<div dir="ltr"><br><br><div class="gmail_quote">On Sat, Apr 18, 2015 at 12:20 AM Bardur Arantsson <<a href="mailto:spam@scientician.net">spam@scientician.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 17-04-2015 10:17, Michael Snoyman wrote:<br>
> This is a great idea, thank you both for raising it. I was discussing<br>
> something similar with others in a text chat earlier this morning. I've<br>
> gone ahead and put together a page to cover this discussion:<br>
><br>
> <a href="https://github.com/commercialhaskell/commercialhaskell/blob/master/proposal/improved-hackage-security.md" target="_blank">https://github.com/commercialhaskell/commercialhaskell/blob/master/proposal/improved-hackage-security.md</a><br>
><br>
> The document definitely needs more work, this is just meant to get the ball<br>
> rolling. As usual with the commercialhaskell repo, if anyone wants edit<br>
> access, just request it on the issue tracker. Or most likely, send a PR and<br>
> you'll get a commit bit almost magically ;)<br>
<br>
Thank you. Just to make sure that I understand -- is this page only<br>
meant to cover the original "strawman proposal" at the start of this<br>
thread, or...?<br>
<br>
Maybe you intend for this to be extended in a detailed way under the<br>
"Long-term solutions" heading?<br>
<br>
I was imagining a wiki page which could perhaps start out by collecting<br>
all the currently identified possible threats in a table, and then all<br>
"participants" could perhaps fill in how their suggestion addresses<br>
those threats (or tell us why we shouldn't care about this particular<br>
threat). Of course other relevent non-threat considerations might be<br>
relevant to add to such a table, such as: how prevalent is the<br>
software/idea we're basing this on? does this have any prior<br>
implementation (e.g. the append-to-tar and expect that web servers will<br>
behave sanely thing)? etc.<br>
<br>
(I realize that I'm asking for a lot of work, but I think it's going to<br>
be necessary, at least if there's going to be consensus and not just a<br>
de-facto "winner".)<br>
<br><br></blockquote><div><br></div><div>Hi Bardur,</div><div><br><br>I don't think I have any different intention for this page than you've identified. In fact, I thought that I had clearly said exactly what you described when I said:<br><br>> There are various ideas at play already. The bullets are not intended to be full representations of the proposals, but rather high level summaries. We should continue to expand this page with more details going forward.<br><br></div><div>If this is unclear somehow, please tell me. But my intention absolutely is that many people can edit this page to add their ideas and we can flesh out a complete solution.</div><div><br></div><div>Michael</div></div></div>