In Linux, quando considero fiducioso una nuova sorgente software, cosa devo valutare?

Naviga le tue risposte
8

Quando utilizzo il software PackageKit di Linux, mi confondo su quali elementi specifici di informazioni avrò bisogno per decidere se autorizzare l'installazione del software da una nuova sorgente software.

Sto usando Gnome in openSUSE. Penso che la domanda sarebbe la stessa per altri sistemi che hanno PackageKit, come KDE in Fedora.

Ogni volta che lo faccio, mi chiedo:

  • Che opinioni ho bisogno di formare?
  • Quali valori ho bisogno di sapere per formare le mie opinioni?
  • Come faccio a determinare che quei valori sono corretti e coerenti?

Diverse volte ho scelto di installare il software da un repository che non era precedentemente configurato in Linux. Un repository può darmi vantaggi tra cui notifiche di aggiornamenti e una migliore integrazione con la mia distribuzione e ambiente.

Poco dopo ho scelto di installare il nuovo software, spesso premendo un pulsante di installazione con 1 clic sul sito Web software.opensuse.org, La finestra di dialogo PackageKit" Firma software è richiesta ". Visualizza i seguenti elementi di informazione. Ognuno di loro sembra rapportarsi a qualcosa di cui ho bisogno, ma ognuno di loro presenta anche un po 'di enigma.

  • Nome del repository . Questa è spesso una parola. Penso che non sia sempre esattamente lo stesso testo di quello che vedrei elencato su software.opensuse.org, o dovunque abbia visto per l'ultima volta menzionare il repository. Ad ogni modo non sono sicuro di dove PackageKit abbia preso questo nome e su quali basi posso credere che sia corretto.
  • URL di firma . Non so cosa farmene. Sospetto che sia l'ID di alcune risorse, non in realtà un sito dove posso saperne di più.
  • Identificatore utente firma . Non so cosa fare con questo, neanche. Sembra un indirizzo email. Non so se rappresenti la persona di cui dovrei fidarmi, la persona che dovrei contattare con le preoccupazioni, l'indirizzo al quale dovrei contattare quella persona, ecc.
  • Identificatore di firma , otto cifre esadecimali. Non è abbastanza chiaro dalla finestra di dialogo o dalla sua documentazione, ma ho capito che in realtà sono solo poche cifre di una chiave GPG che avrebbe in totale 40 cifre esadecimali.

Ci sono state critiche sulla finestra di dialogo "La firma del software è necessaria" Non è esattamente quello che sto cercando. Se necessario, potrei evitare PackageKit per questa attività e usare YaST o zypper, proprio come gli utenti di PackageKit su altri sistemi potrebbero usare apt, dpkg, rpm o yum. Vorrei comunque sapere quali informazioni sono necessarie, se sono le informazioni che PackageKit presenta o altre informazioni.

    
posta minopret 04.03.2012 - 16:48
fonte

2 risposte

4

Questo è il motivo per cui la finestra di dialogo fa schifo: è confusa.

La decisione di affidare o meno un determinato repository è quella che hai già preso quando lo hai aggiunto al tuo gestore di pacchetti. L'obiettivo è quello di ottenere il software dal repository: se non ti fidi di esso non scaricheresti e non eseguirai il codice da esso.

Ho il sospetto che questa finestra di dialogo stia tentando di proteggerti da una situazione in cui il repository non è lo stesso di cui ti fidi quando lo hai aggiunto. Ad esempio, qualcuno potrebbe aver eseguito un attacco Man-In-The-Middle, quindi pensi che PackageKit si connetta al repository attendibile, ma in realtà si connette a un altro, malvagio. Se si collega a quello malvagio, la firma non corrisponderà.

Se è giusto, allora certamente non dovrebbero mostrartelo molto spesso. Dovrebbero fidarsi della firma del repository al punto di aggiungerla, e quindi visualizzare questa finestra di dialogo solo in caso di problemi successivi.

    
risposta data 07.03.2012 - 11:14
fonte
0

La discussione sul forum collegato potrebbe essere parte della risposta. Altri che aiutano a rispondere a questa domanda dovrebbero sentirsi liberi di attingere a quella fonte e questo riassunto.

La discussione fornisce un esempio di controllo riuscito sulla finestra di dialogo di PackageKit "La firma del software è richiesta" . La procedura era apparentemente ovvia per i partecipanti a quella discussione, ma non avevo familiarità con esso e probabilmente anche molti altri utenti di PackageKit non lo sono.

In Fedora 15, a un utente è stata presentata la finestra di dialogo "La firma del software è richiesta" che include i seguenti valori:

  • URL di firma: / etc / pki / rpm-gpg / RPM-GPG-KEY-fedora-x86_64
  • Identificatore utente della firma: Fedora (15)
  • Identificatore di firma: 069C8460
  • Pacchetto: libid3tag-0.15.1b-11.fc15.x86_64

Da lì la procedura dell'utente era, o almeno avrebbe potuto essere, come segue.

  1. Sfoglia uno dei server chiave crittografici che potresti trovare menzionato, ad esempio, tramite l'articolo di Wikipedia "Key server (crittografico)": link
  2. Cerca quel server per l'indirizzo email dall'identificatore utente della firma nella finestra di dialogo: [email protected]
  3. All'interno della pagina dei risultati, usa il comando Trova del browser per trovare l'identificatore della firma: 069C8460
  4. Fai clic sul link sull'identificatore per visualizzare il blocco della chiave pubblica PGP.
  5. Fai qualcosa o confronta qualcosa con il blocco della chiave pubblica PGP ... beh, non lo so ancora, ma qui bisogna conoscere le specifiche per ottenere le assicurazioni disponibili sulla sicurezza.

Questa procedura ha assicurato in modo efficace all'utente i seguenti fatti rilevanti:

  • ... beh, non li ho ancora elaborati esattamente, ma occorrerebbe capire quali fatti sono giustificati da tale procedura per applicare la stessa procedura generale ad altri casi specifici.
risposta data 08.03.2012 - 05:36
fonte

Leggi altre domande sui tag

Link vulnerabile dal contatto Skype È sicuro usare i gestori di pacchetti Python come pip, easy_install o conda?