Автор Тема: Репозитории по https  (Прочитано 4310 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Edwards

Репозитории по https
« : 16 Января 2016, 19:25:23 »
Привет! У Debian'а репозитории подключаются по протоколу ftp или http, а есть репозитории (например, у Tox'а) по https. А чем они лучше? И чем защищённее, если все пакеты подписаны ключами? Т.е., если враги подсунут левую репу, то пакетный менеджер должен ругаться и не устанавливать, правильно понимаю? А если https чем-то всё-таки лучше, то будут ли когда-нибудь такие репозитории у Debian'а?
 

Оффлайн vovan--vovan

Re: Репозитории по https
« Ответ #1 : 16 Января 2016, 19:36:46 »
А если https чем-то всё-таки лучше, то будут ли когда-нибудь такие репозитории у Debian'а?
Ну мы же не разработчики, елки-зеленые, а.
Не даст поколебаться Он ноге твоей, и не воздремлет хранящий тебя...
 

Yrii

  • Гость
Re: Репозитории по https
« Ответ #2 : 16 Января 2016, 20:08:58 »
Edwards, В этом нету смысла ибо сами пакеты имеют контрольную сумму и подписаны ключами, которые не лежат в открытом доступе.  Если пакеты изменятся, то apt об этом предупредит.
Так же, использование шифрования может добавить дополнительные расходы на ресурсы, могут появится задержки при взаимодействии с репозиторием.
Следовательно, исходя из вышенаписанного, вероятность появления таких репозиторий мала.

Но сама поддержка загрузки пакетов через https у apt есть. Для этого есть специальный пакет apt-transport-https.

п.с. кстати, есть ещё вариант использовать сеть Tor. Для этого есть пакет apt-transport-tor. Правда это больше для анонимной загрузки пакетов.
 

Оффлайн dogsleg

Re: Репозитории по https
« Ответ #3 : 16 Января 2016, 20:36:42 »
В этом нету смысла

Смысл есть, поскольку при использовании нешифрованного канала злоумышленник может узнать, какой пакет установлен на какую систему. Этот же злоумышленник может знать о наличии уязвимостей в данном конкретном пакете. То есть, проблема не в том, что злоумышленник может подсунуть какой-то другой пакет (эта проблема решается GPG), а именно в раскрытии информации о состоянии системы.

Упомянутые пакеты apt-transport-https и apt-transport-tor решают эту проблему.

UPD: Да, не все официальные зеркала поддерживают https.
« Последнее редактирование: 16 Января 2016, 20:42:12 от dogsleg »
 
Пользователи, которые поблагодарили этот пост: Edwards

Yrii

  • Гость
Re: Репозитории по https
« Ответ #4 : 16 Января 2016, 21:01:14 »
dogsleg,
Ради интереса, есть ли "истории успеха" с таким подходим?
Как часто надо ставить/переустанавливать пакет/пакеты, чтобы злоумышленник удачно попал на такой коннект?

Допустим, если это какой-то сервер, то он узнает, что установился пакет безопасности. Да, он узнает версию, но и дыра будет закрыта - значит придется искать новую, но "пометку" о версии у себя он оставит, для возможной будущей атаки - тут не спорю.

ИМХО. Этот вектор атаки мало вероятен, но конечно полностью его исключать не надо.
Если злоумышленник достаточно квалифицирован, то его это не остановит.
 

Оффлайн dogsleg

Re: Репозитории по https
« Ответ #5 : 16 Января 2016, 21:58:35 »
Ради интереса, есть ли "истории успеха" с таким подходим?

Честно сказать, не встречались. Тем не менее, специалисты уже давно думают над этими проблемами. Вот тут, например, приводятся кое-какие мысли и ссылки. Там же высказывается мысль и о том, что просто шифрования недостаточно, и дана ссылка на скрытый сервис Tor, который можно использоваться для загрузки обновлений.

Да, он узнает версию, но и дыра будет закрыта

Ну, в зависимости от количества обновляемых пакетов, их размера, пропускной способности канала и производительности конкретной машины время между загрузкой и установкой пакета может быть разным (в некоторых случаях даже довольно большим). Вполне возможна ситуация, в которой можно успеть вломиться в систему до установки обновления. Правда, надо "пасти" конкретную машину, поэтому проблема эта актуально скорее для каких-то очень важных систем.

Этот вектор атаки мало вероятен, но конечно полностью его исключать не надо.

Маловероятен, да. Однако чем меньше вероятность взлома, тем лучше.  ;)

Cообщение объединено 16 Января 2016, 22:03:38
Вполне возможна ситуация, в которой можно успеть вломиться в систему до установки обновления.

Либо, используя атаку по принципу человек-в-середине, можно изменить передаваемый пакет для того, чтобы он не прошёл проверку подписи на целевой машине, что приведёт к откладыванию обновления. В это время злоумышленник может спокойно вломиться.
« Последнее редактирование: 16 Января 2016, 22:03:38 от dogsleg »
 

Оффлайн vadd

Re: Репозитории по https
« Ответ #6 : 16 Января 2016, 23:20:12 »
Тут логика скорее такая - чем меньше информации будет доступно сторонним "наблюдателям" - тем лучше.
Даже если у вас на квартире стоит очень надежный замок, все равно лучше без нужды не сообщать что у вас в этой квартире лежит ))
 
Пользователи, которые поблагодарили этот пост: Edwards

Yrii

  • Гость
Re: Репозитории по https
« Ответ #7 : 16 Января 2016, 23:43:31 »
Это понятно, что надо стараться минимизировать риски, даже если кажется, что это не случиться.
Но со сторонними репозиториями, например тот же tox, будет так: я поймаю коннект к серверу tox и уже узнаю что используется tox, хоть там и https :-)
Далее я узнаю версию ОС на атакующем серваке и смотрю, какая версия в репозитории tox ставится, например в jessie.
Все, версию tox я примерно знаю :-)

Мне кажется, это чуть более актуально для закрытых реп. со специфическим ПО.
 

