<div><span style="color: rgb(160, 160, 168); ">On Tuesday, February 5, 2013 at 8:34 AM, Lennart Regebro wrote:</span></div>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><div>On Tue, Feb 5, 2013 at 2:18 PM, Donald Stufft <<a href="mailto:donald.stufft@gmail.com">donald.stufft@gmail.com</a>> wrote:</div><blockquote type="cite"><div><div>A longer depreciation wouldn't be a bad thing merely because a lot</div><div>of people depend on this feature without even realizing it. Crate has</div><div>an index you can use that removes all external urls to test your own</div><div>projects on. --index-url=<a href="https://restricted.crate.io">https://restricted.crate.io</a>/ (through pip).</div><div><br></div><div>Or rather a short depreciation in the tools where they'll crawl external</div><div>links by default, and a long depreciation where they'll do it with an</div><div>--enable-unsafe-externals or something.</div><div><br></div><div>I certainly agree, though, that the current client-side crawling is a</div><div>nuisance and makes for unreliability of installation procedures. I think we</div><div>should move the crawling to the server side and cache packages.</div></div></blockquote><div><br></div><div>Whatever we do to fix the PyPI security it *will* break all the</div><div>packages that now exist on third-party servers. As long as unsigned</div><div>packages from third-party servers are allowed, we have a big honking</div><div>security hole. I'm now almost sorry I suggested a deprecation period,</div><div>as this gives the wrong impression.</div><div><br></div><div>So forget about it. I'm now suggesting a different deprecation: For a</div><div>couple of versions of Distribute and pip, we continue to crawl, but do</div><div>not install the packages. Instead we exist with "Package found at</div><div><url>, but packages from third-party servers are not installed by</div><div>easy_install because they pose a security issue."</div><div><br></div><div>//Lennart</div></div></div></span>
                 
                 
                 
                 
                </blockquote>
                 
                <div>
                    If you break peoples ability to install packages right away they'll refuse
                </div><div>to upgrade. This type of change will be met with out right resistence from</div><div>some people regardless of how it's done, adding in resistence from people</div><div>who don't care and jsut want to install their packages is not going to make</div><div>it any more of a smoother transition.</div>