At 02:07 5/8/2001 -0300, Lisias Toledo wrote:
> >
> > Se vc instalar tudo pelo codigo fonte vc nao tem nenhum controle de
> > dependencia, atualizacao, assinatura de pacotes, listagem e relatorio, e
> > nem controle da localizacao dos arquivos. Gotcha.
>
>Ou talvez vc seja um t�cnico capacitado, e tenha este controle de forma
>manual, que � como se fazia antes dos pacotes, u�... Antes dos RPMS e DEBs da
>vida, existia sim controle de depend�ncias, localiza��o e atualiza��o. Mas
>eram todas manuais, e somente quem entendia conseguia fazer com sucesso. Os
>sistemas de pacotes AUTOMATIZARAM o processo.
No way.
N�o h� como vc manter controle da integridade de mais de 2 mil bin�rios sem
alguma forma de assinatura digital. E mesmo que se utilizasse de alguma
solucao do tipo md5sum, ela pode ser facilmente contornada (goto paragrafo
2). Sem falar que a cada processo de atualizacao, de acordo com a forma q
vc diz q era usada, a cada binario comprometido todo o processo de
compilacao/instalacao teria q ser refeito, todo o processo manual de
cataloga��o teria q ser refeito, tornando a manutencao de qualquer sistema
unix invi�vel. Antigamente nao havia controle de localizacao de pacotes,
para isso � que foram inventados os gerenciadores de pacotes (oh). Nao se
inventa uma solucao para um problema q nao existe, a nao ser q vc seja Eric
Raymond. :) Talvez seja interessante vc demonstrar para n�s como se faz
controle de dependencia, localizacao e atualizacao sem uma base de dados.
N�o, um texto escrito no vim nao deixa de ser uma base de dados.
Outra coisa: vc est� confundindo assinatura de pacotes com chaves de
integridade. Um pacote rpm ou deb da vida assinado digitalmente est�
assinado com GPG, que como todos sabem consiste de uma chave publica e
outra privada, que somente juntas podem autenticar um pacote como vindo de
seu verdadeiro dono. No caso do ftp.kernel.org, alguem poderia trojanear o
pacote no servidor e mudar a chave MD5 que est� postada l� com a saida do
md5sum gerada do pacote comprometido. touch(1), e o problema com datas �
resolvido. Aquilo nao � garantia de seguran�a, � s� uma forma r�pida de
checar se o download nao chegou corrompido. N�o confunda vale com atestado.
--
Thiago Pimentel -- [ - [EMAIL PROTECTED] - ] --
Programadores de verdade escrevem c�digo de verdade. Programadores surreais
usam Visual Basic.
-- Caio Begotti
Assinantes em 05/08/2001: 2254
Mensagens recebidas desde 07/01/1999: 126374
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
