Carlos E. R. wrote:
El 2006-09-20 a las 07:43 -0300, ricardo escribió:
"Peligroso", entonces, ¿como confiamos en lo que incluimos en el archivo de los repositorios ?
Las llaves PGP se ponen precisamente para verificar que los paquetes son realmente de quien se supone que son. Y los repositorios en si también se firman ahora, si no me equivoco. No se si el smart hace eso, no lo uso.
que se encuentran en los directorios que estàn configurados por nosotros, es decir, de antemano confiamos sì o sì de donde bajar que cosa Entonces, si vemos que una clave cambiò, raro, pero ya ha sucedido, la bajamos y la actualizamos casi sin chistar
hombre, siendo estrictos, no basta con tener la llave pública del empaquetador, habría que tenerlo en nuestro anillo de confianza (la llave es realmente de ese señor que se llama así porque le conocemos personalmente, o alguien que conocemos le conoce y responde por él).
mas de lo mismo, como hacemos para confiar en nuestro fiel compañero packman y agregarlo al source.list (en caso de apt) antes de instalarnos su clave. si, solamente por referencias de otros usuarios, y como confiar en esos otros usuarios? Entonces, prefiero que sigamos sobre palabras autoctonas antes de seguir filosofando sobre seguridad (A mì, lo de buhoneros de ayer, me matò) sobre todo porque en Buenos Aires no tenemos un adjetivo sinònimo a ese.