アカウント名:
パスワード:
なんでおもおかモデがついてるのかわからんけど、これ重要なことだよ。署名自体は誰でも(悪意の第三者でも)できるので、.tar.gz だけでなく .tar.gz.asc までセットで置き換えられたら改竄を検知できない。
なので、誰がどんな鍵を使って署名したのかという情報も合わせてチェックしないといけないんだけど、そのへんの情報は公開されてんのかしら。
いままで検証してきた人ならすぐ気づくけど、いきなり改ざん版を検証した人は気づきにくいね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
GPG署名を確認 (スコア:3, 参考になる)
Re: (スコア:0)
なんでおもおかモデがついてるのかわからんけど、これ重要なことだよ。
署名自体は誰でも(悪意の第三者でも)できるので、
.tar.gz だけでなく .tar.gz.asc までセットで置き換えられたら改竄を検知できない。
なので、誰がどんな鍵を使って署名したのかという情報も合わせて
チェックしないといけないんだけど、そのへんの情報は公開されてんのかしら。
Re:GPG署名を確認 (スコア:0)
いままで検証してきた人ならすぐ気づくけど、
いきなり改ざん版を検証した人は気づきにくいね。