アカウント名:
パスワード:
こういうミラーが改ざんされてたとかいう話を聞く度に不思議に思うんですが、電子署名をなんでしないんでしょうか?統一されたコンテナやUI、鍵の取得や維持といったコスト(金銭的以外の手間等といった物含む)が原因なんですかね?sfとかが、プロジェクトの管理者が指定すれば、配布アーカイブにそのプロジェクト名の署名が追加されるとかになると面白い気もしますが。もちろん、中身が信用できるか否かという問題はありますが、それ以前の状態って感じなので。
# 一応日本では年間6万弱で個人でも取得可能だったりします。 [globalsign.com](要印鑑証明)
そこまでしなくても, 本家でダウンロード物件のサイズとSHA256あたりのハッシュ値を提示しておいて, ミラーから落としてきた物をそれと突き合わせれば大抵の場合問題無いと思います. 実際, ダウンロードサイトにはSHA256とかMD5(これは今となっては危ないかも)とかのファイルが検証用に用意されていることが多いですし, ハッシュ値だけのダウンロードなら量が少ないですからマスターサイトに集中してもそれほどの負荷にはならないでしょうし.
私はそのあたりのチェックを自動でやってくれるFreeBSDのportsを使っているので, あまり気にしたことがありませんが.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
何で電子署名&検証しないの? (スコア:2, 興味深い)
こういうミラーが改ざんされてたとかいう話を聞く度に不思議に思うんですが、電子署名をなんでしないんでしょうか?
統一されたコンテナやUI、鍵の取得や維持といったコスト(金銭的以外の手間等といった物含む)が原因なんですかね?
sfとかが、プロジェクトの管理者が指定すれば、配布アーカイブにそのプロジェクト名の署名が追加されるとかになると面白い気もしますが。
もちろん、中身が信用できるか否かという問題はありますが、それ以前の状態って感じなので。
# 一応日本では年間6万弱で個人でも取得可能だったりします。 [globalsign.com](要印鑑証明)
Re:何で電子署名&検証しないの? (スコア:1)
そこまでしなくても, 本家でダウンロード物件のサイズとSHA256あたりのハッシュ値を提示しておいて, ミラーから落としてきた物をそれと突き合わせれば大抵の場合問題無いと思います. 実際, ダウンロードサイトにはSHA256とかMD5(これは今となっては危ないかも)とかのファイルが検証用に用意されていることが多いですし, ハッシュ値だけのダウンロードなら量が少ないですからマスターサイトに集中してもそれほどの負荷にはならないでしょうし.
私はそのあたりのチェックを自動でやってくれるFreeBSDのportsを使っているので, あまり気にしたことがありませんが.