D
тоесть никто не перекапывал и значит никто не знает как взломать?
Тоесть никто не заметит, что уже взломали.
Size: a a a
2020 November 18
D
first last
а как связан взлом и аудит?
Видимо про закладки речь
fl
Тоесть никто не заметит, что уже взломали.
нет, заметить это другое
"никто не гарантирует, что не взломают"
"никто не гарантирует, что не взломают"
@
first last
а как связан взлом и аудит?
взломщик делает аудит по сути. вопрос только что он делает с найдеными уязвимостями
fl
взломщик делает аудит по сути. вопрос только что он делает с найдеными уязвимостями
да, но: 1) может только одной маленькой части, 2) не шлёт патчи
YB
first last
тоесть они собирают твои исходники на своём сервере и после подписывают результат твоим приватным ключом?
Ну вот выше говорят, что выше можно все переконфигурить, но из доков ты всегда можешь сделать новый ключ. Технически разница есть, практически - нет.
YB
есть способ и самому подписывать (но из-за неразвитости инфраструктуры - там какие-то неудобвства были с этим связанные)
Первым пунктом в документации идёт подписывание самому. Как альтернатива, есть опция закинуть ключ им и просто получать к нему доступ, чтобы каждому разработчику не нужно было городить свою инфраструктуру хранения ключей.
YB
видимо предполагается, что ты не должен хотеть им не доверять
А хотеть им не доверять действительно нет смысла, потому что они контролируют процесс проверки подписей в любом случае.
YB
first last
да, но: 1) может только одной маленькой части, 2) не шлёт патчи
Зато их десятки тысяч, а на патчи они мягко намекают сплоями
fl
Yanis Benson
Зато их десятки тысяч, а на патчи они мягко намекают сплоями
ну да, я тож хотел написать, что они стеснительные, и вместо иссуе заводят эксплойт на всяких приватных багтрекерах
AF
Yanis Benson
Первым пунктом в документации идёт подписывание самому. Как альтернатива, есть опция закинуть ключ им и просто получать к нему доступ, чтобы каждому разработчику не нужно было городить свою инфраструктуру хранения ключей.
А, спасибо, а то лень было самому снова эти доки искать. Без улучшений, значит (вы пересказали ровно то, что я писал до этого).
YB
А, спасибо, а то лень было самому снова эти доки искать. Без улучшений, значит (вы пересказали ровно то, что я писал до этого).
В смысле, без улучшений, это прямо противоречит тому, что ты говоришь.
AF
а в каком именно месте, позвольте поинтересоваться?
AF
> есть опция закинуть ключ им и просто получать к нему доступ
вы же осознаёте, что это пиздец?
вы же осознаёте, что это пиздец?
YB
а в каком именно месте, позвольте поинтересоваться?
В том месте, что дефолт - хранить ключ у себя. Ничего тайного никуда пересылать не надо.
AF
Yanis Benson
В том месте, что дефолт - хранить ключ у себя. Ничего тайного никуда пересылать не надо.
я и об этом оговорился, прошу обратить внимание
YB
> есть опция закинуть ключ им и просто получать к нему доступ
вы же осознаёте, что это пиздец?
вы же осознаёте, что это пиздец?
Пиздец - этого не делать, и, вероятно, большинство разработчиков не достаточно квалифицированны, чтобы сделать свою инфраструктуру хранения ключей.
AF
Yanis Benson
Пиздец - этого не делать, и, вероятно, большинство разработчиков не достаточно квалифицированны, чтобы сделать свою инфраструктуру хранения ключей.
там речь шла про то, что у Эпла это сделано как положено, а у гугловких инженеров (в этом конкретно месте) - руки из жопы
YB
там речь шла про то, что у Эпла это сделано как положено, а у гугловких инженеров (в этом конкретно месте) - руки из жопы
Но ведь оно сделано ТОЧНО ТАК ЖЕ.
AF
в том-то и дело, что нет ))