<div dir="ltr">In short "yes". But that short answer isn't where we should stop. :) Really, this is about a design decision that's different between planet and the package system: in planet, "running" a program was sufficient for installing packages. In the package system you have to take an explicit step to "install" the package.<div>
<br></div><div>I used quotes there because the devil is a bit in the details here (as Jay points out with his "some macro tricks" comment) but really what we're talking about is that design difference and UX issues. Overall, I feel like the package system's different design decisions are the right way to go but that we should keep planet being planet (and Jay and I had a discussion about that offline), which is why he reverted one of those commits.</div>
<div><br></div><div>And to clear up the check syntax thing: there is no way that online check syntax could have installed a planet package (or, for that matter, made any changes to your file system). You would have had to Run the program or explicitly ask for it to be compiled or something like that.</div>
<div><br></div><div>Make more sense?</div><div><br></div><div>Robby</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Nov 28, 2013 at 8:44 AM, Matthias Felleisen <span dir="ltr"><<a href="mailto:matthias@ccs.neu.edu" target="_blank">matthias@ccs.neu.edu</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Am I naive or isn't any download of any package opening the door to such tricks?<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
On Nov 27, 2013, at 8:46 PM, Jay McCarthy wrote:<br>
<br>
> On Wed, Nov 27, 2013 at 6:27 PM, Robby Findler<br>
> <<a href="mailto:robby@eecs.northwestern.edu">robby@eecs.northwestern.edu</a>> wrote:<br>
>><br>
>><br>
>><br>
>> On Wed, Nov 27, 2013 at 7:21 PM, Jay McCarthy <<a href="mailto:jay@racket-lang.org">jay@racket-lang.org</a>> wrote:<br>
>>><br>
>>> If I have background expansion on, then when I open that file it<br>
>>> installs the package.<br>
>>><br>
>><br>
>> As I wrote in my previous message, it doesn't do that for me. And I don't<br>
>> see how it could do that, actually. Are you saying that you tried this?<br>
><br>
> Yes. I put that in a file and opened it up with DrRacket then got the<br>
> "Can't download a Planet package" error message as-if the install were<br>
> stopped.<br>
><br>
>> Can you explain how you have configured DrRacket to disable the security<br>
>> guard that is installed by the background expansion process, please?<br>
><br>
> Perhaps my trial was bad because the security guard would have stopped<br>
> the network access but my error stopped the library from attempting<br>
> the network access?<br>
><br>
> Regardless, "Check Syntax" (I think?) or compilation in Racket would<br>
> have installed it. [Now, obviously the same macro tricks could<br>
> explicitly call download/install-pkg... but I think it is a bit feeble<br>
> to say "Check Syntax" should make no attempt to prevent package<br>
> installation.]<br>
><br>
>> Meanwhile, I would like to point out that your commit has completely<br>
>> disabled planet. No packages can be installed. Did you run any test suites<br>
>> after making this change?<br>
><br>
> I tried to install and fetch some packages. I see now that I committed<br>
> in the "racket/collects" directory but the changes to make that work<br>
> were in the "pkgs/planet-pkgs" directory so I stupidly missed them.<br>
><br>
> Jay<br>
><br>
>> Robby<br>
>><br>
</div></div><div class="HOEnZb"><div class="h5">> _________________________<br>
> ¬†Racket Developers list:<br>
> ¬†<a href="http://lists.racket-lang.org/dev" target="_blank">http://lists.racket-lang.org/dev</a><br>
<br>
</div></div></blockquote></div><br></div>