Аутентификация для хакерских загрузок?

Скоро будет проделана значительная работа над новым сервером Hackage. Мэтт работал над ним в течение лета кода. Взгляните на его блог: http://cogracenotes.wordpress.com/

Были мысли о том, чтобы управлять логинами участников новыми и лучшими способами, но еще не проверять подлинность загрузок.

С другой стороны, насколько я помню, поддержка HTTPS должна стать частью Hackage 2.

Подписанные tar-архивы кажутся потенциально полезными, но просто не было проделано никакой работы, чтобы подумать об их реализации. Hackage имеет открытый исходный код, и было бы полезно либо получить вклад, либо даже просто тщательно обдумать предложения по функциям.

В настоящее время ответ заключается в том, что вы не можете. Единственная аутентификация предназначена для загрузки (выполняется с помощью базовой HTTP-аутентификации).

Существуют различные уровни безопасности, о которых просят люди:

• Проверка того, был ли изменен архив с момента его загрузки
• Гарантия того, что архивы не могут быть загружены лицами, не являющимися сопровождающими
• Проверка того, что архив действительно был создан конкретным человеком

Новый сервер решит вторую проблему.

Добавление подписанного манифеста в индекс взлома решит первую проблему. Это было бы относительно легким решением. Это не гарантирует, что загруженный пакет принадлежит кому-то конкретному или что сервер не был взломан.

Третий был бы гораздо более тяжелым, и мы не можем разумно надеяться, что он когда-либо будет чем-то большим, чем необязательным. Во-первых, это означает, что сопровождающие должны подписывать свои пакеты. Это также означает, что пользователи каким-то образом должны управлять связкой ключей или аналогичной сетью доверия. Это было бы много инфраструктуры, например. заставить gnupg работать на окнах было бы лавашом.