• [^] # distributions

    Posté par . En réponse à la dépêche Cheval de Troie découvert dans la libpcap et tcpdump. Évalué à 5.

    > Le md5sum du site d'origine est seul à faire foi évidemment...
    sauf si le serveur principal est corrompu : aucun md5sum n'est fiable ;-)

    > je crois que les distributions modernes font ça
    Les rpms sont signés (depuis longtemps) mais pas les .deb
    Pour les .deb, la politique sera probablement de signer un fichier contenant les md5sums des packages. Mais il n'y a rien pour le moment.