[Sylpheed 2.4.3] PKGBUILD + signature gpg [Résolu]

[mélodie]

Bonjour,
Sylpheed sort la 2.4.3 aujourd'hui. J'ai cherché une somme md5, hormis la faire moi-même sur le tar.bz2 téléchargé avec wget, je ne vois pas...

Soit il y a un mystère dont vous connaissez peut-être le secret, un endroit spécial même inconnu de Google (c'est possible ça ? ) où se trouve le md5sum de ce paquet, soit il n'y en a pas de publié.

Il reste la signature gpg.

http://sylpheed.sraoss.jp/sylpheed/v2.4 ... ar.bz2.asc

$ggp --verify sylpheed-2.4.3.tar.bz2.asc
gpg: Signature faite le mar 26 jun 2007 10:33:14 CEST avec la clé DSA ID C00C2E26
(...)

$gpg --recv-keys 0xC00C2E26
(...)

c'est ok.

Je met le tarball dans un répertoire ~/sylpheed et me place dedans:

$ gpg --verify sylpheed-2.4.3.tar.bz2.asc sylpheed-2.4.3.tar.bz2
gpg: Signature faite le mar 26 jun 2007 10:33:14 CEST avec la clé DSA ID C00C2E26
gpg: Bonne signature de « Hiroyuki Yamamoto <hiro-y@xxxxxxx> »
gpg: alias « Hiroyuki Yamamoto <yamamoto@xxxxxxx> »
gpg: ATTENTION: Cette clé n'est pas certifiée avec une signature de confiance !
gpg: Rien ne dit que la signature appartient à son propriétaire.
Empreinte de clé principale: 8CF3 A5AC 417A DE72 B0AA 4A83 5024 337C C00C 2E26
$

Jusque là ça va.

Est-ce qu'il suffirait de remplacer la ligne md5sum par quelque chose comme 'signature gpg' + la commande ci-dessus dans le pkgbuild, ainsi que d'ôter les références au patche de la version précédente ?
Merci par avance pour vos avis.

[marc[i1]]

si tu le trouve pas ... c'est qu'il n'existe surement pas
Donc avec makepkg :

Code : Tout sélectionner

makepkg -g >> PKGBUILD

[mélodie]

si tu le trouve pas ... c'est qu'il n'existe surement pas
Donc avec makepkg :

Code : Tout sélectionner

makepkg -g >> PKGBUILD

Je vois bien qu'on peut faire 'makepkg -g >> PKGBUILD', car c'est écrit sur le wiki.

[23:29:20] marc[i1] : Ce champ contient le hash MD5 pour tout les fichiers indiqué à la ligne source (dans le même ordre). makepkg va l’utiliser pour vérifier l’intégrité des sources pendant la séquence de construction. Il est facile de générer le md5sums, “makepkg -g >> PKGBUILD”. Puis vous éditez le PKGBUILD pour déplacer la variable md5sums situé en fin de fichier à une place plus adaptée.

Peux-tu me dire quelle valeur a un hash md5 s'il n'est pas publié sur le site de l'auteur ?

Et qu'est-ce que la commande en question peut apporter de plus qu'un simple 'md5sums' sur le tarball ?

d'ailleurs...

$ls
sylpheed-2.4.3.tar.bz2 sylpheed-2.4.3.tar.bz2.asc
$makepkg -g >> PKGBUILD
==> ERROR: pkgver is not allowed to be empty.

Argh !

Bon je met un PKGBUILD dans le répertoire et je le modifie en 2.4.3 pour voir.

Autrement est-il possible dans un pkgbuild, de remplacer le hash md5 par la vérification de la signature gpg ?

[marc[i1]]

un hash md5 est là pour vérifier l'intégrité de l'archive, cela n'a rien à voir avec le fait d'être diffusé ou non par l'auteur !
Le md5 est affiché dans le PKGBUILD pour vérifier que l'archive est correctement téléchargé, rien d'autre !

La commande en question n'apporte rien de plus qu'un simple md5sums' sur le tarball ... hormis le fait d'être écrit directement dans le PKGBUILD.

Concernant l'erreur du PKGBUILD ... faut remplir correctement le PKGBUILD avant de l'executer

Pour finir, la signature gpg n'a rien à voir avec le md5 !
gpg est utilisé pour authentifier l'archive par l'auteur.
md5sum est utilisé pour vérifier l'intégrité de l'archive.

En espérant avoir été plus clair

[mélodie]

Avec un PKGBULD modifié ça semble en effet compléter le champ manquant, mais ça ne me dit toujours pas en quoi la sommme mde5 apporte une sécurité, vu qu'on a pas le hash avant et après le téléchargement.

$ makepkg -g >> PKGBUILD
==> Entering fakeroot environment
==> Making package: sylpheed 2.4.3-1 (vendredi 29 juin 2007, 15:42:37 (UTC+0200))
==> Retrieving Sources...
-> Found sylpheed-2.4.3.tar.bz2 in build dir
==> Generating checksums for source files

En attendant, merci.

