¿Por qué Canonical no habilita https aquí?

Question

¿Por qué Canonical no habilita https aquí?

#1 de Steffen Ullrich (3 votos)

2

Siempre es verificar las imágenes de disco antes de usar.

En el sitio web de Ubuntu, muchas páginas se envían a través de https. Sin embargo, algunas de las páginas más importantes no lo son. Por ejemplo, enlace .

Esto es claramente vulnerable a mitm y toneladas de otros ataques. Aunque la mayoría de ellos están desacreditados, ha habido muchos mitos sobre las puertas traseras en Ubuntu. Me temo que esto es una señal de que el gobierno está incurriendo en errores en los archivos de imagen o en la puerta trasera del software.

¿Hay alguna razón para que los mantenedores de sitios de Canonical / Ubuntu deshabiliten https en ninguna, excepto en las páginas de sumas de comprobación?

tls man-in-the-middle

pregunta user104994 19.03.2016 - 21:17

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls man-in-the-middle

Tengo internet en casa, ¿necesito saber quién visitó qué? ¿Posible? [cerrado] Función de seguridad: impidiendo que javascript cierre la ventana

score 3 · Answer 1

Las imágenes de Ubuntu están disponibles en muchos espejos que están fuera de control de Canonical. Eso significa que no puede confiar en la imagen en sí misma porque podría ser que un espejo esté comprometido y distribuya archivos modificados. Es por eso que Canonical ofrece archivos de suma de comprobación firmados como SHA256SUMS.gpg que están firmados criptográficamente para que pueda verificar que la imagen es realmente la publicada por Canonical.

Sin embargo, sería mucho mejor si brindaran sus propios espejos con https y si también proporcionaran instrucciones detalladas sobre cómo se debería verificar la descarga, en lugar de solo descargar la imagen sin ningún tipo de validación evidente.