有什么方法可以确保从hackage下载的真实性?据我所知,什么都没有。hackage 没有 https,tarball 也没有(强)校验和,也没有签名。
那么:如何验证来自hackage的下载的真实性?
问问题
165 次
2 回答
3
新的 Hackage 服务器 Real Soon Now 上进行了大量工作。Matt 在代码的夏天致力于它。看看他的博客:http ://cogracenotes.wordpress.com/
人们已经考虑以新的更好的方式管理贡献者登录,但尚未验证下载的真实性。
另一方面,我记得 Https 支持将成为 hackage 2 的一部分。
签名的 tarball 听起来可能很有用,但还没有考虑实施它们。Hackage 是开源的,获得贡献会很有帮助,甚至只是仔细考虑功能建议。
于 2010-10-07T16:23:41.593 回答
2
目前的答案是你不能。唯一的身份验证是上传(通过基本 HTTP 身份验证完成)。
人们要求不同级别的安全性:
- 检查 tarball 自上传后是否已被修改
- 确保非维护者无法上传 tarball
- 检查 tarball 是否由特定个人实际生成
新服务器将处理第二个问题。
将签名清单添加到 hackage 索引将解决第一个问题。那将是一个相对轻量级的解决方案。它不能确保上传的包是由特定的任何人或服务器没有被黑客入侵的。
第三个将是更重量级的,我们不能明智地希望这不仅仅是可选的。一方面,这意味着维护者必须签署他们的包。这也意味着用户必须以某种方式管理钥匙串或类似的信任网络。这将是很多基础设施,例如让 gnupg 在 Windows 上工作将是一个皮塔饼。
于 2010-10-14T07:29:30.643 回答