
<p dir="ltr">Don't forget that you can also just upload a zip script, at least for 2.6+. I know you still have to support 2.3</p>

<div class="gmail_quote">On Feb 14, 2013 6:31 PM, "Richard Jones" <<a href="mailto:richard@python.org">richard@python.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On 15 February 2013 06:28, Tarek Ziadé <<a href="mailto:tarek@ziade.org">tarek@ziade.org</a>> wrote:<br>

> Some tools (setuptools, distribute, zope, pip) use bootstrap files to get<br>

> installed,<br>

><br>

> In order to have a more secured installation process,  we'd like to be able<br>

> to push those files on PyPI so people can download them through https using<br>

> the PSF certificate.<br>

><br>

> As Phillip Eby noticed, that requires changing this method<br>

> <a href="https://bitbucket.org/loewis/pypi/src/f18ce0fbe947c1ce778761ea81d6704572cebb24/webui.py?at=default#cl-2233" target="_blank">https://bitbucket.org/loewis/pypi/src/f18ce0fbe947c1ce778761ea81d6704572cebb24/webui.py?at=default#cl-2233</a><br>


><br>

> by:<br>

><br>

> - allowing .py extensions,<br>

> - allowing arbitrary file names when they have the .py extension<br>

><br>

> Any objection if I provide a pull request for this ?<br>

<br>

I like the idea except:<br>

<br>

1. Limit it to a file named exactly "bootstrap-<version>.py" where the<br>

version matches the release<br>

2. Allow it on a whitelist basis as the likelihood of phishing is still high<br>

3. Symlink the latest (per current PyPI rules about how to determine<br>

"latest") "bootstrap-<version>.py" to "bootstrap.py"<br>

<br>

The bootstrap.py file would most likely have to be omitted from the<br>

usual files listing mechanisms as they are used to determine<br>

installable release packages.<br>

<br>

Yes, phishing is an issue for regular distributions too, though a<br>

bootstrap URL is more likely to be clicked/copy-pasted than someone<br>

actually typing in "pip install packagename". Yes, there is nothing<br>

stopping someone adding a package "DjangoInstaller" which looks quite<br>

legitimate. The community would hopefully notice quite quickly.<br>

<br>

<br>

     Richard<br>

_______________________________________________<br>

Catalog-SIG mailing list<br>

<a href="mailto:Catalog-SIG@python.org">Catalog-SIG@python.org</a><br>

<a href="http://mail.python.org/mailman/listinfo/catalog-sig" target="_blank">http://mail.python.org/mailman/listinfo/catalog-sig</a><br>

</blockquote></div>