<div dir="ltr">This is roughly what I was suggesting with the http header (fetching the hash with a TLS HEAD request even if the download itself is not TLS). I think this may be preferable to encoding the hash with the link, as it would work even with 3rd party links.<div>

<br></div><div>Getting support in the browser or OS is critical, I agree - apart from the convenience factor, installing a secondary "secure download" tool is a catch 22 for the user.<div><br></div><div>- O</div>

</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jul 1, 2013 at 4:22 PM, Martin Uecker <span dir="ltr"><<a href="mailto:uecker@eecs.berkeley.edu" target="_blank">uecker@eecs.berkeley.edu</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Jacob Appelbaum <<a href="mailto:jacob@appelbaum.net">jacob@appelbaum.net</a>> wrote:<br>
<br>
...<br>
<div class="im"><br>
> We need a secure downloading tool, we need it to be built into every OS<br>
> by default and until then, we'll have to rely on tricks to hack it -<br>
> preloading certs in browsers, having a website to download it from and<br>
> so on.<br>
><br>
<br>
</div>What we need are backwards compatible self-certifying URLs or hyperlinks,<br>
e.g. something like this:<br>
<br>
<a href="./mysoftware.tgz" hmac="sha1:da19d18ef86f4fb8fe8b61323806ec1764f9bf00">My software</a><br>
<a href="./mysoftware.tgz#sha1:da19d18ef86f4fb8fe8b61323806ec1764f9bf00">My software</a><br>
<br>
And something similar to specify a public key.<br>
<br>
This would need to be standardized and supported by all major browsers.<br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
--<br>
Too many emails? Unsubscribe, change to digest, or change password by emailing moderator at <a href="mailto:companys@stanford.edu">companys@stanford.edu</a> or changing your settings at <a href="https://mailman.stanford.edu/mailman/listinfo/liberationtech" target="_blank">https://mailman.stanford.edu/mailman/listinfo/liberationtech</a><br>


</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Owen Barton, CivicActions, Inc.<br>cell: 805-699-6099, skype/irc: grugnog<br>
</div>