Puncte:0

Lubuntu 20.04 LTS: transportul http apt este sigur în zilele noastre?

drapel in

De ce Ubuntu accesează depozitele prin http, nu https? Este sigur? Routerul Wi-Fi infestat poate înlocui cu ușurință un .deb original cu un malware, cu excepția cazului în care acele .deb sunt criptate și/sau semnate. Dispozitivele moderne sunt suficient de puternice pentru a realiza DPI și pentru a furniza fișiere/pachete .deb false âdin zborâ. Ar trebui să aleg una dintre puținele oglinzi https din âSoftware Sourcesâ?

Puncte:3
drapel cn

http simplu este sigur pentru apt pentru a descărca deb-uri din depozitele Ubuntu.

  • Debs SUNT semnate. Au fost semnate de când a început Ubuntu. Ele au fost semnate de Debian cu ani înainte.

Sistemul apt+repository este conceput astfel încât https să nu fie necesar pentru a asigura primirea în siguranță a deb-urilor originale din depozite. Când semnătura nu se potrivește cu pachetul Pentru orice motiv, apt aruncă o eroare și nu va instala pachetul.

  • Atacurile Man-In-The-Middle (MiTM) au fost luate în considerare atunci când a fost creată metoda de distribuție Debian și acel vector de atac a fost mult timp atenuat folosind semnături (din ce în ce mai lungi).

Cu siguranță nu este nimic în neregulă cu utilizarea https, dacă este disponibil. Sunteți binevenit să utilizați sursele https dacă doriți.

  • Cele mai multe oglinzi sunt contribuite de organizații de voluntari, care nu sunt controlate de Ubuntu sau de Canonical. Multe oferă conținut ca „archive.ubuntu.com”. Acest lucru face ca gestionarea certificatelor SSL/TLS -- și cerința asociată pentru partajarea cheii private -- o problemă mare urâtă pe care niciun voluntar nu a făcut un pas înainte să o rezolve în două decenii de distribuții bazate pe Debian. Sunteți binevenit să ajutați la rezolvarea acesteia.

Desigur, dacă puteți arăta un atac MiTM cu dovadă de concept de succes împotriva utilizării normale a apt, Echipa de securitate Ubuntu Mi-ar plăcea să afle despre exploit-ul tău, astfel încât să poată atenua acest lucru.

drapel ru
„Sunteți binevenit să o rezolvați” - da, asta nu se poate face fără ca Debian și/sau Ubuntu să emită certificatele și apoi să le partajeze cu toate oglinzile - oficiale sau neoficiale - care servesc pentru numele „archive.ubuntu.com” - și apoi intri într-o problemă de partajare a cheii private, care este o problemă de securitate mult mai mare, și apoi devine o cutie de viermi. Până când autentificarea HTTPS și TLS își schimbă metodele operaționale fundamentale pentru modul în care funcționează certificatele (ceea ce este puțin probabil să se întâmple în timpul vieții noastre), nu există aproape nicio șansă ca problema să poată fi „rezolvată”.
user535733 avatar
drapel cn
@ThomasWard sunt complet de acord și a editat glonțul în oglindă. O mare problemă urâtă. Dar cine știe? Poate că OP este Alesul care îl poate face să funcționeze.
N0rbert avatar
drapel zw
HTTP este util pentru operarea Squid-deb-proxy. Perioadă.
NickDoom avatar
drapel in
Deci, MiTM poate furniza un fișier .deb fals, dar acesta va fi respins de sistem. HTTPS poate oferi criptare suplimentară și nu interferează cu semnăturile. Asta am sperat să aud.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.