Attualmente la risposta è che non è possibile. L'unica autenticazione è per i caricamenti (eseguita dall'autenticazione HTTP di base).
Ci sono vari livelli di sicurezza che le persone chiedono:
- Verificando un tarball è stato modificato da quando è stato caricato
- Garantire che un tarball non possono essere caricati dai non manutentori
- Checking che un tarball è stato effettivamente prodotto da un particolare individuo
Il nuovo server gestirà il secondo problema.
L'aggiunta di un manifest firmato all'indice di hackage risolverebbe il primo. Questa sarebbe una soluzione leggera relativley. Non garantisce che il pacchetto caricato sia da chiunque in particolare o che il server non sia stato violato.
Il terzo sarebbe molto più pesante e non possiamo ragionevolmente sperare che questo sia più che opzionale. Per prima cosa significa che i maintainer devono firmare i loro pacchetti. Significa anche che gli utenti devono in qualche modo gestire un portachiavi o una rete di fiducia simile. Questa sarebbe una grande infrastruttura, ad es. far funzionare gnupg su Windows sarebbe una pita.
fonte
2010-10-14 07:29:30
Non esiste un controllo di identità dei veri contributori. E nessuna garanzia che mantengano le loro password di caricamento al sicuro. È un'impresa "Mi fido di tutti". – sastanin
Non sono preoccupato per quello, quello che mi piacerebbe è essere sicuro che quello che ho scaricato provenga dal server di "hackage" reale. Autenticare ciò che è su Hackage Hisels è un'altra questione. – iustin