[marc[i1]]

le md5sum n'apporte rien à la sécurité !
c'est juste pour éviter de lancer une compilation sur une archive mal téléchargée.

Il n'y a aucune sécurité pour les PKGBUILD ...

[mélodie]

Concernant l'erreur du PKGBUILD ... faut remplir correctement le PKGBUILD avant de l'executer

C'est fait m'sieur !

Pour finir, la signature gpg n'a rien à voir avec le md5 !
gpg est utilisé pour authentifier l'archive par l'auteur.
md5sum est utilisé pour vérifier l'intégrité de l'archive.

En espérant avoir été plus clair

J'ai fait l'essai de lancer la commande makepkg -g >> PKGBUILD avec ou sans le tarball dans le répertoire, comme ça s'est mis à télécharger, j'ai supposé que le calcul de md5sum par cette commande est effectuée sur l'archive une fois téléchargée.

Elle ne va pas donc pas permettre de déterminer si l'archive a été piratée en route par un pirate malicieux qui met des malwares dans les packages (y'avait eu une converse là-dessus sur la ml Bourguinux à ses débuts, ça avait été animé d'ailleurs).

Alors y aurait-il un moyen d'automatiser la vérification de signatures gpg avec les pkgbuild ?

/Edit
/tu m'as répondu très vite !
mais la question ci-dessus m'intéresse encore.

[marc[i1]]

Alors y aurait-il un moyen d'automatiser la vérification de signatures gpg avec les pkgbuild ?

Non.

[mélodie]

J'ai une question de plus:

Puis vous éditez le PKGBUILD pour déplacer la variable md5sums situé en fin de fichier à une place plus adaptée.

Qu'est-ce qu'une place adapté ? Je n'ai jamais déplacé cette variable, donc... que faire ?

[marc[i1]]

Il est de coutume de la placer en dessous de la variable source=
http://wiki.archlinux.fr/howto:archlinu ... ld#exemple

Mais cela n'a rien d'obligatoire ! d'ailleurs certains ici laisse la variable en fin de PKGBUILD ... j'ai les noms !

[mélodie]

Mais cela n'a rien d'obligatoire ! d'ailleurs certains ici laisse la variable en fin de PKGBUILD ... j'ai les noms ! :lol:

Ah, ok !

Bon maintenant, j'ai une erreur lors de la compilation et je ne comprend pas tout ce que ça dit. Cela cause de aspell, et comme le patche est relatif à ça j'ai remis le patche, fait pour la précédente version (à défaut de savoir quoi faire de mieux) (et en remodifiant le pkgbuild où j'avais enlevé les termes relatifs à l'option) et l'erreur dit encore la même chose :

compose.o: In function `compose_create':
compose.c:(.text+0xcfaa): undefined reference to `new_aspell_config'
compose.c:(.text+0xcfb4): undefined reference to `get_aspell_dict_info_list'
compose.c:(.text+0xcfbe): undefined reference to `delete_aspell_config'
compose.c:(.text+0xcfc6): undefined reference to `aspell_dict_info_list_elements'
compose.c:(.text+0xcfd7): undefined reference to `aspell_dict_info_enumeration_next'
compose.c:(.text+0xd021): undefined reference to `aspell_dict_info_enumeration_next'
compose.c:(.text+0xd02f): undefined reference to `delete_aspell_dict_info_enumeration'
collect2: ld returned 1 exit status
make[3]: *** [sylpheed] Error 1

:shock:

Le patch, son petit nom est
sylpheed-2.2-replace-aspell-with-enchant.diff

http://pastebin.archlinux.fr/1455

Est-ce que quelqu'un saurait comment traiter cette compil ?
Merci pour toute aide dans ce parcours, épique pour mon petit niveau.

[mélodie]

J'ai STFW mais je n'ai rien trouvé.

Alors j'ai lancé un ./configure, pour voir et ça configure jusqu'au bout, avec un warning cependant.

J'ai lu le fichier INSTALL, j'y ai noté

Options for configure script
============================

--disable-gpgme disable GnuPG support (requires GPGME and GnuPG)
--disable-ssl disable SSL support (requires OpenSSL)
--disable-compface disable compface (X-Face) support
--disable-ipv6 disable IPv6 support
--disable-gtkspell disable spell checking feature (requires GtkSpell)
--enable-jpilot enable JPilot support
--enable-ldap enable LDAP support
--enable-oniguruma use Oniguruma instead of system's regex

For other options, refer to ./configure --help .

J'ai lancé avec les mêmes options que celles indiquées dans le pkgbuild de la 2.4.2-1

Code : Tout sélectionner

$ ./configure --enable-ssl --enable-gpgme --enable-ldap

Voilà le contenu du configure :
http://pastebin.archlinux.fr/1457

Je lance le make.

[mélodie]

Même punition même motif.

compose.o: In function `compose_set_spell_lang_menu':
/home/melodie/sylpheed/TEST/sylpheed-2.4.3/src/compose.c:5117: undefined reference to `new_aspell_config'
/home/melodie/sylpheed/TEST/sylpheed-2.4.3/src/compose.c:5118: undefined reference to `get_aspell_dict_info_list'
/home/melodie/sylpheed/TEST/sylpheed-2.4.3/src/compose.c:5119: undefined reference to `delete_aspell_config'
/home/melodie/sylpheed/TEST/sylpheed-2.4.3/src/compose.c:5121: undefined reference to `aspell_dict_info_list_elements'
/home/melodie/sylpheed/TEST/sylpheed-2.4.3/src/compose.c:5122: undefined reference to `aspell_dict_info_enumeration_next'
/home/melodie/sylpheed/TEST/sylpheed-2.4.3/src/compose.c:5122: undefined reference to `aspell_dict_info_enumeration_next'
/home/melodie/sylpheed/TEST/sylpheed-2.4.3/src/compose.c:5128: undefined reference to `delete_aspell_dict_info_enumeration'
collect2: ld returned 1 exit status
make[3]: *** [sylpheed] Erreur 1
make[3]: quittant le répertoire « /home/melodie/sylpheed/TEST/sylpheed-2.4.3/src »
make[2]: *** [all-recursive] Erreur 1
make[2]: quittant le répertoire « /home/melodie/sylpheed/TEST/sylpheed-2.4.3/src »
make[1]: *** [all-recursive] Erreur 1
make[1]: quittant le répertoire « /home/melodie/sylpheed/TEST/sylpheed-2.4.3 »
make: *** [all-recursive-am] Erreur 2
$

Je ne sais pas aller plus loin pour trouver la solution. :/

[marc[i1]]

Et si patientait un peu le temps que le PKGBUILD officiel sois écrit ?

Surtout que le seul patch de Sylpheed concerne aspell … comme par hasard
http://cvs.archlinux.org/cgi-bin/viewcv ... ag=CURRENT

[mélodie]

Surtout que le seul patch de Sylpheed concerne aspell … comme par hasard
http://cvs.archlinux.org/cgi-bin/viewcv ... ag=CURRENT

Ben je sais, c'est ce que j'ai écris plus haut :

Le patch, son petit nom est
sylpheed-2.2-replace-aspell-with-enchant.diff

http://pastebin.archlinux.fr/1455

Ce pastebin recèle le contenu du patche.

Et si patientait un peu le temps que le PKGBUILD officiel sois écrit ?

Y'a un truc qui n'arrête pas de m'énerver depuis plusieurs jours, oh pas beaucoup de temps, deux ou trois jours.

Chaque fois que Sylpheed relève les mails, il affiche une notification de nouveau mail, même si rien n'est arrivé. Il est tout fou !
Et dans la doc, la seule chose d'indiquée est comment activer la notification. Pourtant je n'ai pas envie de fermer Sylpheed, alors j'ai pensé que la mise à jour pouvait régler ça. Je pense que tu peux comprendre ma hâte !

Qui est-ce qui écrit les patches et sur quoi est basé celui-là ? On a 'Enchant' dans le système au lieu de 'Aspell' ?

[mélodie]

Et si patientait un peu le temps que le PKGBUILD officiel sois écrit ?

Y'a un truc qui n'arrête pas de m'énerver depuis plusieurs jours, oh pas beaucoup de temps, deux ou trois jours.

Et si en attendant que l'officiel sorte je commantais les lignes concernant Aspell dans le compose.c ?

[marc[i1]]

tu as bien installé aspell ?

yaourt -Si enchant

[mélodie]

tu as bien installé aspell ?

yaourt -Si enchant

Hu ?

$ yaourt enchant
1 current/enchant 1.3.0-1 [installed]
A wrapper library for generic spell checking

$ yaourt aspell
1 current/aspell 0.60.5-1 [installed]
A Free and Open Source spell checker designed to eventually replace Ispell
2 extra/aspell-it 0.53.0-2
Italian dictionary for aspell
3 extra/aspell-de 20030222-1
German dictionary for aspell
4 extra/aspell-fr 0.50.3-2 [installed]
French dictionary for aspell
5 extra/aspell-fi 0.7-1
Finnish dictionary for aspell
6 extra/aspell-el 0.50-3
Greek dictionary for aspell.
7 extra/aspell-en 6.0-1 [installed]

In my humble opinion it is installed indeed !

(amha c'est bien installlé !)

Merci.
Aurais-tu une autre suggestion ?

[mimas]

Et si en attendant que l'officiel sorte je commantais les lignes concernant Aspell dans le compose.c ?

Il suffit juste de mettre --disable-aspell pour désactiver aspell.

Il faut que je mette à jour mon PKGBUILD pour sylpheed au vue de la nouvelle version. J'aurais alors peut-être plus d'idées sur ton problème.

[mélodie]

Il suffit juste de mettre --disable-aspell pour désactiver aspell.

J'essaie ça tout de suite.

Il faut que je mette à jour mon PKGBUILD pour sylpheed au vue de la nouvelle version. J'aurais alors peut-être plus d'idées sur ton problème.

Chouette !!!

Pour ma part je reviens dire si ça marche en simple "configure&make" dés que ce sera fait.