ハッキングからのダウンロードの信頼性を確保する方法はありますか?私が見る限り、何もありません。ハッキング用のhttpsはなく、tarball用の(強力な)チェックサムもありません。また、署名もされていません。
だから:ハッキングからのダウンロードの信憑性をどのように確認できますか?
2 に答える
3
新しいHackageサーバーRealSoonNowで重要な作業が行われました。マットは夏のコードのためにそれに取り組みました。彼のブログを見てください:http://cogracenotes.wordpress.com/
寄稿者のログインを新しくより良い方法で管理することは考えられてきましたが、ダウンロードの信憑性を検証することはまだ行われていません。
一方、Httpsのサポートは、私が覚えているように、ハッキング2の一部になる予定です。
署名されたタールボールは潜在的に有用に聞こえますが、それらの実装について考えるための作業は行われていません。ハッキングはオープンソースであり、貢献を得たり、機能の提案を慎重に検討したりすることも役立ちます。
于 2010-10-07T16:23:41.593 に答える
2
現在のところ、答えはできません。唯一の認証はアップロード用です(基本HTTP認証によって行われます)。
人々が求めるセキュリティにはさまざまなレベルがあります。
- tarballがアップロードされてから変更されているかどうかを確認する
- メンテナ以外の人がtarballをアップロードできないようにする
- tarballが実際に特定の個人によって作成されたことを確認する
新しいサーバーは2番目の問題を処理します。
署名されたマニフェストをハッキングインデックスに追加すると、最初のマニフェストが解決されます。これは、比較的軽量なソリューションになります。アップロードされたパッケージが特定の誰かによるものであること、またはサーバーがハッキングされていないことを保証するものではありません。
3つ目ははるかに重いものであり、これがオプション以上のものになることを私たちは賢明に期待することはできません。一つには、それはメンテナが彼らのパッケージに署名しなければならないことを意味します。また、ユーザーは何らかの形でキーチェーンまたは同様の信頼のWebを管理する必要があることも意味します。これは多くのインフラストラクチャになります。たとえば、Windowsでgnupgを機能させるのは難しいでしょう。
于 2010-10-14T07:29:30.643 に答える