<div dir="ltr"><br><br><div class="gmail_quote">On Fri, Apr 17, 2015 at 7:51 AM Bardur Arantsson <<a href="mailto:spam@scientician.net">spam@scientician.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 17-04-2015 05:34, Michael Snoyman wrote:<br>
<br>
>> I wrote up a strawman proposal last week[5] which clearly needs work to<br>
> be a realistic option. My question is: are people interested in moving<br>
> forward on this? If there's no interest, and everyone is satisfied with<br>
> continuing with the current Hackage-central-authority, then we can proceed<br>
> with having reliable and secure services built around Hackage. But if<br>
> others- like me- would like to see a more secure system built from the<br>
> ground up, please say so and let's continue that conversation.<br>
<br>
You say "more secure". Against what? What's the threat model? (Again,<br>
sorry if I missed it, it's been a long thread.)<br>
<br>
Yes, I'd definitely like a more "secure system" against many/all of the<br>
threats idenfied in e.g. TUF (perhaps even more, if realistic), but it's<br>
hard to evaluate a proposal without an explicitly spelled out threat<br>
model. This where adopting bits of TUF seems a lot more appealing than a<br>
home-brewed model, at least if we can remain confident that those bits<br>
actually mitigates the threats that we want covered.<br>
<br><br></blockquote><div><br></div><div>Instead of copy-pasting bits and pieces of my initial email until the whole thing makes sense, I'll just link to the initial email, which lists some of the security vulnerabilities and gives my disclaimers about my proposal just being a strawman:</div><div><br></div><div><a href="https://groups.google.com/d/msg/commercialhaskell/PTbC0p_YFvk/8XqS8wDxgqEJ">https://groups.google.com/d/msg/commercialhaskell/PTbC0p_YFvk/8XqS8wDxgqEJ</a></div><div><br></div><div>Note that I never intended that list to be exhaustive at all! The point is to see if others have security concerns along these lines as well, seems to be the case. In this thread others and myself have raised a number of other security threats. TUF raises even additional threads.</div><div><br></div><div>I've asked Duncan[1] about how TUF would address some specific concerns I raised (such as Hackage server being compromised), but I haven't heard a response. My guess is that TUF will ended up being a necessary but insufficient part of a solution here, but I unfortunately don't know enough about Well Typed's intended implementation to say more than that.</div><div><br></div><div>Michael</div><div><br></div><div>[1] Both in the mailing list and on Reddit: <a href="http://www.reddit.com/r/haskell/comments/32sezy/ongoing_work_to_improve_hackage_security/cqeco3q">http://www.reddit.com/r/haskell/comments/32sezy/ongoing_work_to_improve_hackage_security/cqeco3q</a></div></div></div>