<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">On 7/3/12 3:16 AM, Daniel Holth wrote:<br>
    </div>
    <blockquote
cite="mid:CAG8k2+4-hL-aN+AbpjW_Dg--53npGQJf5OCLhZ-SkMkvOJwZ_g@mail.gmail.com"
      type="cite">
      <pre wrap="">I would like to amend the spec. The hash column of RECORD should be

'sha256:' + urlsafe_b64encode(hashlib.sha256(data))

instead of the hopelessly obsolete md5. With a secure hash function,
you can digitally sign RECORD.</pre>
    </blockquote>
    The goal of the RECORD file is to make sure we know if a file was
    changed so installlers are aware of it when they want<br>
    to remove the project for instance.<br>
    <br>
    It was not really intended to be some kind of security against an
    attack -- unless you have<br>
    attacks scenarri in mind ?<br>
    <br>
    <blockquote
cite="mid:CAG8k2+4-hL-aN+AbpjW_Dg--53npGQJf5OCLhZ-SkMkvOJwZ_g@mail.gmail.com"
      type="cite">
      <pre wrap="">

It would also make sense to allow RECORD to be omitted from RECORD.</pre>
    </blockquote>
    <br>
    why ? this file is part of the installation, and as said here :
    <a class="moz-txt-link-freetext" href="http://www.python.org/dev/peps/pep-0376/#record">http://www.python.org/dev/peps/pep-0376/#record</a><br>
    <br>
    "
    <meta http-equiv="content-type" content="text/html;
      charset=ISO-8859-1">
    Notice that the <cite>RECORD</cite> file can't contain a hash of
    itself and is just mentioned here"<br>
    <br>
    Cheers<br>
    Tarek<br>
    <br>
    <br>
    <blockquote
cite="mid:CAG8k2+4-hL-aN+AbpjW_Dg--53npGQJf5OCLhZ-SkMkvOJwZ_g@mail.gmail.com"
      type="cite">
      <pre wrap="">
_______________________________________________
Distutils-SIG maillist  -  <a class="moz-txt-link-abbreviated" href="mailto:Distutils-SIG@python.org">Distutils-SIG@python.org</a>
<a class="moz-txt-link-freetext" href="http://mail.python.org/mailman/listinfo/distutils-sig">http://mail.python.org/mailman/listinfo/distutils-sig</a>
</pre>
    </blockquote>
    <br>
    <br>
  </body>
</html>