Perché Canonical non abilita https qui?

2

Verifica sempre le immagini del disco prima dell'uso.

Nel sito web di Ubuntu, molte pagine sono inviate tramite https. Tuttavia, alcune delle pagine più importanti non lo sono. Ad esempio, link .

Questo è chiaramente vulnerabile a mitm e tonnellate di altri attacchi. Anche se la maggior parte di essi è sfatata, c'è un sacco di miti di backdoor in Ubuntu. Temo che questo sia un segno di governo che infastidisce i file di immagine o che fa backdoor del software.

C'è qualche motivo per i manutentori di siti Canonical / Ubuntu di disabilitare https su none ma sulle pagine di checksum?

    
posta user104994 19.03.2016 - 21:17
fonte

1 risposta

3

Le immagini di Ubuntu sono disponibili da molti mirror che sono fuori controllo da Canonical. Ciò significa che non puoi fidarti dell'immagine stessa perché potrebbe essere che un mirror sia compromesso e stia distribuendo file modificati. Ecco perché Canonical offre i file di checksum firmati come SHA256SUMS.gpg che sono firmati crittograficamente in modo da poter verificare che l'immagine sia effettivamente quella rilasciata da Canonical.

Tuttavia sarebbe molto più bello se fornissero i propri mirror con https e se fornissero anche istruzioni dettagliate su come il download dovrebbe essere verificato, invece di scaricare l'immagine senza alcun tipo di ovvia convalida.

    
risposta data 19.03.2016 - 21:33
fonte

Leggi altre domande sui tag