アカウント名:
パスワード:
こういうミラーが改ざんされてたとかいう話を聞く度に不思議に思うんですが、電子署名をなんでしないんでしょうか?統一されたコンテナやUI、鍵の取得や維持といったコスト(金銭的以外の手間等といった物含む)が原因なんですかね?sfとかが、プロジェクトの管理者が指定すれば、配布アーカイブにそのプロジェクト名の署名が追加されるとかになると面白い気もしますが。もちろん、中身が信用できるか否かという問題はありますが、それ以前の状態って感じなので。
# 一応日本では年間6万弱で個人でも取得可能だったりします。 [globalsign.com](要印鑑証明)
そこまでしなくても, 本家でダウンロード物件のサイズとSHA256あたりのハッシュ値を提示しておいて, ミラーから落としてきた物をそれと突き合わせれば大抵の場合問題無いと思います. 実際, ダウンロードサイトにはSHA256とかMD5(これは今となっては危ないかも)とかのファイルが検証用に用意されていることが多いですし, ハッシュ値だけのダウンロードなら量が少ないですからマスターサイトに集中してもそれほどの負荷にはならないでしょうし.
私はそのあたりのチェックを自動でやってくれるFreeBSDのportsを使っているので, あまり気にしたことがありませんが.
今は署名して配布しますね。残念ながらこの名で配布する物がない状態ですが。他にはCD/DVD-Rで直接手渡しとかPGPでとかでしょうか?
これとは程度問題が違うけど、Debianのパッケージとか一部パッケージシステムはPGPによる署名検証できるようになってたりするよね
あと個別配布でも、そのアプリによって(よくあるのはセキュリティ系ツールとか)も自前で署名して配布してたりする
まあ、面倒ではあるが、確認可能という意味ではいいかなぁ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
何で電子署名&検証しないの? (スコア:2, 興味深い)
こういうミラーが改ざんされてたとかいう話を聞く度に不思議に思うんですが、電子署名をなんでしないんでしょうか?
統一されたコンテナやUI、鍵の取得や維持といったコスト(金銭的以外の手間等といった物含む)が原因なんですかね?
sfとかが、プロジェクトの管理者が指定すれば、配布アーカイブにそのプロジェクト名の署名が追加されるとかになると面白い気もしますが。
もちろん、中身が信用できるか否かという問題はありますが、それ以前の状態って感じなので。
# 一応日本では年間6万弱で個人でも取得可能だったりします。 [globalsign.com](要印鑑証明)
Re:何で電子署名&検証しないの? (スコア:1)
そこまでしなくても, 本家でダウンロード物件のサイズとSHA256あたりのハッシュ値を提示しておいて, ミラーから落としてきた物をそれと突き合わせれば大抵の場合問題無いと思います. 実際, ダウンロードサイトにはSHA256とかMD5(これは今となっては危ないかも)とかのファイルが検証用に用意されていることが多いですし, ハッシュ値だけのダウンロードなら量が少ないですからマスターサイトに集中してもそれほどの負荷にはならないでしょうし.
私はそのあたりのチェックを自動でやってくれるFreeBSDのportsを使っているので, あまり気にしたことがありませんが.
Re: (スコア:0)
可能だとわかっていることと、実際に各人が行うことは違うんです。
Re:何で電子署名&検証しないの? (スコア:1)
今は署名して配布しますね。残念ながらこの名で配布する物がない状態ですが。
他にはCD/DVD-Rで直接手渡しとかPGPでとかでしょうか?
Re: (スコア:0)
私も電子署名するようにします。
Re: (スコア:0)
これとは程度問題が違うけど、Debianのパッケージとか一部パッケージシステムはPGPによる署名検証できるようになってたりするよね
あと個別配布でも、そのアプリによって(よくあるのはセキュリティ系ツールとか)も自前で署名して配布してたりする
まあ、面倒ではあるが、確認可能という意味ではいいかなぁ