> Если некто некомпетентен понять код в патче, и оценить письмо с патчем
> по его содержанию, то хоть десятью сертификатами его подписывай, то при
> включенной паранойе ничто не убедит вас что он тот самый.А зачем проверять патч, если ключ автора сходится, которым он подписал изменение в своем изделии?
И сколько трудодней надо оплатить, чтобы периодические апгрейды(особенно тяжелых графических пакетов), баг фиксы, секърити патчи перепроверять вручную... в 21 веке то... когда это все делается автоматически
> И вообще, весь Интернет генерируется на суперкомпьютерах в Нью-Дубровке, штат Аризона.
Угу, я уже видел админов, оставшихся без работы с такой теорией :)
> Вообще, безопасность обеспечивается публичностью,
Угу, при условии, что все поголовно или хотя бы персоны, которым ну просто нехрен чем больше заняться будут проверять тысячи строк кода...вручную...глазками...каждый раз при каждом апдейте...
> и совокупностью сигнатур-меток, которые каждый компетный к теме товарищь в состоянии проверить и сверить.
Гхм... проверить чем? ключом PGP, который каждый может на генерировать пачку, назвав себя грозным словом "секьюрити офицер" и скинуть на публичный сервер... рядом с настоящими. И где гарантия того, кто из этих офицеров - офицер, а кто казачок залетный???
> Патчи раньше ходили в ньюсах, и никто не вякал что мол, ньюсы могут поддельными.
Ну раньше и спама не было и весь интернет в одном файле hosts умещался, а теперь интернет это не развлекуха, а вполне такая себе индустрия, в которой происходят чудеса со взломами и уводом кредиток на несколько тысяч человек...
> Смысл, если дурь выявляется сразу?
Вот это вот - просто слова, а верить можно только фактам, как например с совсем недавним реальным случаем когда куча админов залетела с руткитом в ProFTPd.
> Так что давайте закроем эту тему.
Если она вам не интересна - no problem at all.