Skip to content

Instantly share code, notes, and snippets.

@edas
Last active December 13, 2015 18:08
Show Gist options
  • Save edas/4952882 to your computer and use it in GitHub Desktop.
Save edas/4952882 to your computer and use it in GitHub Desktop.

Message d'erreur de composer après un php composer.phar install :

The contents of https://packagist.org/p/providers-latest.json do not match its signature, this is most likely due to a temporary glitch but could indicate a man-in-the-middle attack. Try running composer again and please report it if it still persists.

Comprendre : La signature ne correspond pas à ce qui est téléchargé. Peut être que ce que tu télécharges a été modifié, et en tout cas la sécurité n'est pas assurée MAIS composer décide de quand même continuer l'installation, installer les paquets téléchargés et éventuellement les mettre à jour avec la version en ligne non sûre.

Bien entendu il n'y a pas de commande pour revenir en arrière si jamais tu décides qu'installer des paquets avec une mauvaise signature pouvait ne pas être une bonne idée.

Seule sécurité : "Oh, mais si la brèche se reproduit trop souvent il faudra penser à prévenir hein..."

Le tout est confirmé par le code source de composer qui, juste avant de lancer l'alerte, indique

// TODO throw SecurityException and abort once we are sure this can not happen accidentally

Bref,

  1. L'architecture est telle qu'il peut être normal qu'une signature ne corresponde pas
  2. La sécurité est envisagée de façon à ce qu'une signature cassée ne soit pas une erreur critique du point de vue client

Sérieusement ?

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment