L©S ßlog - CyberSDF
Les dépots non officiels
Le lundi 4 septembre 2006 à 21:43:: Laurent - CyberSDF:: Ubuntu
Je suis sûr que vous êtes comme moi, vous avez tout un tas de dépôts dans votre fichier /etc/apt/sources.list pour installer telles ou telles applications non disponibles chez Ubuntu, installer des packages un peu plus à jour que les officiels, etc.
Mais quelle confiance réelle pouvons-nous faire à ces diverses sources de packages que nous ajoutons ?
Franchement, je me pose la question... Si on peut faire une confiance aveugle aux dépôts officiels de notre distribution préférée (comprendre celles qui sont en *.ubuntu.com) et éventuellement à quelques sources fiables (canonical.com, videolan.org, etc.) quid des autres dépôts plus ou moins exotiques que l'on voit fleurir un peu partout et relayés dans la communauté ?
Certes, d'aucun va me dire qu'il faut faire attention à ce qu'on installe et il aura raison, mais qui connaît vraiment tous les packages installés sur son système (surtout qu'avec le jeu des dépendances...) et leur rôle ? Quid du débutant (voir moins débutant) qui aura trouvé tel ou tel dépôt (que ce soit dans le wiki, dans le forum, dans le planet, via IRC, etc.) voire un fichier sources.list bien complet (parfois le nôtre, celui d'un vrai bon geek qui se respecte et qui, en cas de coup dur, sait s'en sortir, LUI) et qui remplacera le sien sans même regarder ce qu'il contient pour installer la super méga over top cool d'appli ?
Bref, c'est une histoire de confiance, mais quand on voit que certains de ces dépôts tiennent vraiment de l'amateurisme et nombre de packages qu'ils contiennent sont mal créés (pas de description, section inconnue, adresse email du mainteneur plus ou moins exotique, paquets non signés, etc.) cela n'engage pas vraiment à la confiance. De plus, qui nous dit que l'installation de leurs packages ne va déstabiliser notre système, y inclure des bugs ou des failles de sécurité, voire, pourquoi pas, des petits bouts de code indiscret, etc. ? La réflexion est valable également pour les fichiers *.deb qui traînent de ci de là...
Bref, je m'interroge et je pense que je vais faire peur à quelques uns, c'est d'ailleurs le but 
mais, sans un peu de parano, notre système d'exploitation préféré n'aurait pas cette qualité.
Donc, si vous ne voulez pas de problème, je vous invite à utiliser uniquement les dépôts officiels proposés par votre synaptic.
Je suis conscient que cela peut ne pas suffire, franchement, je me vois mal me passer des quelques applications que j'ai installées via ce principe, peut-être faudrait-il créer une structure fédératrice permettant à tous de contribuer, où seuls quelques uns désignés (via méritocratie) auraient la main et la charge de vérifier ce qui y est ajouté ? Ah flûte.. ça semble déjà exister...
Blogmark it ! :: trackback fermés :: fil rss des commentaires
Aucun trackback.
Commentaire(s)
1.
Le lundi 4 septembre 2006 à 22:21 ::
Luc 
Un autre point avec synaptic, il faut parfois faire attention aux désinstallations qui suppriment des paquets qu'il ne faut pas.
Par exemple, je voulais retirer Totem et synaptic me proposait de supprimer "ubuntu-desktop"!!!
Donc, pour les débutants comme moi, faut bien commencer!
Faut vraiment faire attention à tous les niveaux avec les installations!
2.
Le mardi 5 septembre 2006 à 01:44 ::
traaf 
@luc
ubuntu-desktop est un paquet non indispensable, c'est en fait ce que l'on appelle un meta-paquet.
il n'apporte rien, sinon une liste de dépendances pour installer les application desktop par défaut, ce qui explique le fait que si tu retire totem, le jeu de dépendances te force a retirer le paquet ubuntu-dektop, qui a pour dépendance....totem
Sinon, ce sujet est a mon avis d'une importance primordiale, pour les newbies qui peuvent ne pas comprendre l'origine d'une instabilité ou de dépendances cassée apres manipulations du sources.list
ubuntero depuis les débutes de hoary, j'ai eu quelques soucis de dépendances cassées a causes de dépots "exotiques", et je me contente maintenant des dépots officiels , enrichis de quelques autres soigneusement sélectionnés (3 ou 4, pas plus)
3.
