Vlákno názorů k článku
Linus Torvalds komentuje nalezení kolize SHA-1
od SB - Nějak jsem nepochopil, co chtěl vlastně pan Torvalds...
-
Petr M (neregistrovaný)
Spíš chtěl říct, že je rozdíl,jak se ten hash použije.
GIT nepoužívá hash jako podpis autora*, ale jako identifikátor verze a kontrolní součet přenášených dat. Pro patch velikosti 5kB, který obsahuje zdroják, co se nedá zkompilovat při změně mimo komentář a přenese se šifrovanou cestou (SSH), je to zatím dostačující a 160b pro rozlišení verzí je až až.
* Jméno a e-mailový adresa jsou součást commitu a zahrnuty do hashe, ale ejeich význam je stejný jako u datumu
-
Petr M (neregistrovaný)
Nepodepisuju se ve verzovacím systému. Proč bych to, sakra, dělal? Potřebuju jednoznačně identifikovat commit a na to SHA-1 stačí. Nikdo nevíc zatím neumí podvrhnout SHA-1 mna plain textu tak, že by to panu Jenkinsovi nevadilo a nebyl tam někde na konci 500kB komentář z rozsypané rýže.
Kdo je oprávněný, odešle zdrojáky, kdo ne, ten se k verzovacímu systému nedostane, protože nemá na serveru zaregistrovaný certifikát a SSH ho nepustí. Admin serveru kontroluje, čí klíč zaregistruje.
A distribuce SW probíhá jinak, než ve verzovacím systému... GIT a podpis binárky/balíčku jsou různý věci.
-
Jenda (neregistrovaný)
> Nepodepisuju se ve verzovacím systému. Proč bych to, sakra, dělal?
Já nevím, aby lidi věděli, že to, co si vyklonovali z nedůvěryhodného mirroru, je fakt od tebe?
> Nikdo nevíc zatím neumí podvrhnout SHA-1 mna plain textu tak, že by to panu Jenkinsovi nevadilo a nebyl tam někde na konci 500kB komentář z rozsypané rýže.
Lidi často do gitu dávají i jiné než ryze plaintextové věci.
-
Petr M (neregistrovaný)
"Já nevím, aby lidi věděli, že to, co si vyklonovali z nedůvěryhodného mirroru, je fakt od tebe?"
To není můj problém, že nepoužívají oficiální zdroj. Přece si nebudu já přidělávat práci s podepisováním, aby někdo jiný rejžoval reklamou na zveřejnění mojí práce...
"Lidi často do gitu dávají i jiné než ryze plaintextové věci."
Jo, třeba privátní klíče... :D :D :D
Konfigurace mám v XML, obrázky v DOTu nebo Dia (=XML), Eagle tuším od 5ky používá XML, dokumentaci mám v Markdownu nebo se dá požít Latex. Makefile je taky textový. Logy atd. mám zásadně v CSV nebo XML. A nic jinýho nepotřebuju. Obráky se dají stáhnout online z webu, link je zase textový.
Binární soubory do verzovacího sysyému prostě nepatří.
-
Filip JirsákStříbrný podporovatelBinární soubory do verzovacího sysyému prostě nepatří.
Já bych naopak měl rád verzovací systém zaměřený právě na binární soubory. Vyfotím spoustu fotek – tak jak jsou je chci dát do verzovacího systému. Pak vyházím ty nepodařené – další verze. Pak je různě upravuju, jednu fotku často i v několika verzích. To všechno bych chtěl mít verzované. Programů pro správu fotek je spousta, ale rozumně verzovat fotky neumí snad žádný.
