有什么方法可以确保从 hackage 下载的真实性?据我所知,什么都没有。 hackage 没有 https,tarball 也没有(强)校验和,也没有签名。
那么:我如何验证来自 hackage 的下载的真实性?
【问题讨论】:
新的 Hackage 服务器 Real Soon Now 上进行了大量工作。 Matt 在代码的夏天致力于它。看看他的博客:http://cogracenotes.wordpress.com/
已考虑以新的更好的方式管理贡献者登录,但尚未用于验证下载的真实性。
另一方面,我记得 Https 支持将成为 hackage 2 的一部分。
签名的 tarball 听起来可能很有用,但还没有考虑实施它们。 Hackage 是开源的,获得贡献会很有帮助,甚至只是仔细考虑功能建议。
【讨论】:
目前的答案是你不能。唯一的身份验证是上传(通过基本 HTTP 身份验证完成)。
人们要求不同级别的安全性:
新服务器将处理第二个问题。
将签名清单添加到 hackage 索引将解决第一个问题。那将是一个相对轻量级的解决方案。它不能确保上传的包是由特定的任何人或服务器没有被黑客入侵的。
第三个会更加重量级,我们不能明智地希望这不仅仅是可选的。一方面,这意味着维护者必须签署他们的包。这也意味着用户必须以某种方式管理钥匙串或类似的信任网络。这将是很多基础设施,例如让 gnupg 在 Windows 上工作将是一个皮塔饼。
【讨论】: