Điểm:0

Lubfox 20.04 LTS: vận chuyển http apt ngày nay có an toàn không?

lá cờ in

Tại sao Ubuntu truy cập kho lưu trữ qua http chứ không phải https? Nó có an toàn không? Bộ định tuyến Wi-Fi bị nhiễm có thể dễ dàng thay thế một .deb gốc bằng một phần mềm độc hại trừ khi những .deb đó được mã hóa và/hoặc được ký. Các thiết bị hiện đại đủ mạnh để thực hiện DPI và cung cấp các tệp/gói .deb giả mạo ânhanh chóngâ. Tôi có nên chọn một trong số ít máy nhân bản https trong âSoftware Sourcesâ không?

Điểm:3
lá cờ cn

HTTP đơn giản an toàn cho apt để tải xuống các bản sửa lỗi từ kho lưu trữ Ubuntu.

  • Các khoản nợ ĐƯỢC ký kết. Chúng đã được ký kể từ khi Ubuntu bắt đầu. Chúng đã được ký bởi Debian nhiều năm trước đó.

Hệ thống kho lưu trữ apt+ được thiết kế sao cho không bắt buộc phải có https để đảm bảo nhận an toàn các bản sửa lỗi gốc từ kho lưu trữ. Khi chữ ký không khớp với gói vì lý do nào, apt đưa ra lỗi và sẽ không cài đặt gói.

  • Các cuộc tấn công Man-In-The-Middle (MiTM) đã được xem xét khi phương thức phân phối Debian được tạo ra và hướng tấn công đó đã được giảm nhẹ từ lâu bằng cách sử dụng các chữ ký (ngày càng dài).

Chắc chắn không có gì sai khi sử dụng https, nếu có. Bạn có thể sử dụng các nguồn https nếu muốn.

  • Hầu hết các bản sao được đóng góp bởi các tổ chức tình nguyện, không được kiểm soát bởi Ubuntu hoặc Canonical. Nhiều nội dung phục vụ dưới dạng 'archive.ubuntu.com'. Điều đó làm cho việc quản lý chứng chỉ SSL/TLS --và yêu cầu liên quan đối với việc chia sẻ khóa riêng-- trở thành một vấn đề lớn khó chịu mà không một tình nguyện viên nào bước ra để giải quyết trong hai thập kỷ của các bản phân phối dựa trên Debian. Bạn được chào đón để giúp giải quyết nó.

Đương nhiên, nếu bạn có thể hiển thị một cuộc tấn công MiTM bằng chứng khái niệm thành công đối với việc sử dụng apt thông thường, Nhóm bảo mật Ubuntu rất muốn biết về khai thác của bạn để họ có thể giảm thiểu điều đó.

lá cờ ru
"Bạn có thể giải quyết nó" - vâng, điều đó không thể thực hiện được nếu không có Debian và/hoặc Ubuntu cấp chứng chỉ và sau đó chia sẻ nó với tất cả các máy nhân bản - chính thức hoặc không chính thức - phục vụ cho tên 'archive.ubuntu.com' - và sau đó bạn gặp phải sự cố chia sẻ khóa riêng, đây là vấn đề bảo mật lớn hơn nhiều, và sau đó nó trở thành một ổ sâu. Cho đến khi xác thực HTTPS và TLS thay đổi các phương thức hoạt động cơ bản của chúng đối với cách thức hoạt động của chứng chỉ (điều này khó có thể xảy ra trong cuộc đời của chúng ta), hầu như không có khả năng vấn đề đó có thể được 'giải quyết'.
user535733 avatar
lá cờ cn
@ThomasWard hoàn toàn đồng ý và đã chỉnh sửa dấu đầu dòng gương. Một vấn đề lớn xấu xí. Nhưng ai biết được? Có lẽ OP là Người được chọn, người có thể làm cho nó hoạt động.
N0rbert avatar
lá cờ zw
HTTP rất hữu ích cho hoạt động của Squid-deb-proxy. Giai đoạn = Stage.
NickDoom avatar
lá cờ in
Vì vậy, MiTM có thể cung cấp một tệp .deb giả, nhưng nó sẽ bị hệ thống từ chối. HTTPS có thể cung cấp mã hóa bổ sung và không can thiệp vào chữ ký. Đó là những gì tôi đã hy vọng được nghe.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.