<div><span style="color: rgb(160, 160, 168); ">On Thursday, February 28, 2013 at 10:13 AM, Noah Kantrowitz wrote:</span></div>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div>Reponding from my phone quickly before this gets any further, will write more later. Plan is to have pypi move package download links to a new hostname (probably <a href="http://pypi-download.python.org">pypi-download.python.org</a>) and then throw that behind fastly. This sidesteps 100% of issues with dynamic pages, etc. Simple index with be handled secondarily.<br></div></div></span></blockquote><div>Just an aside, can we use a pythonhosted.org domain, like</div><div>https://packages.pythonhosted.org/ or something?</div><div><br></div><div>That will prevent gifar like attacks where someone finds a way</div><div>to create a file that both looks like a valid file to PyPI, but</div><div>that browsers will interpret as something executable. Or rather</div><div>it prevents it from being able to attack *.python.org.</div><div><br>
                </div>