EG
Это ж не Линус лично баг внёс, и не Митник. Получается, любой студент может пойти и сделать бэкдор в Linux.
Size: a a a
2021 April 25
EG
Они и так не были анонимны
П
Подписи немного больше доверия, чем просто мылоадресу
EG
Ну, она гарантирует, что патч действительно прислал некий студент из этого универа.
AN
А кто подписи выдаёт?
EG
Кто угодно может пойти и сделать себе подпись
П
Какой-нибудь PKI там
EG
Потом её можно зарегать на каком-нибудь публичном кейсервере
EG
Подтвердив мыло
AN
Мне кажется там одна функция типа зарегистрируй студента: дай емейл, дай ключ.
EG
По-моему, почти все пользуются keys.gnupg.net
AN
Ну я думал там на подобии ssl цепочек не?
EG
Но, возможно, у Linux своя процедура.
EG
Существует понятие chain of trust, но для конечного пользователя оно сводится к вопросу «ты доверяешь ключу XYZ? да/нет»
p
А может уже сделал
EG
Пропустить баг от Линуса лично простительно. Если мы не доверяем Линусу, то ядро использовать вообще нельзя.
EG
Пропустить баг от гениального хакера плохо, но понимаемо.
EG
От кучки студентов? Серьёзно?
AN
Он имел ввиду студент уже сделал может
П
От универа