1

Поэтому я просто обновлял свою систему Ubuntu 18.04, как обычно, когда заметил, что доступ к репозиториям apt осуществляется через HTTP. Быстрый поиск в Интернете подтвердил, что это стандартно (по крайней мере, с Ubuntu), но не дал ответа на вопрос, почему. Теперь я знаю, что apt выполняет проверку подписи / исправности пакетов, но, тем не менее, почему HTTPS не используется?

Изменить 2019-01-24: В свете недавнего эксплойта RCE из-за HTTP-соединения, я хочу указать на некоторые текущие ссылки, которые я нашел по этой теме.

https://whydoesaptnotusehttps.com/ -> Единственный веб-сайт, предназначенный только для объяснения, почему HTTP достаточен.

https://justi.cz/security/2019/01/22/apt-rce.html -> Как использовать HTTP-соединение для выполнения произвольного кода на целевом хосте (а также как защитить себя от такой атаки).

https://usn.ubuntu.com/3863-1/ -> Уведомление о безопасности Ubuntu

https://lists.debian.org/debian-security-announce/2019/msg00010.html -> Советы по безопасности Debian.

2 ответа2

5

В большинстве случаев файлы загружаются с зеркала, а не с серверов Ubuntu, поэтому, даже если сайт Ubuntu использует HTTPS, вы будете загружать файлы с таких сайтов, как http://ubuntu.unc.edu.ar/ubuntu/ или http://ubuntu.mirror.lrz.de/ubuntu/ .

Чтобы преодолеть эту проблему, файлы, загруженные APT, имеют подпись, которая позволяет проверять их по открытым ключам, хранящимся на вашем компьютере, как подписанным Ubuntu и только Ubuntu.

0

На мой взгляд, это потому, что слой не нужен для этой цели! Я имею в виду, что https необходим для шифрования данных по сети, чтобы избежать отправки конфиденциальных данных в виде открытого текста (никогда не проверяйте себя в протоколе http). Так что там нет трафика для защиты, в основном код с открытым исходным кодом и может быть загружен и распространен. Необходимо защитить сам бинарный пакет, но для этого все пакеты в хранилище имеют цифровую подпись, и если открытый ключ не установлен в вашем менеджере пакетов, он уведомит вас о том, что программное обеспечение, которое вы начинаете устанавливать, является пришел из ненадежного места.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .