Репозитории по https

[Edwards]

Привет! У Debian'а репозитории подключаются по протоколу ftp или http, а есть репозитории (например, у Tox'а) по https. А чем они лучше? И чем защищённее, если все пакеты подписаны ключами? Т.е., если враги подсунут левую репу, то пакетный менеджер должен ругаться и не устанавливать, правильно понимаю? А если https чем-то всё-таки лучше, то будут ли когда-нибудь такие репозитории у Debian'а?

[vovan--vovan]

А если https чем-то всё-таки лучше, то будут ли когда-нибудь такие репозитории у Debian'а?

Ну мы же не разработчики, елки-зеленые, а.

[Yrii]

Edwards, В этом нету смысла ибо сами пакеты имеют контрольную сумму и подписаны ключами, которые не лежат в открытом доступе.  Если пакеты изменятся, то apt об этом предупредит.
Так же, использование шифрования может добавить дополнительные расходы на ресурсы, могут появится задержки при взаимодействии с репозиторием.
Следовательно, исходя из вышенаписанного, вероятность появления таких репозиторий мала.

Но сама поддержка загрузки пакетов через https у apt есть. Для этого есть специальный пакет apt-transport-https.

п.с. кстати, есть ещё вариант использовать сеть Tor. Для этого есть пакет apt-transport-tor. Правда это больше для анонимной загрузки пакетов.

[dogsleg]

В этом нету смысла

Смысл есть, поскольку при использовании нешифрованного канала злоумышленник может узнать, какой пакет установлен на какую систему. Этот же злоумышленник может знать о наличии уязвимостей в данном конкретном пакете. То есть, проблема не в том, что злоумышленник может подсунуть какой-то другой пакет (эта проблема решается GPG), а именно в раскрытии информации о состоянии системы.

Упомянутые пакеты apt-transport-https и apt-transport-tor решают эту проблему.

UPD: Да, не все официальные зеркала поддерживают https.

[Yrii]

dogsleg,
Ради интереса, есть ли "истории успеха" с таким подходим?
Как часто надо ставить/переустанавливать пакет/пакеты, чтобы злоумышленник удачно попал на такой коннект?

Допустим, если это какой-то сервер, то он узнает, что установился пакет безопасности. Да, он узнает версию, но и дыра будет закрыта - значит придется искать новую, но "пометку" о версии у себя он оставит, для возможной будущей атаки - тут не спорю.

ИМХО. Этот вектор атаки мало вероятен, но конечно полностью его исключать не надо.
Если злоумышленник достаточно квалифицирован, то его это не остановит.

[dogsleg]

Ради интереса, есть ли "истории успеха" с таким подходим?

Честно сказать, не встречались. Тем не менее, специалисты уже давно думают над этими проблемами. Вот тут, например, приводятся кое-какие мысли и ссылки. Там же высказывается мысль и о том, что просто шифрования недостаточно, и дана ссылка на скрытый сервис Tor, который можно использоваться для загрузки обновлений.

Да, он узнает версию, но и дыра будет закрыта

Ну, в зависимости от количества обновляемых пакетов, их размера, пропускной способности канала и производительности конкретной машины время между загрузкой и установкой пакета может быть разным (в некоторых случаях даже довольно большим). Вполне возможна ситуация, в которой можно успеть вломиться в систему до установки обновления. Правда, надо "пасти" конкретную машину, поэтому проблема эта актуально скорее для каких-то очень важных систем.

Этот вектор атаки мало вероятен, но конечно полностью его исключать не надо.

Маловероятен, да. Однако чем меньше вероятность взлома, тем лучше. 
Cообщение объединено 16 января 2016, 22:03:38

Вполне возможна ситуация, в которой можно успеть вломиться в систему до установки обновления.

Либо, используя атаку по принципу человек-в-середине, можно изменить передаваемый пакет для того, чтобы он не прошёл проверку подписи на целевой машине, что приведёт к откладыванию обновления. В это время злоумышленник может спокойно вломиться.