Le mardi 5 septembre 2006 à 09:23 ::
Gloubiboulga 
Je plussoie cet article, la question se pose vraiment. On a répertorié plusieurs bugs incompréhensibles dans Malone (le bug tracker system utilisé par Ubuntu), qui étaient finalement dûs à des paquets foireux dans des dépôts externes (je pense particulièrement à la mise à jour de libvte dans un dépôt Xgl, qui faisait planter synaptic, gnome-terminal et autres).
Je ne suis pas contre des dépôts externes (j'en maintient un petit), mais, oui, il faudrait vérifier ce qu'il y a dedans. Ceux d'asher256, mr_pouit (plf et perso), ou encore les dépôts e17 de Sp4rKy et Lutin ont leur raison d'être. Ceux qui sont une compilation de paquets faits avec checkinstall et ne proposant pas les paquets sources sont :
1. dangereux pour les utilisateurs
2. sales
3. illégaux (cf. la GPL, la distribution d'un soft en binaire nécessite d'avoir le code source disponible sur le même serveur).
(oui, j'essaie de faire peur aussi)
Message aux mainteneurs des dépôts sus-cités : faites inclure vos paquets dans les dépôts officiels !!!
4.
Le mardi 5 septembre 2006 à 10:02 ::
sydtux
Merci pour ce rappel / mise en garde
Je vais faire un tour dans mon source.list, je dois avoir du ménage à faire.
Gloubiboulga : j'ai exactement ce pb avec synaptic et gnome-terminal, merci d'avoir posté cet exemple
5.
Le mardi 5 septembre 2006 à 13:50 ::
SkeRoy 
Absolument d'accord avec ce rappel. Je preciserais même qu'installer un logiciel des depôts revient à l'installer en tant que root.
On dit souvent qu'être administrateur sous win c'est dangereux parce qu'on peut tout installer, mais si on ne fait pas attention aux depôts, celà revient presque au même!
N'importe qui peut faire son depôt et y mettre son virus, keylogger (ça existe sous linux aussi?) et le faire passer pour un programme interessant que l'utilisateur non averti installera bêtement (c'est tellement simple).
Joli mise en garde! Et moi aussi, je n'utilise que les depôts officiels (+ blackports).
6.
Le mardi 5 septembre 2006 à 14:59 ::
dragonsdefeu 
merci pour cette mise en guarde, je suis un pur débutant et hier j'ai faillis supprimer Totem un ami m'a mis en alerte en me renvoyant sur votre site.
encore merci..
La famille dragonsdefeu
7.
Le mardi 5 septembre 2006 à 19:56 ::
Simon
Si vous voulez une distrib simple à installer à base de .deb avec des logiciels à jour sans avoir à ajouter des dépôts pas fiable, ya debian etch/sid
8.
Le mardi 5 septembre 2006 à 20:08 ::
Roro
Message aux mainteneurs des dépôts sus-cités : faites inclure vos paquets dans les dépôts officiels !!!
==> Une question par curiosité : Comment on fait pour faire inclure un paquet dans un dépot officiel ? C'est difficile/long/fastidieux ?
9.
Le mardi 5 septembre 2006 à 21:12 ::
Laurent - CyberSDF 
@Roro : Tout est là ; Forcément c'est moins valorisant que d'avoir son propre dépôt à soit que l'on maintient avec amour, mais au moins, une fois accepté et intégré, tous les utilisateurs d'ubuntu peuvent bénéficier des paquets...
10.
Le mardi 5 septembre 2006 à 21:57 ::
Infinity
Et il serai possible pour un mainteneur d'un dépôt non officiel de publier un paquet frauduleux avec le même nom qu'un paquet officiel et avec un n° de version supérieur pour qu'un upgrade introduise le virus dans le système ?
