>>> А фонд вообще классный, из всех донэйшн почему то ну никак не
>>> находится пары сотен баксов на покупку банального SSL сертификата, чтоб защитить
>>> хотя бы репу и сайт.
>> Напишите таки PR с четким описанием проблемы и ее примерным решением. В
>> чем вопрос-то?
> Зная скорость с которой принимаются новые решения в Фре, на этот PR
> быстрее отреагируют кракеры/херакеры :)Да ну.
Там скорее Неуловимый Джо - это нафик никому не нужно, поскольку не имеет смысла строить доверенный канал, без построения комплексной системы безопасности сервера.
По большому счету, самая ценная весчь - это cvs/svn-репозитарий. Это ценность.
Но его копий есть.
А все остальное - пусть ухакаются до усрачки. Только рекламу создадут.
PS Шучу, конечно.
> Мой шеф сказал, что займется этим сам,
> проще б было конечно просто купить самим сертификат для Фряхи, но
> для того чтобы получить нормальный EV надо, чтобы этот сделал кто
> из официальных лиц от Фряхи.
Вы про X509 на веб-морду? А смысл в нем? Если все одно доверенный канал не означает доверенности к софту без его отдельной пороверки, или системы комплексной безопасности о которой уже написал, и которуют все один хрен за 10 тыщь км хрен проверишь и доверишся.
>> Мы обсуждаем более-менее компетентных людей, что в состоянии проверить ключ и патч,
>> или неучей, которым можно рассказывать сказки?
> Вы не можете проверить ключ.
RSA половинку?
Могу, почему нет. Сопоставив с тем, что пришел другим, более доверенным путем или различными путями.
Или тем, который был получен ранее, доверенным путем и сверен, и доверенность которого подтверждена. Факт подмены обнаруживается тут же - не сойдеться подпись на патче.
И не стал бы на этом зацикливаться.
> Если хотите, я могу вам в привате рассказать механизм, потому как рассказывать
> об этом публично, самим понимаете, - "самому себе на рану соль
> сыпать"
>> Джусти нормальный чувак, с пониманием.
> Кстати, если интересно, то правильно его имя будет произносится как "Джастин"
Да, конечно, Джасти. Лингвистическая инерция, Tхе Беатлc :)