<div dir="ltr"><div><div><br></div>I may be missing something, but it seems the Python tarballs and hashes are on the same host, and this is not an entirely good thing for security.<br><br>The way things are now, an attacker breaks into one host, doctors up a tarball, changes the hashes in the same host, and people download without noticing, even if they verify hashes.<br>
<br>If you put the hashes on a different host from the tarballs, the attacker has to break into two machines.  In this scenario, the hashes add more strength.<br><br>ISTR I first learned of this issue from an article by Bruce Schneier, though I don't think it was in the context of Python.<br>
</div><br><br><div><br></div></div>