Est-ce que quelqu'un connaît quelques détails sur le logiciel signé et /Applications/Utilities/Installer.app ? Je n'en ai pas trouvé davantage à Wikipedia et le Manuel UNIX ( man 8 installer ).
Voici la signature valide de iLife 11 Installer.app :
Cela signifie-t-il que je peux être sûr à 100% que rien n'est modifié ? Cela signifie que je peux faire confiance à cette PKG parce qu'elle est signée par Apple ? Ou ai-je mal compris quelque chose ?
Un logiciel signé signifie simplement qu'il a été vérifié par quelqu'un comme Verisign, ou qui que ce soit. Le problème avec les logiciels signés, c'est que si votre système d'exploitation ne vérifie pas les signataires de programmes réputés, il peut très bien être modifié. Mais si quelqu'un comme apple ou verisign le signe, et que vous l'avez obtenu directement d'un bon vendeur, vous pouvez être presque sûr qu'il ne sera pas modifié. Quelque chose comme iLife ne serait pas laissé passer sur un Mac s'il était modifié.
En fait, un logiciel signé, c'est comme lorsque vous achetez quelque chose avec une garantie. Tout le monde peut garantir quelque chose, mais tout le monde ne sera pas à la hauteur de cette garantie.
Lorsqu'Apple distribue des logiciels et des mises à jour, elle signe le paquet pour s'assurer que rien n'a été modifié, à l'instar des signatures PGP sur les courriels. Le site Autorité de certification des mises à jour logicielles d'Apple racine est installé avec le système d'exploitation, et vous pouvez le consulter dans la rubrique Keychain Access.app .
Essentiellement, cette signature garantit que le logiciel a été distribué et vérifié par Apple, et qu'il n'a pas été altéré ou modifié. Tout comme un courrier électronique PGP, si vous modifiez le contenu du message, la signature ne correspondra pas. J'ai vu des personnes qui ont essayé de télécharger "pré-fissuré" ou des logiciels piratés (pour iLife, iWork, etc.) et leur installateur n'était pas signé ; la personne qui a modifié le paquet a retiré la signature du paquet et l'a redistribué (ou a simplement créé un installateur d'apparence très similaire).
Si vous recevez des logiciels par le biais de Software Update ou si vous téléchargez des correctifs/mises à jour officiels à partir de apple.com le logiciel doit être signé par le Autorité de certification des mises à jour logicielles d'Apple . S'il ne l'est pas, il n'est pas authentique (la rigueur d'Apple est une bonne chose).
Modifier : Le site certificat racine est l'autorité de certification racine d'Apple. Le certificat de distribution du logiciel est approuvé (je ne suis pas sûr de la terminologie) par l'autorité de certification racine d'Apple.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
