Me han pasado esta noticia que supongo que algunos ya habrán leído... pero para los que no aquí va...

http://www.muylinux.com/2011/03/02/mal- ... rch-linux/

bueno no me pareció la gran cosa.... en mi opinión las firmas aveces suelen crear una falsa seguridad --> el usuario se siente seguro porque el paquete viene firmado y luego su sistema es comprometido --> como paso hace años con fedora si mal no recuerdo.. en otras palabras si quieres un sistema seguro hazlo tu mismo seguro, instala rotkit, monitor-ea todo el trafico etc.

estoy de acuerdo con quien dijo que si un usuario pone su vida en las firma de los paquetes merece morir...

Arch se ha hecho grande, y estaría bien que vinieran firmados los paquetes, le daría más categoría y posibilidades a Pacman, pero no sé, me da a mi, que toda esta gente en vez de colaborar se pone a discutir Aunque también es cierto que primero se discute y luego se actúa, pero han hecho un poco una montaña de un grano de arena.

Como dice m[cun], las firmas en los paquetes están sobrevaloradas. A veces, viene hasta bien que no estén firmados, porque me ha permitido parchear algunos paquetes en mi sistema sin mucho calentamiento de cabeza y luego instalarlos con Pacman.

Pero mira, igual que te digo que me he aprovechado de las no-firmas, también te digo que a veces he tenido problemas con algunos paquetes, ya que me he encontrado el mismo .tar.gz con tamaños diferentes en mirrors diferentes, y hace un par de años se me fastidió la instalación por eso; aunque sea más lento, pero confío más en el repositorio oficial

La verdad, no lo sabía, pero leí esos enlaces y dice que habido gente que le a colaborado con parches para solucionar eso, y los desarrolladores no los han aceptado, eso es estupido .



:/ me parece que no has entendido nada, la firma se usa para verificar que el paquete no haya sido modificado desde el momento en que sale de la computadora del upstreamer hasta que llega a tu computadora, en ese transcurso alguien puede haber insertado malware dentro de tus paquetes.
Con un sistema de firmas evitas eso y realmente es un sistema muy sencillo de implementar.



:/ , el que dijo eso, lo dijo por la calentura del momento y sin pensar mucho antes de escribir, el usuario no se encarga de chequear la firma, es el programa el que lo hace, el upstreamer tampoco tiene trabajo extra ya que es el mismo programa de empaquetado el que genera automáticamente la firma.

Por ejemplo lo que se puede hacer es agregar 3 o 4 lineas de código a makepkg (si no me equivoco, es este el que genera los paquetes) para que genere la firma del paquete mediante gpg, md5, sha o lo que sea.
Luego con otro comando se envía la firma + el nombre del paquete a un archivo que contiene todos los nombres de paquetes y sus firmas a un archivo ubicado en el server principal (no mirror).
Cuando el usuario va a instalar el paquete pacman baja el archivo de firmas y cuando va a instalar el paquete genera nuevamente su firma y la compara con la del archivo de firmas y si son iguales instala sino no. Es realmente simple, pero claro, se requiere la colaboración de los desarrolladores de Arch que al parecer no les interesa

estoy de acuerdo en lo que dices sobre el funcionamiento de las firmas... pero eso que tiene que ver con o que yo digo -->

Las firmas garantizan que el paquete no sea infectado en su trayecto OK pero yo o dije lo contrario, yo digo que no es la panacea de la seguridad, ya que si es comprometido el servidor las firmas también y donde queda allí la seguridad ......

Luego que si confías cosas vitales en los repos de tu distro pues luego no te quejes ... la seguridad va mucho mas allá de ello, tu debes proteger el sistema con herramientas mas fiables que una firma... en todo caso es algo adicional pero en mi opinión, genera una sensación de seguridad que es falsa ya que el usuario simplemente confía en los repos... y eso es personal pero si con tu pc realizas operaciones sensibles y no sabes que procesos esta corriendo mmmm si te confia que has instalado todo desde los repos y entonces todo está bien mmm

eso es lo que intentaba decir...

Bueno esto no creo que sea tan grabe como lo plantean...esto no es nuevo en arch y nunca a pasado nada...ademas de que el proyecto de firmas ya se esta implementando....pero es un proceso largo, no puede ser algo de que un día para otro ya todo este firmado.

Nunca ha pasado nada.. hasta que pase.
Yo creo que aunque como dice m[cun], tampoco es que aumente muchísimo la seguridad, no viene mal implementar las firmas de paquetes, toda medida de seguridad que tomes es poca

jolin, si que se ha generado debate con una noticia que he linkado manteniendo incluso el titulo con el que me la han pasado xD

En mi opinión creo que si que se debería crear un sistema de firmas para los paquetes, ya que te da una "cierta seguridad", pero opino como el resto de que si realmente quieres un sistema confiable al 99% (nunca se puede estar al 100%), no puedes fiarte solo de los repositorios estén o no firmados.