Si c'est le cas, je pense qu'il faudrait revoir ce système basé sur la confiance, nan ?
Pour le moment, on est entre gens plus ou moins passionés, en tout cas volontaires, mais si un jour Linux devient vraiment grand public, il faudra faire gaffe aux lamers... Je pense qu'il y a plus de faille à exploiter qu'on ne pense. (J'apelle une faille pas forcément un défaut dans le code, mais une astuce pour nuir.)
11.
Le mardi 5 septembre 2006 à 23:24 ::
Laurent - CyberSDF
@Infinity: oui c'est possible (tout est possible), mais ce qui peut être plus vraisemblable qu'un virus, c'est de mettre un trojan (si si il en existe des tas pour Linux) dans un package faisant tourner un service en root, d'ailleurs mon billet n'est pas anodin ;-).
Bien sûr que tout est basé sur la confiance, c'est bien parce qu'il y a un réel danger de faire une confiance aveugle à n'importe quels fournisseurs de .deb que je le souligne par ce billet. Packager des applis c'est bien, ça rend service à tous et notamment aux débutants, mais il ne faut pas oublier qu'il existe des procédures de validation et de contrôle officielles pour tout ça et qu'elles sont ouvertes à tous et pour tous.
Maintenant, chacun est libre de faire ce qu'il veut, mais perso, plutôt que d'installer un binaire venant de je ne sait où, je préfère me le créer moi-même pour moi à partir des sources du soft et si ça peut intéresser d'autres, éventuellement les proposer dans universe.
12.
Le mercredi 6 septembre 2006 à 12:14 ::
fcomspud 
Petit rappel qui fera sûrement du bien au nouveau venu... dans le monde informatique... Mais ce n'est pas un problème ubuntu mais de l'informatique en général.
Je rebondis sur ce sujet qui mériterait un billet complet (d'une personne compétente, pas moi donc). La stabilité d'un système (linux ou windows) est au top tant qu'on ne s'amuse pas comme à tester toutes les dernières nouveautés et autres mises à jour. Doit pas y avoir beaucoup de monde capable de nettoyer un système linux correctement... pour windows c'est "quasi" impossible donc on n'en parle même pas...
13.
Le mercredi 6 septembre 2006 à 14:54 ::
mr_pouit
Très bon article, j'espère qu'il aura eu assez d'impact grâce au planet
C'est pour ça que je suis pas un adepte des solutions qui modifient le sources.list sans te dire exactement ce qu'elles font
"Forcement c'est moins valorisant que d'avoir son propre dépôt à soit que l'on maintient avec amour [...]"
==> Au contraire, je trouve ça plus valorisant d'intégrer un paquet dans universe, parce qu'il peut bénéficier à tout le monde justement, et parce qu'il est quand même vérifié par 2 MOTU
14.
Le jeudi 7 septembre 2006 à 07:26 ::
Gloubiboulga
@Roro : ce n'est ni long ni fastidieux ni difficile de faire entrer le paquet dans universe. Il faut juste savoir parler un minimum d'anglais, et savoir enquiquiner un peu les devs ubuntu sur #ubuntu-motu (freenode)
Les commentaires sont fermés.
Toutes les fautes d'orthographes présentes sur ce site sont protégées par la licence
Creative common
En ce moment
- 13 visiteurs égarés
- 207 billets
- 782 commentaires
A la carte
Le mieux d'ici
J'ai dit un jour
(31/3/2007)Calendrier
| lun | mar | mer | jeu | ven | sam | dim |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 |
Archives
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007
- janvier 2007
- décembre 2006
- novembre 2006
- octobre 2006
- septembre 2006
- août 2006
- juillet 2006
- juin 2006
- avril 2006
- mars 2006
- février 2006
- janvier 2006
- décembre 2005
- novembre 2005
- octobre 2005
- septembre 2005
- août 2005
- juillet 2005
- juin 2005
- mai 2005
- avril 2005
- mars 2005
Ailleurs
Contact
|
|
|
|
Design décliné de [ON]Simple par [ NikO ]
Hébergé par Typhon.Network