Door Walter
Dus jij controleerd de broncode van iedere update die je op
je machines installeerd? Of alleen als de md5sum niet klopt.
Wat nou als de ftp server waar jij je updates van haalt
gecompromitteerd wordt, een behoorlijk mainstream pakket
(apache of postfix ofzo) met een trojan of rootkit wordt
besmet, de md5sum wordt aangepast (want de server is toch al gekraakt, en dus is een md5sum ook zo aangepast)
De md5sum staat niet op dezelfde server. Anders loop je het risico wat je hier schetst.
De md5, sha256 en filesize staan in de port skeleton. Die komt, via cvs, bij FreeBSD vandaan. De source voor bijv. Apache komt van Apache zelf. De kans dat beiden aangepast zijn is wel erg minimaal.