> Le md5sum du site d'origine est seul à faire foi évidemment...
sauf si le serveur principal est corrompu : aucun md5sum n'est fiable ;-)
> je crois que les distributions modernes font ça
Les rpms sont signés (depuis longtemps) mais pas les .deb
Pour les .deb, la politique sera probablement de signer un fichier contenant les md5sums des packages. Mais il n'y a rien pour le moment.
[^] # distributions
Posté par pappy . En réponse à la dépêche Cheval de Troie découvert dans la libpcap et tcpdump. Évalué à 5.
sauf si le serveur principal est corrompu : aucun md5sum n'est fiable ;-)
> je crois que les distributions modernes font ça
Les rpms sont signés (depuis longtemps) mais pas les .deb
Pour les .deb, la politique sera probablement de signer un fichier contenant les md5sums des packages. Mais il n'y a rien pour le moment.