1. Inicio
  2. Pregunta y respuesta
  3. Autenticación para descargas de hackages?

Autenticación para descargas de hackages?

2010-10-07 10 views
6

¿Hay alguna manera de garantizar la autenticidad de las descargas de hackage? Por lo que puedo ver, no hay nada. No https por hackage, ni sumas de comprobación (fuertes) para tarballs, y tampoco están firmados.Autenticación para descargas de hackages?

Entonces, ¿cómo puedo verificar la autenticidad de las descargas de hackage?

Fuente

2010-10-07 iustin

+0

No hay verificación de identidad real de los contribuyentes. Y no hay garantía de que mantengan sus contraseñas de carga seguras. Es una empresa "Confío en todos". – sastanin

+0

No me preocupa eso, lo que me gustaría es estar seguro de que lo que descargo proviene del servidor de hackage "real". Autenticar lo que está en los archivos de hackage es otro asunto. – iustin

Respuesta

3

Ha habido un trabajo significativo en un nuevo servidor de Hackage Real Soon Now. Matt trabajó en ello durante el verano del código. Eche un vistazo a su blog: http://cogracenotes.wordpress.com/

Se ha pensado en la administración de los inicios de sesión de los contribuidores de formas nuevas y mejores, pero aún no en la verificación de la autenticidad de las descargas.

El soporte de Https, por otro lado, está programado para ser parte de hackage 2, según recuerdo.

Los archivos tar firmados suenan potencialmente útiles, pero simplemente no se ha hecho el trabajo para pensar en implementarlos. El hackage es de código abierto, y sería útil recibir contribuciones, o incluso pensar cuidadosamente a través de las propuestas de características.

Fuente

2010-10-07 16:23:41 sclv

+0

Gracias. Durante la reciente sesión de "Haskell en el mundo real" en Baltimore, no tuve la sensación de que a nadie le importen estos temas, y que el enfoque se centra en diferentes asuntos. Gracias por su respuesta! – iustin

2

Actualmente la respuesta es que no se puede. La única autenticación es para carga (realizada por autenticación HTTP básica).

Hay varios niveles de seguridad que la gente pregunta por:

  • Comprobación de si un archivo comprimido ha sido modificado desde que fue subido
  • asegurar que una bolas de alquitrán no se pueden cargar por no mantenedores
  • de cheques que un tarball fue realmente producido por un individuo en particular

El nuevo servidor manejará el segundo problema.

Agregar un manifiesto firmado al índice de pirateo resolvería el primero. Esa sería una solución relativley ligera. No garantiza que el paquete cargado sea de alguien en particular o que el servidor no haya sido pirateado.

El tercero sería mucho más pesado y no podemos esperar que esto sea algo más que opcional. Por un lado, significa que los mantenedores tienen que firmar sus paquetes. También significa que los usuarios de alguna manera tienen que administrar un llavero o una red similar de confianza. Esta sería una gran cantidad de infraestructura, por ejemplo hacer que gnupg funcione en Windows sería una pita.

Fuente

2010-10-14 07:29:30

Cuestiones relacionadas

 Cuestiones relacionadas