<br><br><div class="gmail_quote">On Fri, Jun 3, 2011 at 8:11 AM, Marc Deslauriers <span dir="ltr"><<a href="mailto:marcdeslauriers@videotron.ca">marcdeslauriers@videotron.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im"><br>
<br>
</div>You are supposed to look at the web of trust on the GPG key itself, not<br>
base your decision on whether or not the key was on an https server.<br>
<div class="im"><br>
<br>
> IT'S A BIG SECURITY HOLE, AND THERE'S NO EXPLANATION WHY DON'T THEY<br>
> UPDATE THE /UbuntuHashes site<br>
<br>
</div>It's only a big security hole if you're not using it properly. Again,<br>
the page is only meant for checking corrupted downloads, not malicious<br>
images. If you want to check for malicious images, you need to validate<br>
the gpg signatures.<br>
<font color="#888888"><br></font></blockquote></div><br>Marc,  any reason you provide a separate gpg file and don't just clearsign the checksum files so its all in one nice handy file?<br><br><br>