<html aria-label="message body"><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><br id="lineBreakAtBeginningOfMessage"><div><br><blockquote type="cite"><div>On Jun 29, 2025, at 21:47, brad litterell <brad_litterell@hotmail.com> wrote:</div><br class="Apple-interchange-newline"><div><meta charset="UTF-8"><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;">Hi folks,</div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;">(Is it okay if I refer to GnuCash as GC?) Appologies in advance if not. đź™‚</div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;"><br></div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;">I was looking to build GC for Windows and I had some questions because I tend to be VERTy paranoid about what I install on my box.</div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;"><br></div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;">I started looking at<span class="Apple-converted-space"> </span><a href="https://github.com/Gnucash/gnucash-on-windows" id="LPlnkOWA1ccc87e6-8d9c-d7ed-2967-d703edba1500" class="OWAAutoLink elementToProof">Gnucash/gnucash-on-windows</a> and I noticed that at least some of the URLs where packages are downloaded are from HTTP not HTTPS urls.  It also appeared (without detailed investigation to verify) that the tarballs coming from these places also didn't have any hash-based or digital-signature verification.</div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;"><br></div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;">The upshot of all this was I didn't feel very comfortable running the environment build scripts/tools because it looked like it would be downloading and running a lot of unverified tools and content on my machine.</div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;"><br></div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;">So, I'm just wondering if this is something you have considered, or maybe even estimated how much work would be involved in tackling it?</div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;"><br></div><div class="elementToProof" style="font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt;">Also (and I'm, not sure if this would tend to require fewer tool dependencies or not) - has anyone looked at whether it would be possible to build GC<span class="Apple-converted-space"> </span><i>for</i> Windows _from_ WSL using the minwg packages available (e.g.) in Ubuntu?  </div></div></blockquote><br></div><div><br></div><div>Of the http URLs in gnucash-on-windows/gnucash.modules, only two are actually used, sourceforge and aleksey. Both have https redirects so the connection ends up being encrypted. That’s not an excuse and I’ll get the URLs cleaned up later today.  It’s also true that providing hashes for tarballs isn’t common enough among open-source library providers. On the other hand the nature of supply-chain attacks reported in the last couple of years has been from malicious contributors to open source projects getting code incorporated into respected projects or creating malicious projects with similar names on popular package managers like PyPi. Tarball hashes and https aren’t any protection against either of those.</div><div><br></div><div>I don’t know of any attempts to cross-compile in WSL but I also can’t think of any reason it wouldn’t work.</div><div><br></div><div>Regards,</div><div>John Ralls</div><div><br></div><br></body></html>