Re: [EGD-discu] Signature installateur windows |
[ Thread Index |
Date Index
| More ergodis.org/discussions Archives
]
Le 15/03/2016 09:53, Mimoza a écrit :
Salut
Pas pour … en tous cas pas tout de suite.
Le simple fait de venir sur le site pour cela montre que la personne est familière avec l'outil informatique, du moins un minimum, donc comprendra très bien pourquoi l’exécutable n'est pas signé.
Là je ne te suis pas. Au contraire, je pense que c’est plus choquant
pour quelqu’un de familier avec l’outil informatique (le néophyte va
voir un gros avertissement, et cliquer « je m’en fous », comme il fait
toujours dans ces cas là).
Perso, ça ne me réjouis pas d’imaginer que l’installateur a été
potentiellement corrompu :
- directement sur le site
- pendant le transfert
(les deux cas existent, pour le deuxième, télécharger à travers tor
(ainsi qu’à tord et à travers, d’ailleurs :) ) est un bon moyen d’avoir
le problème).
Si elle se donne la peine de lire les message d'info et ne clique pas frénétiquement sur Ok/Suivant comme font 90% des gens.
Aujourd’hui elle n’a aucun moyen de vérifier (il me semble qu’on ne
donne même pas un md5 du fichier).
Ensuite si l'on sort une nouvelle version de la dispo pour la normalisation il es urgent d'attendre.
Il me semble que le certificat certum permet de signer plusieurs
exécutables (càd qu’on ne repaie pas pour chaque version, mais plutôt
pour une durée) — à vérifier cela dit.
Perso, payer un inconnu pour qu'il dise que tu es bien toi m'a toujours paru aberrent … mais bon.
À minima le tiers s’engage sur le fait qu’il a fait une vérification
(dans le cas présent, l’email). C’est toujours un plus par rapport à ne
rien avoir.
Julien
PS : je viens de penser que potentiellement, tuxfamily pouvait avoir
déjà l’infrastructure / les certificats pour signer. Ça pourrait être
une autre solution.
--
Pour ne plus recevoir les messels de cette liste de discussion, envoyez un messel avec pour destinataire discussions-REQUEST@xxxxxxxxxxx et pour sujet "unsubscribe".