[vadd]

Тут логика скорее такая - чем меньше информации будет доступно сторонним "наблюдателям" - тем лучше.
Даже если у вас на квартире стоит очень надежный замок, все равно лучше без нужды не сообщать что у вас в этой квартире лежит ))

[Yrii]

Это понятно, что надо стараться минимизировать риски, даже если кажется, что это не случиться.
Но со сторонними репозиториями, например тот же tox, будет так: я поймаю коннект к серверу tox и уже узнаю что используется tox, хоть там и https :-)
Далее я узнаю версию ОС на атакующем серваке и смотрю, какая версия в репозитории tox ставится, например в jessie.
Все, версию tox я примерно знаю :-)

Мне кажется, это чуть более актуально для закрытых реп. со специфическим ПО.

[Edwards]

Смысл есть, поскольку при использовании нешифрованного канала злоумышленник может узнать, какой пакет установлен на какую систему. Этот же злоумышленник может знать о наличии уязвимостей в данном конкретном пакете. То есть, проблема не в том, что злоумышленник может подсунуть какой-то другой пакет (эта проблема решается GPG), а именно в раскрытии информации о состоянии системы.

Упомянутые пакеты apt-transport-https и apt-transport-tor решают эту проблему.

Понятно, значит, https больше нужен для анонимности или как дополнительная ступень безопасности. Но пакет apt-transport-https ведь не может из http репозитория сделать https? В любом случае, теперь всё понятно, большое спасибо всем отозвавшимся!

[tlhp]

Понятно, значит, https больше нужен для анонимности или как дополнительная ступень безопасности. Но пакет apt-transport-https ведь не может из http репозитория сделать https? В любом случае, теперь всё понятно, большое спасибо всем отозвавшимся!

HTTPS нужен для секьюрности пользователей сайта. Без HTTPS твой трафик могут слушать все кому не лень и нет уверенности что ты зашел на поддельный сайт и слил все свои пароль. Так что без `s` никак. Кроме того, начиная с 17го года кажется гуглобраузер будет выводить уведомления что HTTP небезопасен - тут уже никуда не денешься, нажимать подтверждения 3-4 раза ради одний ссылки никто не будет.

apt-transport-https  просто включает поддержку HTTPS, ищи зеркала доступные по нему; apt-transport-tor позволит скрыть твой реальный IP. Почти все дистрибутивы давно перешли на HTTPS, басни о том что он загружает сервер - бред.

[Yrii]

Почти все дистрибутивы давно перешли на HTTPS, басни о том что он загружает сервер - бред.

хм, т.е. сейчас, почти все дистрибутивы начали предоставлять доступ к своим репозиториям по https? ...я честно не интересовался про другие ОС, неужели почти все?

[Edwards]

HTTPS нужен для секьюрности пользователей сайта. Без HTTPS твой трафик могут слушать все кому не лень и нет уверенности что ты зашел на поддельный сайт и слил все свои пароль.

Речь не о сайтах, а о репозиториях.

Кроме того, начиная с 17го года кажется гуглобраузер будет выводить уведомления что HTTP небезопасен - тут уже никуда не денешься, нажимать подтверждения 3-4 раза ради одний ссылки никто не будет.

Mozilla тоже собирается перевести весь интернет на SSL. Но и не гуглобраузером единым)

apt-transport-https  просто включает поддержку HTTPS, ищи зеркала доступные по нему; apt-transport-tor позволит скрыть твой реальный IP. Почти все дистрибутивы давно перешли на HTTPS

Подскажите debian'овское зеркало по https?

[tlhp]

Речь не о сайтах, а о репозиториях.

Тут без разницы. Вот тебе все зеркала, ищи - https://www.debian.org/mirror/list
Cообщение объединено 17 января 2016, 20:34:41

хм, т.е. сейчас, почти все дистрибутивы начали предоставлять доступ к своим репозиториям по https?

Как минимум могу точно сказать что launchpad и все что связано с Red Hat доступны по https.

[Yrii]

tlhp, ну так видишь, значит не "почти все"
ну и launchpad не совсем оф. реп, хоть и владеет им Canonical.

ну и не кто не спорит - шифрование вещь хорошая, но пихать её всюду тоже нету смысла.