Le processus d'installation de deb est-il protégé contre les attaques de type Man In The Middle qui modifieraient le script d'installation ?
Il semble que si ce n'est pas le cas, alors il serait possible pour une attaque de type Man In The Middle de placer un code qui modifie fondamentalement le système dans le deb install script. Comme toutes les installations nécessitent des privilèges root, l'invitation est grande ouverte aux exploits.
Serait-il préférable de ne pas utiliser de deb personnalisé en installant scripts en tant que root ? Je sais que les liens, les raccourcis et les répertoires d'applications doivent être copiés en tant que root. Cela pourrait être fait par un scripts résidant déjà sur Ubuntu et livré avec Ubuntu. Le deb devrait correspondre à son protocole attendu. Il lui donnerait simplement les endroits où déplacer les fichiers du paquet et les emplacements appropriés pour la création de raccourcis, etc. Il aurait des restrictions pour ne jamais supprimer, renommer, sans approbation explicite (pour la mise à jour des applications).
Si le fichier deb ne demandait jamais à être exécuté en tant que root, alors une installation ne pourrait jamais compromettre des parties fondamentales du système.
