> Раньше использовались MD5 и SHA-1 (да, сразу две контрольные суммы) в портах
> для проверки того, те ли дистфайлы дежат в /usr/ports/distfiles И чего помешает на подставном сервере MITMа пересчитать эти суммы, если уж атаку проводить? Ничего? Ну я так и думал :).
> Бутстрап на всех этапах разворачивания подтверждается правильностью контрольных сумм,
> приведённым на официальном сайте.
И как ты проверил что это именно официальный сайт и официальные суммы?
> Чтобы что-то на флешке или DVD приносилось — не припомню этого.
Для начала, если ты видишь сайт - стопроцентной гарантии что это именно тот сайт нет. Чем пользуются всякие фишеры и т.п..
> Как ты отличишь нормальный дистр от ненормального, по каким признакам?
Для себя - по логике формирования пакетов пригодной для продакшна.
> Разве что по сбору и анализу статистики раскиданных грабель: где меньше на них
> натыкаешься, тот дистр более-менее нормальный, так что ли? :))
А это можно заранее прикинуть по политике дистра относительно софта. Например стабилизация как у дебиана, убунты, рхела и прочего может и задерживает поступление свежака, зато гарантирует что в процессе эксплуатации ничего не отвалится.
> С таким подходом скакать по дистрам и выбирать "нормальный" можно очень долго
Дурная голова ногам^W рукам покоя не дает?
> системы и не связываться с исходниками, давно замечено: прыгают с (бинарного)
> дистра на дистр как белки, в поисках лучшего дистрибутива. :))
То ли дело изя. Регулярно плачется про то как кучу всего долго компилять, но все-равно мужественно переносит все невзгоды. Понимаешь, чувак, я пользователь а не терпила. Мне система для того чтобы юзать, а не "осиливать".
> Вопросов больше не имею.
Ну дык. Все просто и логично. А вот твоя логика хромает в самом начале. См. выше.
Хинт: доверия сорцу с официального сервера, бла-бла-бла - ровно столько же сколько и бинарю оттуда же. Сервер и люди одни и те же ведь, а формат представления вообще техническая деталь. И крякер интернета с исходником не становится менее вредным если ты его запустил, понимаешь ли.
