黑客下载的身份验证？

Question

有什么办法可以保证hackage下载的真实性吗？据我所知，什么也没有。没有用于 hackage 的 https，也没有用于 tarball 的（强）校验和，也没有签名。

那么：如何验证 hackage 下载的真实性呢？

Answer 1

新的 Hackage 服务器很快就会取得重大进展。马特在夏天的代码中致力于此。看看他的博客：http://cogracenotes.wordpress.com/

人们对管理贡献者进行了思考以新的、更好的方式登录，但尚未验证下载的真实性。

另一方面，据我记得，https 支持将成为 hackage 2 的一部分。

签名的 tarball 听起来可能有用，但还没有完成考虑实施它们的工作。 Hackage 是开源的，获得贡献或者只是仔细考虑功能提案都会有所帮助。

Answer 2

目前的答案是不能。唯一的身份验证是上传（通过基本 HTTP 身份验证完成）。

人们要求不同级别的安全性：

• 检查 tarball 自上传以来是否已被修改
• 确保 tarball 不能被非维护者上传
• 检查 tarball 实际上是由特定个人生成的

新服务器将处理第二期。

将签名清单添加到黑客索引中可以解决第一个问题。这将是一个相对轻量级的解决方案。它不能确保上传的包是由特定的任何人或服务器没有被黑客攻击。

第三个将是更重量级的，我们不能明智地希望这只是可选的。一方面，这意味着维护人员必须签署他们的包。这也意味着用户必须以某种方式管理钥匙串或类似的信任网络。这将需要大量的基础设施，例如让 gnupg 在 Windows 上工作将是一个皮塔饼。