Есть ли способ гарантировать подлинность загрузок от взлома? Насколько я вижу, ничего нет. Нет https для взлома, нет (строгих) контрольных сумм для архивов, и они не подписаны.
Итак: как проверить подлинность загрузок с хака?
Есть ли способ гарантировать подлинность загрузок от взлома? Насколько я вижу, ничего нет. Нет https для взлома, нет (строгих) контрольных сумм для архивов, и они не подписаны.
Итак: как проверить подлинность загрузок с хака?
Скоро будет проделана значительная работа над новым сервером Hackage. Мэтт работал над ним в течение лета кода. Взгляните на его блог: http://cogracenotes.wordpress.com/
Были мысли о том, чтобы управлять логинами участников новыми и лучшими способами, но еще не проверять подлинность загрузок.
С другой стороны, насколько я помню, поддержка HTTPS должна стать частью Hackage 2.
Подписанные tar-архивы кажутся потенциально полезными, но просто не было проделано никакой работы, чтобы подумать об их реализации. Hackage имеет открытый исходный код, и было бы полезно либо получить вклад, либо даже просто тщательно обдумать предложения по функциям.
В настоящее время ответ заключается в том, что вы не можете. Единственная аутентификация предназначена для загрузки (выполняется с помощью базовой HTTP-аутентификации).
Существуют различные уровни безопасности, о которых просят люди:
Новый сервер решит вторую проблему.
Добавление подписанного манифеста в индекс взлома решит первую проблему. Это было бы относительно легким решением. Это не гарантирует, что загруженный пакет принадлежит кому-то конкретному или что сервер не был взломан.
Третий был бы гораздо более тяжелым, и мы не можем разумно надеяться, что он когда-либо будет чем-то большим, чем необязательным. Во-первых, это означает, что сопровождающие должны подписывать свои пакеты. Это также означает, что пользователи каким-то образом должны управлять связкой ключей или аналогичной сетью доверия. Это было бы много инфраструктуры, например. заставить gnupg работать на окнах было бы лавашом.