Ximoon (./446) :
(et pire : quelqu'un peut "corriger" des bugs qui n'en sont pas, alors qu'il ne maîtrise pas le code source, et comme tout le monde pense que tout le monde relit le code, personne ne s'aperçoit que maintenant il y a un petit problème de génération de nombres aléatoires, par exemple)

C'est pas pour rien que Firefox s'appelle Iceweasel si la distrib le modifie... Pour quelque chose d'aussi critique qu'OpenSSH ça aurait pu être une bonne idée de ne pas laisser croire que l'"OpenSSH" de Debian est le vrai ?

Tiens sinon question aux linuxiens : est-ce que concrètement il y a quelque chose qui empêche la personne qui compile le paquet openssh pour une distrib donnée d'introduire volontairement un bug de ce genre ? Par exemple, est-ce que la compilation est parfaitement déterministe et pourrait être revérifiée par un tiers qui regarderait le hash, ou est-ce qu'il faut juste prier pour que le mainteneur soit gentil ?

dualmoo (./448) :
oui enfin il y a aussi des bugs dans les logiciels propriétaires qui ne sont pas détectés pendant longtemps, c'est pas du tout spécifique au libre ça

Oui, mais la grosse différence c'est que la version de Debian a reçu implicitement la confiance qu'on accorde à l'OpenSSH normal, alors que manifestement y a des gens qui ont touché à du code cryptographique sans le connaître. Sous Windows/OS X quand tu installes un binaire de Foobar Corp tu sais que personne en dehors de Foobar Corp n'y a touché (et tu peux vérifier le hash).
Et puis je suis prêt à parier que la majorité des gens qui analysent le code d'OpenSSH ne regardent que l'upstream et pas la version modifiée...

Ximoon (./446) :
Pollux> #define MAIN_D_OEUVRE MOUSSE

(hahaha j'ai fait une blague de geek)

Pfff
Mais attention, si je commence à défendre les idées de Kevin et toi son humour je me demande ce qui va se passer ensuite vince qui ne jure que par l'eau minérale italienne, Martial qui milite pour la tolérance ?