パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GNU の ftp サイトが 3月以来 crack されていた」記事へのコメント

  • GNUでは再発防止策として、8月1日以降全てのソフトウェアリリースに対し、リリース作成者のGPG署名付checksumをつけるようにしています。

    All releases after the 2003-08-01 date will have checksums GPG-signed by the GNU maintainer who prepared the release. This assures automatic certification of the integrity of all GNU source from that date onward.

    これはこれでよろしいのですが、GNUが(署名の出所, ソフトウェアの名前)の対を確認させてくれるとなお確実なのでは。署名の出所をGNUが確認しないと、誰かが勝手に自分

    • by Anonymous Coward on 2003年08月18日 20時30分 (#380814)
      gpgで署名するというのは、「一切不正なコードが混入していない事を保証する」ためではなくて「誰が不正なコードを持ち込んだのか明確にする」のが目的でしょう。
      不正なコードにアカウント保有者のgpg署名が付いていれば、その署名を行った人物が不正なコードを持ち込んだという事が明らかになるので目的は達せられます。
      本来のメンテナ以外がアップロードできないようにしてしまうと、緊急のセキュリティFixなどがあった場合に、メンテナの対応が遅れるとリリースも遅れてしまう事にもなり好ましくないと思います。

      ついでにもう一つ加えると「gnuftpにアカウントがある=GNUが信頼している」ではありません。
      「gnuftpにアカウントがある=過去に不正な行為を行いRejectされてはいない」です。
      一般社会においても、将来的に犯罪を犯す可能性がある人物であっても、実際に具体的な犯罪事象を起こす/(未遂、予備罪のある犯罪の場合は)明確な犯意が確認できるまでは犯罪者(容疑者)として扱わないのと同じようなものです。

      親コメント

Stableって古いって意味だっけ? -- Debian初級

処理中...