Message d'erreur de composer après un php composer.phar install
:
The contents of https://packagist.org/p/providers-latest.json do not match its signature, this is most likely due to a temporary glitch but could indicate a man-in-the-middle attack. Try running composer again and please report it if it still persists.
Comprendre : La signature ne correspond pas à ce qui est téléchargé. Peut être que ce que tu télécharges a été modifié, et en tout cas la sécurité n'est pas assurée MAIS composer décide de quand même continuer l'installation, installer les paquets téléchargés et éventuellement les mettre à jour avec la version en ligne non sûre.
Bien entendu il n'y a pas de commande pour revenir en arrière si jamais tu décides qu'installer des paquets avec une mauvaise signature pouvait ne pas être une bonne idée.
Seule sécurité : "Oh, mais si la brèche se reproduit trop souvent il faudra penser à prévenir hein..."
Le tout est confirmé par le code source de composer qui, juste avant de lancer l'alerte, indique
// TODO throw SecurityException and abort once we are sure this can not happen accidentally
Bref,
- L'architecture est telle qu'il peut être normal qu'une signature ne corresponde pas
- La sécurité est envisagée de façon à ce qu'une signature cassée ne soit pas une erreur critique du point de vue client
Sérieusement ?