Je hebt een klacht over de onderstaande posting:
Door SirDice: Ook leuk inderdaad. Maar ik denk dat er in het geval van unrealircd zelfs signed versies op officiele repository servers staan. Zoals je al zei, het feit dat zo'n stukje software signed is zegt helemaal niets. Voor zover mij bekend worden er namelijk geen audits gedaan op software voordat ze opgenomen worden in een reposirory. Yep. Bijna iedereen die een package maakt van binaries, al dan niet zelf van source gecompileerd, zal het package signen. Voorpogesteld dat je de key van de signer kent en vertrouwt kun je maar 1 met 99.9% zekerheid zeggen: "Het package is niet veranderd sinds ik de download heb gestart." en dat alleen als je de key kent en vertrouwt! Dat is het grote nadeel van PGP: het gaat om wederzijds vertrouwen, terwijl je PKI/X.509 nog een centrale autoriteit hebt die door bijna iedereen wordt vertrouwd (grotere zekerheid). Maar al dat signen zegt dus niks over bijvoorbeeld: - de source code - het systeem waarop de code is compiled - het systeem waarop de package is signed
Beschrijf je klacht (Optioneel):