Perchè le distribuzioni hanno come sorgente predefinita dei pacchetti HTTP invece di HTTPS [duplicato]

-1

Molte distribuzioni hanno collegamenti HTTP nel loro elenco di fonti per i pacchetti.

La prova:

ÈquestoperrenderepiùfacileperNSA,FBI,ecc.a MITM il tuo traffico e inserire backdoor? Non riesco a pensare ad alcun motivo migliore. Stiamo vivendo nel 2018, anche se i primi due esempi sono le sicurezza di distribuzione che utilizzano fonti HTTP.

Tipo di ironia se mi chiedi.

    
posta Critical joe 07.04.2018 - 13:42
fonte

2 risposte

5

I pacchetti nelle distribuzioni basate su Debian sono firmati crittograficamente, manometterli sarebbe molto difficile. (In realtà, in genere utilizzano lo stesso algoritmo utilizzato per autenticare un server su HTTPS.) L'invio di pacchetti su HTTP ha un numero di vantaggi :

  1. I proxy intermedi possono memorizzare nella cache i pacchetti. (Eseguo un'istanza apt-cacher-ng locale esattamente per questo motivo.)
  2. C'è meno carico sui server mirror.
  3. Non è necessario gestire i certificati TLS per i mirror. (Considera che un singolo hostname potrebbe risolversi in più mirror gestiti da organizzazioni diverse , come università, aziende, privati, la stessa distribuzione.)

C'è una mancanza di riservatezza, ma l'integrità dei pacchetti dovrebbe rimanere a patto che OpenPGP sia considerato sicuro. Nota che anche con TLS, è probabile che sia banale identificare i pacchetti che stai scaricando da un mirror.

Hai identificato Kali e Parrot come "distribuzioni di sicurezza", che è una classificazione ragionevole, ma probabilmente vale la pena notare che sono progettate per l'uso di strumenti di sicurezza, non per essere una piattaforma sicura. È necessario non guardare oltre la politica "root by default" di Kali per vedere che la facilità d'uso degli strumenti ha superato la sicurezza della distribuzione nel loro equilibrio. Se stai utilizzando Kali perché pensi che ti dia un desktop sicuro, dovresti riconsiderare.

    
risposta data 07.04.2018 - 14:19
fonte
1

Suppongo che il motivo sia di non sovraccaricare troppo i server. Per quanto riguarda la possibilità di inserire backdoor, ecc., L'integrità dei file dovrebbe essere garantita per via di GPG e della sua firma di file. L'unica cosa che un osservatore passivo può fare è visualizzare i pacchetti che stai scaricando.

Saluti.

    
risposta data 07.04.2018 - 13:50
fonte

Leggi altre domande sui tag