Quando testei pela primeira vez o hack touch, fiquei surpreso que o apt-get usou o tempo de modificação do arquivo local para informar ao servidor http o que fazer o download - mas esse é obviamente o caso (ou o hack não funcionaria). / p>
O arquivo de versão baixado contém uma data confiável e esses arquivos são assinados criptograficamente e, portanto, são bastante confiáveis, mas os hashes não são usados para determinar quais arquivos de pacote devem ser baixados.
Com a abordagem de registro de data e hora agora em uso para arquivos de pacote, não há nada de especial necessário no site de espelhamento. Nós devemos o projeto Debian para o design. É útil espelhar os proprietários para manter o Ubuntu idêntico ao Debian e manter as coisas baunilhadas e, portanto, fácil de gerenciar.
Esse design normalmente funciona bem, até onde eu sei. Este é apenas um bug que deve ser corrigido tanto quanto eu estou preocupado, mas o bug está no código privado canônico, assim pessoas de fora como eu não podem ajudar a consertá-lo. Espero que eles o façam em breve, pois estamos abusando da hospitalidade daqueles que executam espelhos do Ubuntu, além de causar gastos desnecessários para alguns usuários do Ubuntu que precisam pagar pela largura de banda pelo gigabyte.
Existe um mecanismo de protocolo http para usar um etag para representar um item servido, mas não é usado para o apt-get. Essa tag pode conter o hash do arquivo Release.
É o grande número de pacotes incluídos nas versões do Ubuntu que tornam este bug tão significativo.
A partir da versão assinada (e, portanto, de checksum), há hashes para esses arquivos e, nesses arquivos, hashes para versões de pacotes e, a partir daí, somas de verificação para arquivos. Como os arquivos do pacote contêm os números de versão, e como eles não mudam, o bug não causa atualizações de pacotes redundantes.