黑客下载的身份验证？

Question

有没有办法确保从hackage下载的内容的真实性？据我所知，什么都没有。没有用于黑客攻击的https，也没有用于tarball的(强)校验和，它们也没有签名。

那么:我如何验证hackage下载的真实性？

Answer 1

现在已经有了一个新的黑客服务器Real的重大工作。Matt为这个夏天的代码做了很多工作。看看他的博客：http://cogracenotes.wordpress.com/

人们已经考虑过以新的更好的方式管理贡献者登录，但还没有考虑到验证下载的真实性。

另一方面，在我的记忆中，Https支持是hackage 2的一部分。

带签名的tarball听起来可能很有用，但还没有做过考虑实现它们的工作。Hackage是开源的，或者获得贡献，或者只是仔细考虑功能提案，这会很有帮助。

Answer 2

目前的答案是你不能。唯一的身份验证是针对上载的(通过基本HTTP身份验证完成)。

人们要求不同级别的安全：

无法通过non-maintainers

• Checking上载
• 检查由于无法上载tarball而修改过的tarball是否确实是由特定的

生成的

新服务器将处理第二个问题。

将签名的清单添加到黑客索引可以解决第一个问题。这将是一个相对轻量级的解决方案。它不能确保上传的包是由任何人特定的，也不能确保服务器没有被黑客攻击。

第三个将是更重要的，我们不能明智地希望这永远是可选的。一方面，这意味着维护者必须在他们的包上签名。这也意味着用户必须以某种方式管理一个钥匙链或类似的信任网络。这将是大量的基础设施，例如，让gnupg在windows上工作将是一个皮塔。