Je trouve que renoncer à toute la confiance qu’on a pu établir avec un projet, avec ces développeurs/mainteneurs, précisément lors d’un coup dur de ce type, c’est le comble de la bêtise.
Très clairement. Perso, j'ai toujours confiance, et je ne compte pas patcher mon système pour supprimer cet outil extrêmement utile.
L'auteur n'y es pour rien, maintenir seul un outil critique bourré de crypto et de maths ne doit pas être simple, l'erreur est humaine, et se faire arnaquer peut arriver à tout le monde.
Je n'accepterais d'envisager l'idée qu'il est a tort que s'il est effectivement payé pour son travail sur xz, et ce, sur son temps professionnel. Et encore... ici, il n'est pas l'auteur de la faille, qui n'est d'ailleurs apparemment pas arrivé dans l'historique du code. Je ne vois vraiment pas comment lui en vouloir.
Il serait plus justifié d'en vouloir aux distributions qui ont empaqueté un blob de sources sans vérifier que le blob proviens bien du référentiel commun. Pour moi, c'est de ce côté que la sécurité est à améliorer au vu de ce que j'ai lu de cette faille.
Et ça serait, ici aussi, plutôt malvenu, parce qu'encore une fois, au moins dans le cas de Debian (et bien d'autres distros), ce travail est fourni gratuitement, c'est un service au monde, un coup de main.
Que celui qui n'a jamais merdé lance la première pierre.
[^] # Re: La porte de le derrière
Posté par freem . En réponse au journal Xz (liblzma) compromis. Évalué à 10.
Très clairement. Perso, j'ai toujours confiance, et je ne compte pas patcher mon système pour supprimer cet outil extrêmement utile.
L'auteur n'y es pour rien, maintenir seul un outil critique bourré de crypto et de maths ne doit pas être simple, l'erreur est humaine, et se faire arnaquer peut arriver à tout le monde.
Je n'accepterais d'envisager l'idée qu'il est a tort que s'il est effectivement payé pour son travail sur xz, et ce, sur son temps professionnel. Et encore... ici, il n'est pas l'auteur de la faille, qui n'est d'ailleurs apparemment pas arrivé dans l'historique du code. Je ne vois vraiment pas comment lui en vouloir.
Il serait plus justifié d'en vouloir aux distributions qui ont empaqueté un blob de sources sans vérifier que le blob proviens bien du référentiel commun. Pour moi, c'est de ce côté que la sécurité est à améliorer au vu de ce que j'ai lu de cette faille.
Et ça serait, ici aussi, plutôt malvenu, parce qu'encore une fois, au moins dans le cas de Debian (et bien d'autres distros), ce travail est fourni gratuitement, c'est un service au monde, un coup de main.
Que celui qui n'a jamais merdé lance la première pierre.