Vlákno názorů k článku Založte si vlastní repositář pro Ubuntu od vadimo - Podľa mna to bude dosť nebezpečné pre ostatných...
-
Myslim, ze toto je dulezity dotaz. Take by me to zajimalo. Balicky jsou digitalne podepsane. Pro balicky z noveho zdroje si budu muset stahnout verejny klic autora - coz delam. Problem je, ze si nedokazu predstavit, jak budu dohledavat "duveryhodnost autora" nekde na webu pro kazdy balicek. Prijde mi to takovy "zivelny" zpusob distribuce bez zpetne vazby (rozumejte kontroly), tak jako v hlavni vetvi. -
Je to podepsané všechno klíčem 025BC58F, který je pro PPA a který si musíte stáhnout. Oficiální archívy jsou podepsané jiným klíčem.
Akorát pořád nerozumím tomu rozdílu? On vám ten repozitář do /etc/apt/sources.list{,.d} někdo přidá nevědomě? Tak či onak je to vědomá akce, a jestli musí následovat "apt-key add" je snad úplně jedno.
O. -
Ano. Samozrejme, ze si uzivatel zdroje prida umyslne. Ja akorat nechapu jinou vec. O oficialni repozitare se stara jen nekolik lidi (z Canonicalu) pouzivajicich stejny podpis.
Ten "doplnkovy" repozitar bude mit jednotny podpis nebo bude podepsany kazdy balicek zvlast?
Modelova situace:
Udelam si vlastni balicek programu xxx. Do oficialniho Ubuntu repozitare jej osobne nedam (nemam prava). Poslu jej tedy nejakemu vyvojari Ubuntu. Ten se na nej samozrejme podiva a skodlivy kod muze (nemusi) odhalit. Naproti tomu u "doplnkoveho" repozitare proste prepisu neci balicek svym aktualizovanym (se skodlivym kodem) a pojistka kontroly odpada.
Repozitare tretich stran samozrejme v sources mam. Je-li zdroj na oficialnim firemnim serveru, pak lze duveryhodnost klice uverit snadno u autority. Repozitare soukromniku (Cihar - stardict) jsem doplnil do sources az pote co jej nekolik diskuznich skupin nezavisle na sobe doporucovalo jako alternativni zdroj.
Naproti tomu balicek nekde v hromade "balastu" (omlouvam se za ten vyraz), ktery tam mohl nahrat kdykoli, kdokoli je trochu jine kafe.
Ptam se jako uzivatel Ubuntu, kteremu se tato varianta zamlouva. Ne jako stoural ;-) -
Stejně tak si ten repozitář můžete přidat až po té, co si ho ověříte, že je ok. Jestli má repozitář každého uživatele vlastní podpis nebo nemá, je úplně jedno. Když si přidáte:
deb http://ppa.launchpad.net/ondrej/ubuntu gutsy main
tak vám to bude stahovat pouze balíčky, které jsem tam nahrál já. A od nikoho dalšího už ne. -
anonymníJasne, drtiva vetsina takto stvorenych repositaru bude skutecne spise osobniho charakteru a ty jim budes verit na zaklade toho, ze soused Tonda by tam zadny svinstvo prece nedal a ma tam zajimavej soft. Je to cesta k jedinecnemu stepeni sil a vzniku stovek paralelnich souboru stejneho obsahu, jejihz duveryhodnost bude zacinat prave od duveryhodnosti autora - kdyz si takove repository vytvori skutecny tvurce nejakeho softu, bude obtizne tvrdit, ze by takove repository bylo mene bezpecne nez jeho zdrojaky stahnutelne z jeho webu - a tady presne narazime na to, ze cely system umi spolehlive jen ubuntu jako cilovy system a lze pochybovat o zajmu tvurcu softu o ztratu casu s takovym projektem, radeji vytvori balicky po sve ose pro vice systemu nebo skompiluji staticky tarball. Takze z meho pohledu je to hracka pro hracicky, ktera muze slouzit spise jako inkubator vyvojaru nez cokoliv jineho.
