有没有办法确保从hackage下载的真实性?据我所见,什么都没有.没有针对hackage的https,也没有针对tarball的(强)校验和,也没有签名.
那么:如何从hackage验证下载的真实性?
新的 Hackage 服务器很快就会取得重大进展。马特在夏天的代码中致力于此。看看他的博客:http://cogracenotes.wordpress.com/
人们已经考虑以新的、更好的方式管理贡献者登录,但尚未验证下载的真实性。
另一方面,据我记得,https 支持将成为 hackage 2 的一部分。
签名的 tarball 听起来可能有用,但还没有完成考虑实施它们的工作。Hackage 是开源的,获得贡献,甚至只是仔细考虑功能提案都会有所帮助。