценка: 1/НеутраленБлагодаря за забележката. Поправено е. Вината е моя - унесъл съм се.
RedHat Inc. не сертифицира никого да разпространява от нейно име пакети. Ние няма как да разпространим пакет от името на RedHat Inc, защото не можем да поставим върху него електронния подпис на компанията. Т.е. ние нито искаме да изземем функциите на RedHat Inc, нито да троянизираме пакета. Да, в последното е трудно да се повярва, но който не вярва, взима srpm пакета (който също се намира в посоченото от нас хранилище), разпакетира го, проверява електронния подпис на ISC над пакета и електронните подписи над кръпките и компилира. После сравнява получените бинарни файлове с тези получени от нас.
Идеологията, която развива и Fedora проекта е, че може да съществуват много хранилища за готови пакети и това с нищо не ги обвързва с основния проект. Един човек сам преценява доколко да вярва на едно или друго хранилище. Във всеки случай, можем да се видим и да ти дам копие от нашия OpenPGP сертификат и така да ти засвидетелствам, че точно ние сме произвели този пакет, а не някой друг.
Точно това е и гъвкавостта на RPM пакетната система - пакетът не е нужно да е зависим от дистрибуцията. Важното е да е удостоверен и да знаеш, че този, който го прави не само те улеснява, но и не те лъже. Доверие се гради трудно, но човек е доволен, ако му бъде указано, макар това да е и задължаващо. В RPM системата електронния подпис е интегриран в пакета и след това се интегрира в пакетната система след инсталацията (и може да бъде проверен по всяко време). Това я прави засега сигурна и използваема, доколкото подписът стои с пакета докато не бъде изтрит самия пакет.
Иначе ние не караме никой да слага нашите пакети. Те са просто едно улеснение и нищо повече. Просто решихме да споделим това, което направихме за нашите сървъри, и което скоро ще поставим и на сървърите за имена на Софийския Университет. BIND 9.3.0 е технологично напред и ние не можем да се откажем от това да го използваме. Но би било егоизъм да караме другите да го ползват. Всичко е въпрос на разбиране и премерени действия.
Редактиран на: 11-11-2004@19:08
[Отговори на този коментар]
