<div><span style="color: rgb(160, 160, 168); ">On Tuesday, February 5, 2013 at 10:41 AM, holger krekel wrote:</span></div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><div>MITM attacking any of the many world-wide pypi/easy_install downloads </div><div>from external sites is much easier than tampering a few one-time </div><div>downloads (verified against each other) for <a href="http://pypi.python.org">pypi.python.org</a>'s </div><div>serving purposes.  By contrast, changing client-side tools and</div><div>defaults is going to take much longer and will not reach everybody.</div><div><br></div><div>IOW, i believe that improving the serving side good low hanging</div><div>fruit.</div></div></div></span></blockquote><div>Besides the issues with validating that the package We are mirroring
                </div><div>is the authentic one there's also a legal issue. We don't know for sure</div><div>that we have the legal rights to redistribute those files. When you upload</div><div>a file to PyPI you grant the PSF a license to do that, no upload from the</div><div>author = no license. IANAL but i think i'm correct on that.</div>