Fork me on GitHub
#clojure-italy
<
2018-01-30
>
reborg11:01:29

ma qual e' il punto di firmare un jar con gpg per poi mandarlo su clojars? Cosa potrebbe succedere se non e' firmato?

bronsa11:01:32

il punto e` che cosi` garantisci la provenienza

bronsa11:01:03

se clojars venisse hackato e rimpiazzassero il tuo jar con uno “compromesso”, la firma non verificherebbe piu`

reborg11:01:45

ma un hash md5 non farebbe una cosa simile?

bronsa11:01:07

non e` crittograficamente sicuro md5

bronsa11:01:13

e generare una collisione e` triviale

reborg11:01:44

ma per la mia lib che forse nessuno usera' mai mi devo preoccupare?

bronsa11:01:52

inoltre una firma gpg e` garanzia di provenienza, un hash no

bronsa11:01:51

beh, diciamo che e` meglio prevenire che curare :)

reborg11:01:39

cmq sarebbe bello: guardi Sig. reborg, la nostra multinazionale non puo' utilizzare il suo jar perche' non e' critto-sicuro

bronsa12:01:06

non sarebbe la prima volta che succede :)

mdallastella12:01:51

@reborg io non la userei...

reborg13:01:32

cosa non useresti @mdallastella?

mdallastella13:01:44

Una libreria non firmata

reborg13:01:12

mai prestato attenzione negli ultimi anni...

reborg13:01:56

e come te la cavi cone le dipendenze transitive, vai a controllartele tutte?

nilrecurring13:01:36

Maven/lein/boot dovrebbe controllarlo per me

reborg13:01:08

ah ok, quindi ho sempre usato lib firmate evidentemente

nilrecurring13:01:14

(non sono certo che lo facciano, ho espresso il caso ideale)

manuel13:01:20

manuel@elle:~/projects/boodle$ lein deps :verify
:unsigned [bidi "2.1.3"]
:unsigned [binaryage/devtools "0.9.9" :scope "test"]
:unsigned [binaryage/env-config "0.2.2" :scope "test"]
:unsigned [cheshire "5.8.0"]
:unsigned [com.fasterxml.jackson.core/jackson-core "2.9.0"]
:unsigned [com.fasterxml.jackson.dataformat/jackson-dataformat-cbor "2.9.0"]
:unsigned [com.fasterxml.jackson.dataformat/jackson-dataformat-smile "2.9.0"]
:unsigned [tigris "0.1.1"]
:unsigned [cljs-ajax "0.7.3"]
:unsigned [com.cognitect/transit-cljs "0.8.243"]
:unsigned [com.cognitect/transit-js "0.8.846"]

manuel13:01:50

le marca tutte, però, non so quanto sia attendibile 😄

mdallastella13:01:46

No no, anche la nostra libreria dice che non è firmata:

:unsigned [eu.7bridges/clj-odbp "0.3.0-20180125.140306-6"]

mdallastella13:01:20

scusate, mi aspettavo che lein lo facesse automagicamente 😕

reborg16:01:02

Stavo pensando a quanto mi sono allontanato da agile/xp/craftsmanship negli ultimi anni. Penso di averne assorbito parecchio alla fine. Ma e' come essersi tolti le ruotine dalla bicicletta: non c'e' piu' ritorno.

helios19:01:39

@reborg elabora 😛 (mi sa che mi sono perso la discussione)