1. Trang chủ
  2. Câu hỏi và trả lời
  3. Xác thực cho tải xuống bản hack?

Xác thực cho tải xuống bản hack?

2010-10-07 35 views
6

Có cách nào để đảm bảo tính xác thực của các lượt tải xuống từ hackage không? Theo như tôi có thể thấy, không có gì. Không có https cho hackage, và không (mạnh) checksums cho tarballs, và không phải là họ đã ký kết.Xác thực cho tải xuống bản hack?

Vì vậy: làm cách nào tôi có thể xác minh tính xác thực của các lượt tải xuống từ sự tấn công?

Nguồn

2010-10-07 iustin

+0

Không có kiểm tra danh tính của những người đóng góp thực sự. Và không đảm bảo rằng họ giữ mật khẩu tải lên của họ an toàn. Đó là một doanh nghiệp "Tôi tin tưởng mọi người". – sastanin

+0

Tôi không lo lắng về điều đó - những gì tôi muốn là để đảm bảo rằng những gì tôi tải xuống đến từ máy chủ hack "thực". Xác thực những gì trên các con ong bị tấn công là một vấn đề khác. – iustin

Trả lời

3

Đã có công việc đáng kể trên một máy chủ Hackage mới thực sự sớm. Matt đã làm việc trên nó cho mùa hè của mã. Hãy xem blog của anh ấy: http://cogracenotes.wordpress.com/

Đã có ý tưởng được đưa vào quản lý thông tin đăng nhập của người đóng góp theo những cách mới và tốt hơn, nhưng chưa xác minh tính xác thực của tải xuống.

Hỗ trợ Https, mặt khác, được dự kiến ​​là một phần của hackage 2, như tôi nhớ lại.

Ký hiệu tarballs âm thanh có khả năng hữu ích, nhưng chưa thực hiện công việc để suy nghĩ về việc triển khai chúng. Hackage là nguồn mở, và sẽ rất hữu ích nếu có được đóng góp, hoặc thậm chí chỉ cần suy nghĩ cẩn thận thông qua các đề xuất tính năng.

Nguồn

2010-10-07 16:23:41 sclv

+0

Cảm ơn. Trong thời gian gần đây "Haskell trong thế giới thực" ở Baltimore, tôi không hiểu ý nghĩ rằng bất cứ ai quan tâm đến những vấn đề như vậy, và tập trung vào những vấn đề khác nhau. Cảm ơn câu trả lời của bạn! – iustin

2

Hiện tại câu trả lời là bạn không thể. Xác thực duy nhất là cho tải lên (được thực hiện bằng xác thực HTTP cơ bản).

Có nhiều cấp độ khác nhau về an ninh mà mọi người yêu cầu:

  • Kiểm tra nếu một tarball đã được sửa đổi vì nó đã được tải lên
  • Đảm bảo rằng một tarball không thể được tải lên bởi phi bảo trì
  • Kiểm tra rằng một tarball thực sự được tạo bởi một cá nhân cụ thể

Máy chủ mới sẽ xử lý vấn đề thứ hai.

Thêm tệp kê khai có chữ ký vào chỉ mục hackage sẽ giải quyết được tệp đầu tiên. Đó sẽ là một giải pháp nhẹ relativley. Nó không đảm bảo rằng gói được tải lên là do bất kỳ ai nói riêng hoặc máy chủ không bị tấn công.

Thứ ba sẽ nặng hơn nhiều và chúng tôi không thể hy vọng một cách hợp lý rằng điều này có thể nhiều hơn tùy chọn. Đối với một điều nó có nghĩa là các nhà bảo trì phải ký các gói của họ. Nó cũng có nghĩa là người dùng bằng cách nào đó phải quản lý một keychain hoặc một trang web tin cậy tương tự. Điều này sẽ có rất nhiều cơ sở hạ tầng, ví dụ: làm gnupg làm việc trên cửa sổ sẽ là một pita.

Nguồn

2010-10-14 07:29:30

Các vấn đề liên quan

 Các vấn đề liên quan