Il giorno mer, 14/05/2008 alle 16.03 +0200, RaSca ha scritto: > Franco Vite ha scritto: > > Pessime figure... :-| > [...] > > Se lo dici tu... In meno di una giornata è già fuori la patch, il > pacchetto aggiornato e si sa tutto del BUG. > > Trova un servizio simile in qualsiasi altro sistema operativo... Sicuramente la velocità con cui la cosa è stata gestita è stata notevole, e probabilmente difficilmente riscontrabile da altre parti. Resta il fatto che il bug è stato introdotto come effetto collaterale di modifiche fatte al pacchetto Debian/Ubuntu rispetto alla versione upstream. Secondo me non è tanto questione di andare alla ricerca di bug, quanto di fare attenzione alle modifiche che si fanno: quando si fa a toccare una parte sensibile come il generatore di primi in librerie basilari come le OpenSSL è necessario procedere con i piedi di piombo, e un bug di questo tipo è una leggerezza a cui bisognerebbe fare molta attenzione. Nel 2008 il maintainer del pacchetto si è comportato benissimo, ma il problema è stato nel 2006. In ogni caso, sia chiaro che non intendo assolutamente screditare chi lavora si questi pacchetti: "errare humanum est". Però ci sono ambiti in cui bisognerebbe fare in modo che accada il meno possibile, con _molta_ attenzione. Ed è già buono, almeno dalla mia prospettiva, che il bug abbia riguardato SSH e SSL e non GPG, nel cui caso tanta gente avrebbe dovuto crearsi una nuova chiave e andare a procurarsi nuovamente tutte le firme che aveva. Ad ogni modo, così sono andate le cose. Meno male che ci se ne è accorti! :-) Gio. -- Giovanni Mascellani <g.mascellani@gmail.com> Pisa, Italy Web: http://giomasce.altervista.org SIP: g.mascellani@ekiga.net Jabber: g.mascellani@jabber.org / giovanni@elabor.homelinux.org GPG: 0x5F1FBF70 (FP: 1EB6 3D43 E201 4DDF 67BD 003F FCB0 BB5C 5F1F BF70)
Attachment:
signature.asc
Description: Questa =?ISO-8859-1?Q?=E8?= una parte del messaggio firmata digitalmente