<div><span style="color: rgb(160, 160, 168); ">On Tuesday, February 5, 2013 at 10:14 AM, holger krekel wrote:</span></div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><div>Transporting almost all externally reachable packages to be locally pypi</div><div>served is also kind of a low hanging fruit, although probably slightly</div><div>higher hanging than SSL :)   The point is that we can have some control over</div><div>those packages once we have them - so we can delete them if they are reported</div><div>to be malicious independently of maintainer reachability.</div></div></div></span></blockquote><div>We have no way to validate the package we are downloading is the accurate one,</div><div>we should not infer trust/validation that doesn't exist. </div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;"><span><div><div><div> </div><div>No, because a signature can only be created by the original author for</div><div>a particular file (his upload), not from the download site or a</div><div>MITM-attacker for a different file.</div></div></div></span></blockquote><div>This assumes we know what the correct key is. If we don't then we</div><div>have no way to validate that the signature was created by the author</div><div>and not by someone else. Trust is hard. </div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;"><span><div><div><div><br></div><div>best,</div><div>holger</div><div><br></div><div><br></div><blockquote type="cite"><div><div>//Lennart</div><div>_______________________________________________</div><div>Catalog-SIG mailing list</div><div><a href="mailto:Catalog-SIG@python.org">Catalog-SIG@python.org</a></div><div><a href="http://mail.python.org/mailman/listinfo/catalog-sig">http://mail.python.org/mailman/listinfo/catalog-sig</a></div></div></blockquote><div>_______________________________________________</div><div>Catalog-SIG mailing list</div><div><a href="mailto:Catalog-SIG@python.org">Catalog-SIG@python.org</a></div><div><a href="http://mail.python.org/mailman/listinfo/catalog-sig">http://mail.python.org/mailman/listinfo/catalog-sig</a></div></div></div></span>
                 
                 
                 
                 
                </blockquote>
                 
                <div>
                    <br>
                </div>