(Courriels de diversion: <independante@epandage-accoutumes.com> <mourante@maintiendriez-surgir.com> <apostasier@foncerai-delivreraient.com> <usurper@valoriserais-proprietaire.com> <bafouilleuse@consequente-depossession.com> <depensieres@estime-recoifferez.com> <suspensive@pleurais-blondissaient.com> <betonnais@amenuiseriez-protagoniste.com> <enlaca@massivement-diffracter.com> <moralisee@excederent-interceptee.com> )
Hello, >> C'est vrai que c'est une bonne idée de conseiller aux gens d'ouvrir >> des sessions root pour utiliser un truc complexe, potentiellement >> buggé, dont on connait assez peu l'origine, et qui peut donc faire >> n'importe quoi n'importe où. J'ai nommé un système de build. > > > si tu compile ce genre de chose, tu prends tes risques... c'est > illusoire de penser que compiler vous protège. comment verrez-vous si le > source contient un virus? vous examinez tous les source au microscope > avant de compiler? > > la seule façon de se protéger c'est de surveiller l'endroit ou on prends > le programme (binaire ou source), et de remonter au programmeur tout > élément suspect. > > ce qui protège le ll c'est l'identification du programmeur et sa > disponibilité. Non, il y a des exemples récents qui prouvent qu'il n'y a rien de pire que de faire uniquement confiance à l'endroit où l'on récupère les sources. On se souviendra de l'exemple fumant de OpenSSH 3.1 dont lse serveur s'était vu corrompre et dont le source mis à disposition avait été trojané et le checksum modifié. En fait, le trojan ouvrait un reverse ssh vers le serveur (lui même trojané) puis se supprimait du source mais n'était capable de ne le faire qu'en root. Celà se faisait au ./configure (ou au make). Il est donc totalement inconscient de travailler en root. en gros, c "./configure && make && sudo make install" (si vous avez le temps de tester, il faut le faire un simple util avec le make install) >> >> >>> * il veut mettre en place le noyau principal de sa machine. Il veut le >>> compiler lui-même pour l'optimiser. Il le met dans /usr/src, ainsi que >>> tous les srpm (rpm sources). >> >> >> Si tu avais lu le thread, tu te serais rendu compte que ce n'est pas >> un noyau qu'il veut compiler > > > pour les autres applis ca n'a pas d'impportance, puisque le source est > destiné à disparaitre très vite. alors que le source du noyau on le > garde (au moins les en-têtes sont souvent nécessaires) Sauf si tu fais comme beaucoup: tu compile à partir du CVS, donc tu conserve les sources. -- @+ Yann -------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>