Pour le 1 il faut avouer que c'est lé théorie.
Je me base sur les quelques softs récents où on a appris qu'il y avait probleme (des vers qui se connectaient sur internet grace à make ou au configure). Il suffisait de vérifier le md5 ou la signature pour le voir mais ca vraiment pas été découvert tout de suite.
Je me dis que si la signature et lemd5 avaient été bon ca aurait pu trainer un bon moment, si de plus le vers se positionnait gentiment au lieu de se connecter tout de suite ca aurait pu faire très mal.
En théorie on peut tout vérifier mais en pratique peu de gens en ont la capacité et les connaissances pour (tu me met une backdoor dans mozilla, dans mon kernel, si tu ne fais pas ca en mettant /* code pour la backdoor */ ..... /* fin code backdoor */ j'ai 99% de chances de passer à coté). Et sur ceux ci combien vérifient effectivement les sources assez consciencieusement sur chaque logiciel qu'ils utilisent ?
Bref, en théorie c'est beau mais en pratique presque tout le monde se base sur un distributeur de confiance (qui dans le monde proprio est l'éditeur, dans le monde LL la distribution ou les developpeurs assez souvent).
Attention, je ne dis pas que ca ne sert à rien mais l'argument massue que le libre évite toutes les saloperies je n'y crois pas vraiment. Et pour la plupart des gens (y compris des programmeurs) les sources de l'OS ca ne sert à rien à part les compiler.
[^] # Re: Proposition de loi
Posté par Éric (site web personnel) . En réponse à la dépêche Proposition de loi. Évalué à 1.
Je me base sur les quelques softs récents où on a appris qu'il y avait probleme (des vers qui se connectaient sur internet grace à make ou au configure). Il suffisait de vérifier le md5 ou la signature pour le voir mais ca vraiment pas été découvert tout de suite.
Je me dis que si la signature et lemd5 avaient été bon ca aurait pu trainer un bon moment, si de plus le vers se positionnait gentiment au lieu de se connecter tout de suite ca aurait pu faire très mal.
En théorie on peut tout vérifier mais en pratique peu de gens en ont la capacité et les connaissances pour (tu me met une backdoor dans mozilla, dans mon kernel, si tu ne fais pas ca en mettant /* code pour la backdoor */ ..... /* fin code backdoor */ j'ai 99% de chances de passer à coté). Et sur ceux ci combien vérifient effectivement les sources assez consciencieusement sur chaque logiciel qu'ils utilisent ?
Bref, en théorie c'est beau mais en pratique presque tout le monde se base sur un distributeur de confiance (qui dans le monde proprio est l'éditeur, dans le monde LL la distribution ou les developpeurs assez souvent).
Attention, je ne dis pas que ca ne sert à rien mais l'argument massue que le libre évite toutes les saloperies je n'y crois pas vraiment. Et pour la plupart des gens (y compris des programmeurs) les sources de l'OS ca ne sert à rien à part les compiler.