Je ne suis pas d'accord...
Attaquer un DNS (par exemple chez ton FAI), voir le spoofer sur ton reseau local, est a mon avis plus facile que de s'attaquer au serveur lui même...
Il faut donc, par exemple grace a SSL, que tu saches au moins que tu discutes pas avec la meme machine que la derniere fois. Ensuite la signature des fichiers, par une cle que tu recuperes depuis une autre source, et une fois pour toute, permet a mon avis une plus grande securité.
Tu rencontre un jour le mainteneur d'un logiciel, il te donne sa clé, ensuite tu es presque sur que tous ses paquets sont de lui (a part si on lui a volé sa clé qu'il n'avait pas protégé par passphrase). Si des gens en qui tu as confiance sont surs que cette clé est la sienne c'est presque aussi bien.
De toute facon ce qui compte c'est que toutes les versions du soft soient signées avec cette même clé. Si c'est l'usurpateur d'identité qui est l'auteur principal du soft et qui en a fait toutes les versions je m'en fous :-)
Par contre je trouve dommage d'un point de vu securité que des gens (beaucoup en plus) puissent executer des choses sur un serveur FTP.
[^] # Re: ftp.gnu.org piraté
Posté par Pascal Terjan . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 2.
Attaquer un DNS (par exemple chez ton FAI), voir le spoofer sur ton reseau local, est a mon avis plus facile que de s'attaquer au serveur lui même...
Il faut donc, par exemple grace a SSL, que tu saches au moins que tu discutes pas avec la meme machine que la derniere fois. Ensuite la signature des fichiers, par une cle que tu recuperes depuis une autre source, et une fois pour toute, permet a mon avis une plus grande securité.
Tu rencontre un jour le mainteneur d'un logiciel, il te donne sa clé, ensuite tu es presque sur que tous ses paquets sont de lui (a part si on lui a volé sa clé qu'il n'avait pas protégé par passphrase). Si des gens en qui tu as confiance sont surs que cette clé est la sienne c'est presque aussi bien.
De toute facon ce qui compte c'est que toutes les versions du soft soient signées avec cette même clé. Si c'est l'usurpateur d'identité qui est l'auteur principal du soft et qui en a fait toutes les versions je m'en fous :-)
Par contre je trouve dommage d'un point de vu securité que des gens (beaucoup en plus) puissent executer des choses sur un serveur FTP.