リンクにハッシュ値を併記する #8
Comments
なにがどうべんりなんでしょうか? |
|
https://golang.org/dl/ |
|
改竄防止という意味では、#9 の提案手法は一切機能していません。提案手法は普通のユーザーがやるように github から DL してハッシュを計算しているからです。 そのためハッシュ計算時点において、通信路での改竄やバイナリ崩壊の影響を受けていないことが証明できません。 もちろん vim/vim-win32-installer や koron/vim-kaoriya にアップロードする時点での改竄も見抜けません。リリースページにハッシュ値を書くことも考えられますが、アップロードするバイナリを改竄可能ならリリースページを改竄可能なのでこれも機能しません。 信頼できないハッシュ値を提示することで、ユーザーになんの根拠もない安心を与えてしまい逆に問題であるとすら言えるでしょう。 本当に改竄防止が目的ならば以下のどちらかが必要です。
そうでなければユーザーを逆に危険にさらします。 |
|
なるほど、確かに安易な解決方法でした。 |
|
たしかに redirects で 自動で計算 するのは原理的に不可能でしょう。 でも vim-jp/vim-jp.github.io については _data/downloads.yml を人力で更新しているので
は実現可能です。もちろん github と vim-jp/vim-jp.github.io にアクセスできる人たちを信用するという前提は付きますが。 加えて #9 より
こちらについても、そんな感じの前提付きで実現できます。 |
これが前提として成立するなら
でも良い気がする。 vim/vim-win32-installer はどうするのかわかんないけど… appveyor で書き込むのかな。 |
それは vim/vim-win32-installer にスクリプトを改善する PR を送るって事ですか? |
|
ですです。 |
まだ実現可能性も探ってないアイデア段階ですが、リンク集のページにハッシュ値を併記する事は可能でしょうか?
http://vim-jp.org/redirects/
ハッシュ値が書いてあってすぐコピーできるようになっていると便利そうかなとふと思いました。
P.S. 別リポジトリで言う事だと思いますが、 vim-jp.org のトップページのダウンロードリンクにもハッシュ値が書いてなかったです。
そもそもあっちは jekyll ですが、もし対応できるならそっちにも (というかそっちの方が) あると便利そうです。
The text was updated successfully, but these errors were encountered: