<div>Right, I agree with you on the same point.</div>
<div>Given that slf4j is available through maven central (we use maven for our build), and md5/sha1 checksums are already posted on that site. Having the same published on the original site would allow for cross verification..</div>

<div> </div>
<div>If you examine, ASF also does the same by publishing md5/sha1/asc signatures on the <a href="http://www.apache.org/">http://www.apache.org</a> site when allowing their files to be downloaded from a vast number of mirrors.</div>

<div> </div>
<div>For <strong>time being,</strong> please try and upload the hashes, while you work on getting the artifacts signed. I <strong>definetely </strong>agree with you that, hashes are <strong>not</strong>  a permanent solution for checking the integrity. However, we can use them as <strong>temporary</strong> alternative while the <strong>real</strong> solution is on its way.</div>

<div><br>-Thanks,</div>
<div>Elisha Ebenezer</div>
<div> </div>
<div class="gmail_quote">On Fri, May 14, 2010 at 1:31 AM, Ceki Gülcü <span dir="ltr">&lt;<a href="mailto:ceki@qos.ch" target="_blank">ceki@qos.ch</a>&gt;</span> wrote:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">
<div>On 13/05/2010 8:01 AM, Elisha Ebenezer wrote:<br></div>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">
<div>Ceki,<br>I&#39;ve raised the bug report upon your suggestion. Bug#183<br></div>&lt;<a href="http://bugzilla.slf4j.org/show_bug.cgi?id=183" target="_blank">http://bugzilla.slf4j.org/show_bug.cgi?id=183</a>&gt; 
<div><br>However, I still request you to specify the md5/sha1 checksums on your site.<br>This will help us to atleast convince our security team that, integrity<br>of the downloaded files can be verified.<br>Please do the needful.<br>
Thanks,<br>Elisha Ebenezer.<br></div></blockquote><br>An md5 or sha1 checksum on <a href="http://slf4j.org/" target="_blank">http://slf4j.org</a> would not provide any<br>additional security because any adversary who can corrupt the<br>
distribution files on our site can also, in all likelihood, corrupt<br>the checksums appearing on the same site.<br><br>I am quite surprised to hear any knowledgeable security professional<br>would consider a cryptographic checksum as providing any sort of<br>
integrity assurance because it does not. 
<div>
<div></div>
<div><br>_______________________________________________<br>slf4j-user mailing list<br><a href="mailto:slf4j-user@qos.ch" target="_blank">slf4j-user@qos.ch</a><br><a href="http://qos.ch/mailman/listinfo/slf4j-user" target="_blank">http://qos.ch/mailman/listinfo/slf4j-user</a><br>
</div></div></blockquote></div><br>