
<p dir="ltr"><br>

On 14 Feb 2013 03:59, "Donald Stufft" <<a href="mailto:donald.stufft@gmail.com">donald.stufft@gmail.com</a>> wrote:<br>

><br>

> On Wednesday, February 13, 2013 at 5:29 AM, Robert Collins wrote:<br>

>><br>

>> On 13 February 2013 15:12, Giovanni Bajo <<a href="mailto:rasky@develer.com">rasky@develer.com</a>> wrote:<br>

>><br>

>>> Yes, that's correct. GPG chain-of-trust concept is not used in my proposal,<br>

>>> because I don't think it would be a good fit for this problem given its<br>

>>> requirements. Specifically, I believe pip users should not be bothered with<br>

>>> useless click-through questions for each new package they install, which is<br>

>>> what you would get far too often in case chain-of-trust were used.<br>

>><br>

>><br>

>> But this means someone that gets access to the PyPI server can just<br>

>> mark their own key as trusted and compromise any package they want.<br>

>><br>

>> -Rob<br>

>><br>

> I used to have the same idealistic idea that we should be able to<br>

> *not* trust PyPI for the average user. However PyPI *is* the final<br>

> authority on who has the right to publish to what name. It would be<br>

> a bit like trying to determine if the PSF owns <a href="http://python.org">python.org</a> without<br>

> involving the company running the .org TLD. </p>

<p dir="ltr">I see it as similar to the SSL CA system - it has plenty of known flaws, but still closes a whole lot of attack vectors, and thus is worth doing. Particularly security conscious users will still be able to do their own verification, or pay a redistributor to do additional verification on their behalf. (For example, I expect you would fail all the meaningful Common Criteria EAL certification levels if you blindly trusted PyPI).</p>


<p dir="ltr">Cheers,<br>

Nick.</p>

<p dir="ltr">><br>

><br>

> _______________________________________________<br>

> Catalog-SIG mailing list<br>

> <a href="mailto:Catalog-SIG@python.org">Catalog-SIG@python.org</a><br>

> <a href="http://mail.python.org/mailman/listinfo/catalog-sig">http://mail.python.org/mailman/listinfo/catalog-sig</a><br>

><br>

</p>