<br><br><div class="gmail_quote">2011/3/1 John Bayly <span dir="ltr">&lt;<a href="mailto:freebsd.ports@tipstrade.net">freebsd.ports@tipstrade.net</a>&gt;</span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">


  
    
  
  <div bgcolor="#ffffff" text="#000000"><div><div></div><div class="h5">
    On 25/02/2011 20:35, Arnaud Quette wrote:
    <blockquote type="cite">Hey Charles,<br>
      <br>
      <div class="gmail_quote">2011/2/25 Charles Lepple <span dir="ltr">&lt;<a href="mailto:clepple@gmail.com" target="_blank">clepple@gmail.com</a>&gt;</span><br>
        <blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
          <div>
            <div>On Fri, Feb 25, 2011 at 3:21 AM, Arnaud
              Quette &lt;<a href="mailto:aquette.dev@gmail.com" target="_blank">aquette.dev@gmail.com</a>&gt;
              wrote:<br>
              &gt;<br>
              &gt;<br>
              &gt; 2011/2/25 Charles Lepple &lt;<a href="mailto:clepple@gmail.com" target="_blank">clepple@gmail.com</a>&gt;<br>
              &gt;&gt;<br>
              &gt;&gt; On Thu, Feb 24, 2011 at 10:36 AM, Arnaud Quette
              &lt;<a href="mailto:aquette.dev@gmail.com" target="_blank">aquette.dev@gmail.com</a>&gt;<br>
              &gt;&gt; wrote:<br>
              &gt;&gt; &gt; Hi Charles,<br>
              &gt;&gt; &gt;<br>
              &gt;&gt; &gt; 2011/2/18 Charles Lepple &lt;<a href="mailto:clepple@gmail.com" target="_blank">clepple@gmail.com</a>&gt;<br>
              &gt;&gt; &gt;&gt;<br>
              &gt;&gt; &gt;&gt; On Feb 17, 2011, at 8:41 AM, Arnaud
              Quette wrote:<br>
              &gt;&gt; &gt;&gt;<br>
              &gt;&gt; &gt;&gt; Hi John,<br>
              &gt;&gt; &gt;&gt;<br>
              &gt;&gt; &gt;&gt; 2011/1/17 John Bayly<br>
              &gt;&gt; &gt;&gt;&gt;<br>
              &gt;&gt; &gt;&gt;&gt; On 14/01/2011 20:40, Arnaud Quette
              wrote:<br>
              &gt;&gt; &gt;&gt;&gt;&gt;<br>
              &gt;&gt; &gt;&gt;&gt;&gt; Author: aquette<br>
              &gt;&gt; &gt;&gt;&gt;&gt; Date: Fri Jan 14 20:40:06 2011<br>
              &gt;&gt; &gt;&gt;&gt;&gt; New Revision: 2832<br>
              &gt;&gt; &gt;&gt;&gt;&gt; URL: <a href="http://trac.networkupstools.org/projects/nut/changeset/2832" target="_blank">http://trac.networkupstools.org/projects/nut/changeset/2832</a><br>
              &gt;&gt; &gt;&gt;&gt;&gt;<br>
              &gt;&gt; &gt;&gt;&gt;&gt;<br>
              &gt;&gt; &gt;&gt;&gt;&gt;<br>
              &gt;&gt; &gt;&gt;&gt;&gt; +link:<a href="http://www.networkupstools.org/source/2.6/nut-2.6.0.tar.gz.sig%5Bsignature%5D" target="_blank">http://www.networkupstools.org/source/2.6/nut-2.6.0.tar.gz.sig[signature]</a><br>

              &gt;&gt; &gt;&gt;&gt;<br>
              &gt;&gt; &gt;&gt;&gt; May I suggest that you also provide
              checksums for the tarball? I&#39;m<br>
              &gt;&gt; &gt;&gt;&gt; updating the FreeBSD port, and
              wanted to verify the SHA256 sum. As<br>
              &gt;&gt; &gt;&gt;&gt; it&#39;s been<br>
              &gt;&gt; &gt;&gt;&gt; downloaded from the NUT website, I
              know the odds of the source being<br>
              &gt;&gt; &gt;&gt;&gt; tainted<br>
              &gt;&gt; &gt;&gt;&gt; are astronomical, but if it&#39;s for a
              distribution, I thought I&#39;d be<br>
              &gt;&gt; &gt;&gt;&gt; extra<br>
              &gt;&gt; &gt;&gt;&gt; cautious.<br>
              &gt;&gt; &gt;&gt;&gt; As it is I&#39;ve verified the GPG sig
              (never used it before) and used the<br>
              &gt;&gt; &gt;&gt;&gt; computed SHA sum.<br>
              &gt;&gt; &gt;&gt;<br>
              &gt;&gt; &gt;&gt; I&#39;ve added a SHA256 hash, and referenced
              it in the download section:<br>
              &gt;&gt; &gt;&gt; <a href="http://www.networkupstools.org/download.html" target="_blank">http://www.networkupstools.org/download.html</a><br>
              &gt;&gt; &gt;&gt;<br>
              &gt;&gt; &gt;&gt; I&#39;ve not yet updated the documentation,
              but it&#39;s simple as downloading<br>
              &gt;&gt; &gt;&gt; the<br>
              &gt;&gt; &gt;&gt; nut archive and the matching .sha256
              file. Then using:<br>
              &gt;&gt; &gt;&gt; $ sha256sum -c nut-2.6.0.tar.gz.sha256<br>
              &gt;&gt; &gt;&gt;<br>
              &gt;&gt; &gt;&gt; Arnaud,<br>
              &gt;&gt; &gt;&gt; I go through a similar set of steps for
              Fink packages. If there is a<br>
              &gt;&gt; &gt;&gt; GPG<br>
              &gt;&gt; &gt;&gt; signature, I&#39;ll verify that, since it
              provides a little more<br>
              &gt;&gt; &gt;&gt; chain-of-trust<br>
              &gt;&gt; &gt;&gt; information. However, if I am just
              downloading a single file, it is<br>
              &gt;&gt; &gt;&gt; typically easier to just verify the hash
              by inspection - that is, with<br>
              &gt;&gt; &gt;&gt; the<br>
              &gt;&gt; &gt;&gt; SHA256 on the web page rather than a
              separate file download.<br>
              &gt;&gt; &gt;&gt; Also, there is a bit more of an audit
              trail if the hash is in our web<br>
              &gt;&gt; &gt;&gt; pages in SVN.<br>
              &gt;&gt; &gt;<br>
              &gt;&gt; &gt; I may be too far away, in other
              consideration...<br>
              &gt;&gt; &gt; but, are you saying that it would be better
              to embed the SHA256 hash<br>
              &gt;&gt; &gt; directly on the web page, or simply that
              searching for this file may be<br>
              &gt;&gt; &gt; too<br>
              &gt;&gt; &gt; hard for the user?<br>
              &gt;&gt; &gt;<br>
              &gt;&gt; &gt; for the former, the web page always need a
              modification for new<br>
              &gt;&gt; &gt; publication<br>
              &gt;&gt; &gt; (svn commit then push on <a href="http://www.n.o" target="_blank">www.n.o</a>). So
              changing the stable release name,<br>
              &gt;&gt; &gt; and<br>
              &gt;&gt; &gt; at the same time adding the hash would not
              be a problem.<br>
              &gt;&gt;<br>
              &gt;&gt; I like this because there is a history of the
              hashes in SVN. The<br>
              &gt;&gt; .sha256 file is not version controlled.<br>
              &gt;<br>
              &gt; nor the root file it&#39;s hashing...<br>
              &gt;<br>
              &gt;&gt;<br>
              &gt;&gt; &gt; for the latter, the file is named
              &lt;release-file&gt;.sha256, so for example<br>
              &gt;&gt; &gt; nut-2.6.0.tar.gz.sha256, which allows
              checking automation.<br>
              &gt;&gt;<br>
              &gt;&gt; I guess I&#39;m not sure I see the advantage of
              putting it in a separate file.<br>
              &gt;<br>
              &gt; I see no problem.<br>
              &gt; can you please do the mod?<br>
              &gt;<br>
              &gt; cheers,<br>
              &gt; Arnaud<br>
              <br>
            </div>
          </div>
          Committed as r2910.<br>
        </blockquote>
      </div>
      <br>
      thanks, I&#39;ve just &#39;moved it to prod&#39;.<br clear="all">
      <br>
      note that I will however leave the .sha256 file available in the
      sources/ dir, and will distribute future files too. <br>
      Documentation will be using it (ie &#39;sha256sum -c
      nut-X.Y.Z.tar.gz.sh256&#39;) since I personally find it more
      convenient, and <span lang="en"><span title="Cliquer ici pour voir d&#39;autres
          traductions">automatable</span></span>.<br>
      <br>
      cheers,<br>
      Arnaud<br>
      <br>
    </blockquote></div></div>
    Just realised that you added the checksum a while ago. Thanks for
    that.<font color="#888888"></font><br></div></blockquote></div><br>welcome, we kept you cc&#39;ed for that ;-)<br clear="all">btw, any comment on the .sha256 file Vs. hash inside the HTML page?<br><br>cheers,<br>Arnaud<br>
-- <br>Linux / Unix Expert R&amp;D - Eaton - <a href="http://powerquality.eaton.com" target="_blank">http://powerquality.eaton.com</a><br>Network UPS Tools (NUT) Project Leader - <a href="http://www.networkupstools.org/" target="_blank">http://www.networkupstools.org/</a><br>
Debian Developer - <a href="http://www.debian.org" target="_blank">http://www.debian.org</a><br>Free Software Developer - <a href="http://arnaud.quette.free.fr/" target="_blank">http://arnaud.quette.free.fr/</a><br><br>