"Én arról beszéltem, hogy a számítástechnika világában léteznek olyan technikák, amik feleslegessé teszik a "végigolvasást"."
Ez hülyeség. Itt nem a feleslegességről van szó, hanem arról, hogy mennyire lehet megbízni most egy konkrét debian csomagban. A hatvanmillió user példára írtam, hogy nyilván nem fogják a bináris kódot végigolvasni az emberek. Ez egyébként nem lenne felesleges, csak nem praktikus.
A végigolvasás feleslegessége alapvetően attól függ, hogy mennyire bízol meg azt ezt kiváltó procedúrákban. Én általában megbíznék egy debiantól jövő aláírt, checksumolt csomagban, ha most épp nem törték volna fel a fejlesztői szerverüket. Nyilván én is ismerem az általában használt technikákat, te azt nem érted meg, hogy ez most miért nem tekinthető elegendő védelemnek.
"Ott is checksum-olnak."
Mit checksumolnak? Azon a gondolatmeneten, hogy a debian csomagfelelős lefordítja az új verzióját x csomagnak, checksumolja, majd elmegy aludni, jön a crackerünk, megpatcheli a forrást, lefordítja a rootolt kódot, legenerálja újra a checksumot, másnap fogja a fejlesztő és normál procedúrával kitolja a csomagot benne a rootkittel, mit nem lehet érteni? Ha akár minden lépést checksumolnak és mondjuk komplikálják a procedúrát, akkor is meg tudja backdoorolni a csomagot a crackerünk, ha akarja és nem hülye. Alapvetően a tényállás az, hogy ő (is) uralja a rendszert és bármi ami onnan jön, not-to-be trusted.
Itt nem elvi eshetőségről beszélünk, hanem arról, hogy felfedezték, hogy megtörték a debian fejlesztői szervert, és annak lehetséges következményeiről.
Egyébként nyugodtan fogalmazz barátságosabb stílusban, nem kell így nekem esni...