<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class=""><div class=""><blockquote type="cite" class=""><br class=""><blockquote type="cite" class="">Would it not be cleaner if the signature was next to the resource ? Like <br class=""><br class=""><a href="http://files.pharo.org/platform/Pharo6.1-mac.zip.sha256.txt" class="">http://files.pharo.org/platform/Pharo6.1-mac.zip.sha256.txt</a><br class=""><br class="">Or is that the next step ?<br class=""><br class=""></blockquote><br class="">Already there. But a signature like that is not a guarantee if it is downloaded from the same server… especially of that server does not<br class="">use SSL… <br class=""><br class="">The “stack vector” that a checksum protects against is the compromise of a download server, especially untrusted mirrors. For that, <br class="">the checksum needs to come from some other (trusted) source. E.g. normally it is inlined on the download website.<br class=""><br class="">But of course these things are never 100% guarantees, they just make it harder to do bad things.<br class=""></blockquote><br class="">Ah, OK, I understand, I just think that a shorter/simpler/easier-to-remember URL for the signature would be better.<br class=""><br class=""></div></div></blockquote>I will put them on <a href="http://pharo.org" class="">pharo.org</a> later, too (in a dedicated directory). And link them from the download page.</div><div><br class=""></div><div><span class="Apple-tab-span" style="white-space:pre">   </span>Marcus</div><br class=""></body></html>