| 6 Jun 2023 |
 Reventlov | et pour la paire de clef… en fait… tu as une dérivation avec un ensemble d'inputs, tu prends le hash de ces inputs, et tu query ton cache binaire. Il va te répondre « oui, j'ai le machin buildé qui correspond, voilà son nar hash, et voilà une signature de ce hash » | 10:00:37 |
| Reventlov | derrière, ton client télécharge ton binaire, calcule le nar hash du truc, vérifie que c'est bien le nar hash que le cache binaire avait envoyé, et vérifie que la signature est bonne | 10:01:41 |
| Reventlov | au fond, ça permet de découpler la partie « résolution » d'un hash d'inputs vers un nar hash de la partie téléchargement (qui pourrait être peer-to-peer) | 10:02:04 |
 nim65s | ok, mais ce hash est déjà signé par Hydra, non ? | 10:02:11 |
| nim65s | pourquoi ton cache local doit signer aussi ? | 10:02:20 |
| Reventlov | c'est un petit abus de langage, quand on dit bincache souvent on veut dire « on a un truc qui build et cache les binaires » | 10:02:45 |
| Reventlov | mais, oui, tu pourrais juste reservir les signatures de cache.nixos.org et leurs binaires | 10:02:55 |
| nim65s | ok, c’est bien ce que je pensais, merci | 10:02:57 |
| Reventlov | et ça irait tout à fait | 10:02:59 |
 nbp | Avoir un cache distribué mais une signature centralisé est techniquement faisable, mais ensuite il y a toujours un risque.
Le plus grand risque selon moi est si le cache est composé de logiciel utilisé par la machine qui fourni le cache, car là il y a un risque d'attaque potentielle.
Si quelqu'un est capable de déterminé que Apache est pas à jour, et donc vulnérable … alors il y a un risque. | 10:03:16 |
| Reventlov | (en fait t'as déjà la signature centralisée, de fait, avec celle de cache.nixos.org) | 10:03:45 |
| Reventlov | et le cache distribué, moi ça m'arrive de mettre un simple nginx qui cache nixos.org pour éviter d'aller retaper dessus | 10:04:10 |
| Reventlov | à la https://nixos.wiki/wiki/FAQ/Private_Cache_Proxy | 10:04:26 |
| Reventlov | (ce qui correspond à ton cache simple, Guilhem) | 10:04:47 |
| nim65s | yep, nix appelle ses dépôts des caches. Je comprends pourquoi, mais du coup quand je cherche une cache je me perds x) | 10:05:28 |
 raitobezarius | In reply to @glepage:matrix.org
https://discourse.nixos.org/t/the-nixos-foundations-call-to-action-s3-costs-require-community-support/28672
Serait-ce une idée complètement absurde d'avoir un cache peer-to-peer qui pourrait être hébergé sur le serveur de Pierre-Paul-Jacques et depuis lequel on pourrait seeder les dérivations compilées ? distribution != storage | 12:20:29 |
 Gaétan Lepage | J'ai pris le temps de lire la majorité du thread. En effet, je n'avais pas saisi la nuance.
En tout cas, J'espère qu'une solution fonctionnelle et pas trop onéreuse va pouvoir être trouvée :) | 12:30:07 |
| Gaétan Lepage | * J'ai pris le temps de lire la majorité du thread. En effet, je n'avais pas saisi la nuance.
En tout cas, j'espère qu'une solution fonctionnelle et pas trop onéreuse va pouvoir être trouvée :) | 12:30:13 |
