On Fri, Jan 15, 2010 at 02:38:26PM -0500, Walber Zaldivar Herrera wrote: > Rodrigo Gallardo escribió: > > >Ok, suponiendo que estás usando repos oficiales, tienes garantizado > >que el .deb que descargas es el que el proyecto generó (porque las > >listas de paquetes están firmadas por gpg), de modo que sólo requieres > >verificar que el binario coincide con el fuente. > > Por supuesto que YO confío en Debian ;) > > El escenario de la hiper-paranoia sería > > los fuentes del paquete X, con las modificaciones de Debian están publicos > > Debian compila y empaqueta, pero en ese proceso alguien conocido > como MaloMalo adiciona una orden "plan de dominación mundial" :) y > genera el .deb > > El .deb se supone que no tenga la orden "plan de dominación mundial" > pero la tiene porque no está en las fuentes publicadas sino en las > que manipuló MaloMalo en el último instante. > > por lo que veo de los logs, MaloMalo no tiene forma de incluir su > plan sin ser detectado por otros. O me equivoco?
MaloMalo tendría que haberse apoderado de la máquina en la que se construyó el binario, que según tu arquitectura es o la del mantenedor o un autobuilder. En el segundo caso podría también haberse apoderado de la comunicación entre el autobuilder y el encargado de dicho autobuilder. Dejo de tarea a tus paranoicos amigos encontrar escenarios en los que eso pudiera ocurrir ;) -- Rodrigo Gallardo -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org