Le 29/03/2016 09:55, Patrice LE GUERNIC a écrit :

Bonjour,

Je souhaiterais avoir plus de détails sur le process de signature du paquet Wapt.

Je ne saisi pas trop le mécanisme. Le fichier .wapt est signé ou seulement le fichier manifest.sha1 ?

Seulement le fichier manifest.sha1 est signé.
Ce fichier contient la liste des fichiers du paquet avec un hash sha1 (somme de contrôle) pour chacun.
Si un fichier est altéré, le sha1 ne correspond plus, et l'installation échoue.

Installation du paquet : Comment la signature du paquet est-elle vérifiée et à quel moment (avant ou après la décompression du fichier .Wapt) ?

La signature et le hash du fichier control (qui définit en particulier le nom du paquet, sa version et ses dépendances) sont vérifiés après téléchargement
Tous les autres fichiers sont vérifiés avant l'installation (avant lancement de setup.install) mais après dézippage dans le répertoire temporaire.

Si quelqu'un peut m'éclairer.

Cordialement,

Patrice
_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt