有没有办法确保从hackage下载的真实性?据我所见,什么都没有。没有针对hackage的https,也没有针对tarball的(强)校验和,也没有签名。
那么:如何验证来自hackage的下载的真实性?
答案 0 :(得分:3)
新的Hackage服务器Real Soon Now上的重要工作。 Matt为代码的夏天工作了。看看他的博客:http://cogracenotes.wordpress.com/
人们一直在考虑以新的和更好的方式管理贡献者登录,但尚未确定下载的真实性。
另一方面,Https支持将被定为hackage 2的一部分,我记得。签名的tarball声音可能有用,但是还没有完成考虑实现它们的工作。 Hackage是开源的,它既可以获得贡献,也可以只是仔细考虑功能提议。
答案 1 :(得分:2)
目前答案是,你不能。唯一的身份验证是上传(由基本HTTP身份验证完成)。
人们要求提供各种级别的安全性:
新服务器将处理第二个问题。
将已签名的清单添加到hackage索引将解决第一个问题。这将是一个相对轻量级的解决方案。它不能确保任何人特别是上传的包,或者服务器没有被黑客入侵。
第三个将是更重量级的,我们不能明智地希望这不仅仅是可选的。一方面,这意味着维护者必须签署他们的包裹。这也意味着用户必须以某种方式管理钥匙串或类似的信任网络。这将是许多基础设施,例如让gnupg在windows上工作将是一个皮塔饼。