Lubuntu 20.04 LTS: http apt ขนส่งปลอดภัยในปัจจุบันหรือไม่

NickDoom

19/1/23 22:59

เหตุใด Ubuntu จึงเข้าถึงที่เก็บผ่าน http ไม่ใช่ https ปลอดภัยหรือไม่? เราเตอร์ Wi-Fi ที่ถูกรบกวนสามารถแทนที่ .deb ดั้งเดิมด้วยมัลแวร์ได้อย่างง่ายดาย เว้นแต่ว่า .debs เหล่านั้นจะได้รับการเข้ารหัสและ/หรือลงนาม อุปกรณ์สมัยใหม่มีประสิทธิภาพมากพอที่จะใช้งาน DPI และจัดหาไฟล์/แพ็กเก็ต .deb ปลอมได้แบบทันทีทันใด ฉันควรเลือกมิเรอร์ https สักตัวหนึ่งใน âSoftware Sourcesâ หรือไม่

0 + 0

ความปลอดภัย

Score:3

Ubuntu

user535733

19/1/23 23:40

http ธรรมดาปลอดภัยสำหรับ apt ในการดาวน์โหลด debs จากที่เก็บ Ubuntu

Debs ลงนามแล้ว. พวกเขาได้รับการลงนามตั้งแต่เริ่มต้น Ubuntu พวกเขาได้รับการลงนามโดย Debian เมื่อหลายปีก่อน

ระบบ apt+repository ได้รับการออกแบบมาเพื่อให้ https ไม่จำเป็นเพื่อให้แน่ใจว่าได้รับ debs ดั้งเดิมอย่างปลอดภัยจาก repositories เมื่อลายเซ็นไม่ตรงกับแพ็คเกจ ด้วยเหตุผลใด ๆ, apt ส่งข้อผิดพลาดและจะไม่ติดตั้งแพ็คเกจ

การโจมตีแบบ Man-In-The-Middle (MiTM) ได้รับการพิจารณาเมื่อมีการสร้างวิธีการแจกจ่าย Debian และเวกเตอร์การโจมตีนั้นได้รับการลดทอนลงโดยใช้ลายเซ็น (ยาวมากขึ้น)

ไม่มีอะไรผิดปกติในการใช้ https หากมี คุณสามารถใช้แหล่งที่มา https ได้หากต้องการ

มิเรอร์ส่วนใหญ่สนับสนุนโดยองค์กรอาสาสมัคร ไม่ได้ควบคุมโดย Ubuntu หรือ Canonical หลายคนให้บริการเนื้อหาเป็น 'archive.ubuntu.com' นั่นทำให้การจัดการใบรับรอง SSL/TLS -- และข้อกำหนดที่เกี่ยวข้องสำหรับการแบ่งปันคีย์ส่วนตัว -- เป็นปัญหาใหญ่ที่น่าเกลียดซึ่งไม่มีอาสาสมัครคนใดก้าวไปข้างหน้าเพื่อแก้ไขในช่วงสองทศวรรษของ distros ที่ใช้ Debian คุณยินดีที่จะช่วยแก้ปัญหา

โดยปกติแล้ว หากคุณสามารถแสดงการโจมตี MiTM ที่พิสูจน์แนวคิดได้สำเร็จกับการใช้งาน apt ปกติ ทีมรักษาความปลอดภัยของอูบุนตู ต้องการทราบเกี่ยวกับการใช้ประโยชน์ของคุณเพื่อที่พวกเขาจะได้ลดปัญหานั้นลง

0 + 0

Thomas Ward

20/1/23 02:49

"คุณสามารถแก้ไขได้" - ใช่ว่าไม่สามารถทำได้หากไม่มี Debian และ/หรือ Ubuntu ออกใบรับรองแล้วแชร์กับมิเรอร์ทั้งหมด - เป็นทางการหรือไม่เป็นทางการ - ที่ให้บริการสำหรับชื่อ 'archive.ubuntu.com' - จากนั้นคุณก็พบกับปัญหาการแชร์คีย์ส่วนตัวซึ่งเป็นปัญหาด้านความปลอดภัยที่ใหญ่กว่ามาก และจากนั้นมันก็กลายเป็นเวิร์มหนึ่งกระป๋อง จนกว่าการพิสูจน์ตัวตน HTTPS และ TLS จะเปลี่ยนวิธีการปฏิบัติงานพื้นฐานสำหรับวิธีการทำงานของใบรับรอง (ซึ่งไม่น่าจะเกิดขึ้นตลอดชั่วชีวิตของเรา) แทบจะไม่มีโอกาสที่จะ 'แก้ไข' ปัญหาได้เลย

ตอบกลับ

user535733

20/1/23 02:53

@ThomasWard เห็นด้วยอย่างสมบูรณ์และแก้ไขสัญลักษณ์แสดงหัวข้อย่อยในกระจก ปัญหาใหญ่ที่น่าเกลียด แต่ใครจะรู้ล่ะ? บางที OP คือ The Chosen One ที่สามารถทำให้สำเร็จได้

ตอบกลับ

N0rbert

20/1/23 07:00

HTTP มีประโยชน์สำหรับการดำเนินการ Squid-deb-proxy ระยะเวลา.

ตอบกลับ

NickDoom

20/1/23 10:10

ดังนั้น MiTM สามารถจัดเตรียมไฟล์ .deb ปลอมได้ แต่จะถูกปฏิเสธโดยระบบ HTTPS สามารถให้การเข้ารหัสเพิ่มเติม และไม่รบกวนลายเซ็น นั่นคือสิ่งที่ฉันหวังว่าจะได้ยิน

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Lubuntu 20.04 LTS: is http apt transport safe nowadays?

TH: Lubuntu 20.04 LTS: http apt ขนส่งปลอดภัยในปัจจุบันหรือไม่

RO: Lubuntu 20.04 LTS: transportul http apt este sigur în zilele noastre?

RU: Lubuntu 20.04 LTS: безопасен ли транспорт http apt в настоящее время?

VI: Lubfox 20.04 LTS: vận chuyển http apt ngày nay có an toàn không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา