fsfe-france
[Top][All Lists]
Advanced

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Fsfe-france] contact Libre <-> APP ?!


From: Vincent Caron
Subject: Re: [Fsfe-france] contact Libre <-> APP ?!
Date: Thu, 17 Jun 2004 17:32:33 +0200
User-agent: Mozilla Thunderbird 0.6 (X11/20040605)

jeremie ZIMMERMANN wrote:
- pour un "point", l'utilisateur envoie sur le site une somme MD5 correspondant à l'oeuvre qu'il souhaite déposer. cela peut être n'importe quel autre algo de MD5 pourvu qu'il soit fiable.

Le concept du hash MD5 est limité : il ne peut constater que l'identité parfaite. Change un caractère, et le MD5 change. Pour signer des sources, on peut appliquer du preprocessing pour 'applanir' les différences avant de faire un MD5, mais l'exercice relève de toute façon de la logique floue.


- des informations complémentaires sont enregistrées : nom de l'auteur, type d'oeuvre, _conditions d'utilisation_

- un "certificat" est créé, qui peut être linké sur un site web, recensant toutes ces infos, de façon à clairement informer quiconque tomberait dessus sur ses droits et devoirs relatifs à l'utilisation de cette oeuvre.

Je ne suis toujours pas sûr de comprendre. Ce qui est important, ce n'est pas d'identifier le logiciel, mais l'auteur et l'acte de création. L'acte de dépôt doit permettre de certifier 1) qui a déposé le code, 2) quel code, 3) quand.

L'identification du logicielle se fera plus tard avec des méthodes à prévoir sur place : imaginez que vous avez déposé un driver GPL en C et que vous poursuivez un constructeur pour diffuser une version modifiée compilée sur MIPS, vous allez avoir besoin de choses plus sophistiquées que du MD5 pour reconnaitre des bouts de votre code.

Je ne vois pas bien ce que vient faire la signature MD5 dans l'histoire. Et je suis surpris de ne pas entendre parler de dépôt de 'source' (je m'attend à ce que les propriétaires déposent les binaires, ce qui leur donnerait une protection très faible car il est difficile d'identifier des dérivations de binaire).


- si un litige se présente, l'empreinte MD5 de matériel saisi est comparée à celle de l'oeuvre ayant servi à faire la somme initiale...

J'ai l'impression qu'en 20 ans, le logiciel libre a pu vérifier que le plus simple et le plus efficace, c'est tout simplement de diffuser largement et publiquement tout logiciel. Un commit CVS laisse beaucoup de traces sur Savannah ou Gna! ... :)




reply via email to

[Prev in Thread] Current Thread [Next in Thread]