Оффлайн Edwards

Re: Репозитории по https
« Ответ #8 : 17 Января 2016, 14:05:43 »
Смысл есть, поскольку при использовании нешифрованного канала злоумышленник может узнать, какой пакет установлен на какую систему. Этот же злоумышленник может знать о наличии уязвимостей в данном конкретном пакете. То есть, проблема не в том, что злоумышленник может подсунуть какой-то другой пакет (эта проблема решается GPG), а именно в раскрытии информации о состоянии системы.

Упомянутые пакеты apt-transport-https и apt-transport-tor решают эту проблему.

Понятно, значит, https больше нужен для анонимности или как дополнительная ступень безопасности. Но пакет apt-transport-https ведь не может из http репозитория сделать https? В любом случае, теперь всё понятно, большое спасибо всем отозвавшимся!
 

Оффлайн tlhp

Re: Репозитории по https
« Ответ #9 : 17 Января 2016, 14:44:50 »

Понятно, значит, https больше нужен для анонимности или как дополнительная ступень безопасности. Но пакет apt-transport-https ведь не может из http репозитория сделать https? В любом случае, теперь всё понятно, большое спасибо всем отозвавшимся!
HTTPS нужен для секьюрности пользователей сайта. Без HTTPS твой трафик могут слушать все кому не лень и нет уверенности что ты зашел на поддельный сайт и слил все свои пароль. Так что без `s` никак. Кроме того, начиная с 17го года кажется гуглобраузер будет выводить уведомления что HTTP небезопасен - тут уже никуда не денешься, нажимать подтверждения 3-4 раза ради одний ссылки никто не будет.

apt-transport-https  просто включает поддержку HTTPS, ищи зеркала доступные по нему; apt-transport-tor позволит скрыть твой реальный IP. Почти все дистрибутивы давно перешли на HTTPS, басни о том что он загружает сервер - бред.
 

Yrii

  • Гость
Re: Репозитории по https
« Ответ #10 : 17 Января 2016, 15:08:23 »
Почти все дистрибутивы давно перешли на HTTPS, басни о том что он загружает сервер - бред.
хм, т.е. сейчас, почти все дистрибутивы начали предоставлять доступ к своим репозиториям по https? ...я честно не интересовался про другие ОС, неужели почти все?
 

Оффлайн Edwards

Re: Репозитории по https
« Ответ #11 : 17 Января 2016, 15:11:00 »
HTTPS нужен для секьюрности пользователей сайта. Без HTTPS твой трафик могут слушать все кому не лень и нет уверенности что ты зашел на поддельный сайт и слил все свои пароль.

Речь не о сайтах, а о репозиториях.

Кроме того, начиная с 17го года кажется гуглобраузер будет выводить уведомления что HTTP небезопасен - тут уже никуда не денешься, нажимать подтверждения 3-4 раза ради одний ссылки никто не будет.

Mozilla тоже собирается перевести весь интернет на SSL. Но и не гуглобраузером единым)

apt-transport-https  просто включает поддержку HTTPS, ищи зеркала доступные по нему; apt-transport-tor позволит скрыть твой реальный IP. Почти все дистрибутивы давно перешли на HTTPS

Подскажите debian'овское зеркало по https?
 

Оффлайн tlhp

Re: Репозитории по https
« Ответ #12 : 17 Января 2016, 20:32:18 »
Речь не о сайтах, а о репозиториях.
Тут без разницы. Вот тебе все зеркала, ищи - https://www.debian.org/mirror/list

Cообщение объединено 17 Января 2016, 20:34:41
хм, т.е. сейчас, почти все дистрибутивы начали предоставлять доступ к своим репозиториям по https?
Как минимум могу точно сказать что launchpad и все что связано с Red Hat доступны по https.
« Последнее редактирование: 17 Января 2016, 20:34:41 от tlhp »
 

Yrii

  • Гость
Re: Репозитории по https
« Ответ #13 : 17 Января 2016, 21:37:43 »
tlhp, ну так видишь, значит не "почти все"
ну и launchpad не совсем оф. реп, хоть и владеет им Canonical.

ну и не кто не спорит - шифрование вещь хорошая, но пихать её всюду тоже нету смысла.
 

Теги:
     

    [Решено] Не хотят обновляться репозитории(((

    Автор DarkLiveMan

    Ответов: 1
    Просмотров: 3939
    Последний ответ 26 Марта 2012, 21:52:50
    от Brainey
    Какие репозитории лучше поставить

    Автор Sl

    Ответов: 2
    Просмотров: 2196
    Последний ответ 23 Июня 2016, 20:51:50
    от yoric
    Репозитории Qutim

    Автор Максимыч

    Ответов: 2
    Просмотров: 2589
    Последний ответ 07 Марта 2011, 19:24:45
    от Максимыч
    Репозитории, не совпадает размер пакетов

    Автор Maksim

    Ответов: 12
    Просмотров: 2749
    Последний ответ 16 Июня 2014, 01:11:18
    от Maksim
    Как на Debian установить программу которая отсутствует в стандартном репозитории

    Автор antonTez

    Ответов: 5
    Просмотров: 1039
    Последний ответ 17 Июля 2019, 13:50:52
    от antonTez