А апдейт по http это нормально?

apt, http, ubuntu, безопасность, обновление системы

0

1

Вот скажите мне, разве безопасно обновлять пакеты по http? Но именно так APT и скачивает пакеты. Насколько я знаю, в http-трафик можно легко вклиниваться и подсунуть что угодно. Почему в 2020 году мы все еще обновляемся по http?

Ссылка

←	Проблема с двумя мониторами

Как настроить pulseaudio?

→

Так ведь уже можно и по https.

gruy ★★★★★
(04.11.20 14:55:52 MSK)

Ссылка

Из apt-transport-http

HTTP is an unencrypted transport protocol meaning that the whole communication with the remote server (or proxy) can be observed by a sufficiently capable attacker commonly referred to as a "man in the middle" (MITM). However, such an attacker can not modify the communication to compromise the security of your system, as APT's data security model is independent of the chosen transport method. This is explained in detail in apt-secure(8). An overview of available transport methods is given in sources.list(5).

TalkingMudcrab
(04.11.20 14:57:03 MSK)

Ссылка

Все пакеты подписаны GPG, это самая главная защита, потому что тебе важно знать что именно мэйнтейнер сделал этот пакет, а не владелец одного из тысяч зеркал. Так что подмененный пакет просто провалит проверку на подпись ГПГ и будет отклонён
Как уже сказали местами вводят https, но в основном для приватности (чтобы не смотрели что качаешь) и просто как дополнительный слой безопасности.

zink ★★
(04.11.20 14:58:51 MSK)

Там же сами пакеты подписаны. Просто если говорит тебе тулза, что подписи не верны, не надо ставить.

turtle_bazon ★★★★★
(04.11.20 14:59:55 MSK)

Ссылка

Ответ на: комментарий от zink 04.11.20 14:58:51 MSK

Все пакеты подписаны GPG, это самая главная защита, потому что тебе важно знать что именно мэйнтейнер сделал этот пакет, а не владелец одного из тысяч зеркал. Так что подмененный пакет просто провалит проверку на подпись ГПГ и будет отклонён

Не знал такого, спасибо. Слава GPG!

Как уже сказали местами вводят https, но в основном для приватности (чтобы не смотрели что качаешь) и просто как дополнительный слой безопасности.

Вроде все ссылки при обновлении в консоли http, пока не видел ни одной https.

boris_delaet_site
(04.11.20 15:10:38 MSK) автор топика

Ссылка

Ответ на: комментарий от zink 04.11.20 14:58:51 MSK

Один раз нарвался на особо упоротый публичный WiFi который подставлял то-ли рекламу то-ли ещё какой-то мусор в список пакетов скачиваемый с репозитория (: На тот момент apt от такой наглости сходил с ума и отказывался работать пока вручную не удалишь кэш репозиториев

MrClon ★★★★★
(04.11.20 15:19:52 MSK)

Ссылка

Немного уточню: подписаны не сами пакеты, а списки пакетов в которых указаны контрольные суммы файлов пакетов. Но с точки зрения безопасности это все равно надежно. Можно конечно и каждый пакет подписывать и проверять подпись при установке, но по умолчанию это отключено.

rumgot ★★★★★
(04.11.20 18:48:14 MSK)
Последнее исправление: rumgot 04.11.20 19:03:22 MSK (всего исправлений: 2)

Ссылка

можно через шифропрокси обновляться, апт умеет

Acquire::http::Proxy "socks5h://127.0.0.1:1080";
Acquire::::Proxy "true";

hakavlad ★★★
(04.11.20 18:52:07 MSK)

Ссылка

телега работает черех хттп, на вопрос «а почему не по хттпс??» Дуров сказал, что сам протокол телеги так качественно шифрует, что детский сад ему не нужен.

pfg ★★★★★
(04.11.20 19:51:39 MSK)