Barrapunto

Pues que puede pasar exactamente igual en un sistema opensource. No se quien se acuerda del "repaso" que le dió a la web de Apache Raint Forest Puppy hace algún tiempo. Tampoco podemos olvidar que durante más de un año un password de reserver en Interbase estuvo allí, ¡con las fuentes públicas!.

De un tiempo a esta parte, cuando busco software para compilar, me he dado cuenta la cantidad del mismo que:

• No trae MD5
• No trae una firma de comprobación GPG/PGP

Cualquiera que en nombre del "gobierno" tenga ganas de joder, no necesita procedimientos "tan sofisticados". Suponed, que hacen un "cambio" en ftp.rediris.es. ¿Que pasaría si tuviesemos una distro completa "tocada" y con las firmas cambiadas también. Sino se comprueba la autenticidad de las firmas con otra fuente ....

¿Cuanta nos gente se baja el .tar.gz de turno y hacemos el correspondiente ./configure;make;make install?. Por desgracia las lecciones aprendidas de irssi y de BitchX hacen ser mucho más precavidos (y todo con ¡las fuentes públicas!). O lo mismo aplicable para paquetes binarios bajados de "mirrors".

Se puede argumentar - con toda la razón - que habrá gente que siempre tira de binarios oficiales hechos por las distribuciones ( de hecho, la modificación del irssi se vió por los ports de un BSD). Pero entonces ¿quien prueba, quien contribuye, quien mira los bugs si sólo espearmos a los binarios oficiales?.

Por lo demás, creo que a día de hoy la gente que cuelga un proyecto en web en fuentes debe, en la medida de lo posible aportar los medios que permitan averiguar su auteticidad.