<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 11, 2014 at 11:36 PM, Matthew Knepley <span dir="ltr"><<a href="mailto:knepley@gmail.com" target="_blank">knepley@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>I don't actually care whether we keep this check. However, I do think the arguments advanced so far do</div><div>not amount to more than prejudice. I don't think a security argument holds water for a system that</div><div>downloads tarballs from other sites without any kind of check.</div></blockquote></div><br></div><div class="gmail_extra">Are you referring to PETSc?  All HashDist downloads are cryptographically verified, which is one of the reasons we're trying to move away from this sort of thing.<br><br>A<br></div></div>