Аутентификация для хакерских загрузок? - PullRequest
6 голосов
/ 07 октября 2010

Есть ли способ обеспечить подлинность загрузок с хакера? Насколько я вижу, ничего нет. Нет https для взлома и нет (сильных) контрольных сумм для тарболов, и при этом они не подписаны.

Итак: как я могу проверить подлинность загрузок с Hackage?

Ответы [ 2 ]

3 голосов
/ 07 октября 2010

Была проведена значительная работа над новым сервером Hackage, который скоро появится. Мэтт работал над этим летом кода. Посмотрите на его блог: http://cogracenotes.wordpress.com/

Предполагалось, что управление входами участников будет по-новому и лучше, но еще не проверено подлинность загрузок.

Поддержка Https, с другой стороны, должна быть частью hackage 2, насколько я помню.

Подписанные тарболлы кажутся потенциально полезными, но до сих пор не проделана работа по их реализации. Hackage с открытым исходным кодом, и было бы полезно либо получить вклад, либо даже просто тщательно продумать предложения функций.

2 голосов
/ 14 октября 2010

В настоящее время ответ таков, что вы не можете.Единственная аутентификация предназначена для загрузки (выполняется с помощью базовой аутентификации HTTP).

Существуют различные уровни безопасности, о которых просят люди:

  • Проверка, был ли изменен тарбол с тех пор, как он былuploaded
  • Гарантия того, что tarballs не может быть загружен не сопровождающими
  • Проверка того, что tarball действительно был создан конкретным человеком

Новый сервер будет обрабатыватьВторая проблема.

Добавление подписанного манифеста к индексу взлома решит первый.Это было бы относительно легким решением.Это не гарантирует, что загруженный пакет будет кем-то конкретно, или что сервер не был взломан.

Третий будет гораздо более тяжелым, и мы не можем разумно надеяться, что это когда-либо будет более чем необязательным.Во-первых, это означает, что сопровождающие лица должны подписать свои пакеты.Это также означает, что пользователи так или иначе должны управлять цепочкой для ключей или подобной сетью доверия.Это было бы много инфраструктуры, например, заставить gnupg работать на окнах было бы пита.

...