Автор Тема: Сертификат на ubuntu.com  (Прочетена 8538 пъти)

mahachi

  • Участници
  • ***
  • Публикации: 11
    • Профил
Сертификат на ubuntu.com
« -: Sep 04, 2016, 10:54 »
Не съм сигурен дали въпроса ми е за тази секция. Но искам да попитам само при мен ли официалният сайт ubuntu.com няма сертификат ? А help.ubuntu.com има сертификат.




Малко параноично ми е, но невиждам логика да няма сертификат точно от сайта от който се свалят дистрибуциите .
Активен

cybercop

  • Напреднали
  • *****
  • Публикации: 5626
  • Distribution: Ubuntu LTS, CENTOS 6.x
  • Window Manager: Xfce, Gnome 2
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #1 -: Sep 04, 2016, 11:21 »
Аз съм с Chromium и не ми излизат никакви предупреждения. Всичко е наред.
https://s19.postimg.io/e02nso7sj/ubuntucom.png
Firefox започна да прави доста издънки и май ще си оставя само ESR версията в CENTOS, защото ползвам машините основно за административна работа.
« Последна редакция: Sep 04, 2016, 12:25 от cybercop »
Активен

Ползването на Linux води до пристрастяване. Факт.
http://s19.postimg.cc/4oajwoq5v/xenial2.png

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #2 -: Sep 04, 2016, 12:42 »
   И аз мисля,че връзката към официалния сайт на убунту трябва да е криптирана (https).
   Въпросът на пича е съвсем основателен.
Активен

cybercop

  • Напреднали
  • *****
  • Публикации: 5626
  • Distribution: Ubuntu LTS, CENTOS 6.x
  • Window Manager: Xfce, Gnome 2
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #3 -: Sep 04, 2016, 13:24 »
Интересно, наистина. Основния сайт e с незащитена връзка. Ще станат големи бели, ако бъде подменена някоя връзка за изтегляне на образ.
Активен

Ползването на Linux води до пристрастяване. Факт.
http://s19.postimg.cc/4oajwoq5v/xenial2.png

chen_dzen

  • Напреднали
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
« Последна редакция: Sep 04, 2016, 14:08 от chen_dzen »
Активен

cybercop

  • Напреднали
  • *****
  • Публикации: 5626
  • Distribution: Ubuntu LTS, CENTOS 6.x
  • Window Manager: Xfce, Gnome 2
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #5 -: Sep 04, 2016, 14:27 »
Но, тук няма : https://s19.postimg.io/41majxnqr/download.png
« Последна редакция: Sep 04, 2016, 14:49 от cybercop »
Активен

Ползването на Linux води до пристрастяване. Факт.
http://s19.postimg.cc/4oajwoq5v/xenial2.png

chen_dzen

  • Напреднали
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #6 -: Sep 04, 2016, 16:09 »
Така като гледам нито на Debian нито на Slackware мирър-ите са с поддръжка на SSL/TLS. А и не виждам смисъл когато се съмняваваш в някакъв MITM  да провериш MD5.
« Последна редакция: Sep 04, 2016, 16:35 от chen_dzen »
Активен

mahachi

  • Участници
  • ***
  • Публикации: 11
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #7 -: Sep 04, 2016, 16:31 »
Аз съм с Chromium и не ми излизат никакви предупреждения. Всичко е наред.
https://s19.postimg.io/e02nso7sj/ubuntucom.png
Firefox започна да прави доста издънки и май ще си оставя само ESR версията в CENTOS, защото ползвам машините основно за административна работа.
При мен и на хромиум е същото. На основния сайт няма сертификат, на хелп сайта има.


А и не виждам смисъл когато се съмняваваш в някакъв MITM  да провериш MD5.
Напълно съм съгласен.

От една страна се успокоих, че някое съседско хлапе не се майтапи, но отдруга си е притеснително защо наистина няма сетрификат на основния им сайт.
Активен

jet

  • Напреднали
  • *****
  • Публикации: 3472
  • Distribution: debian
  • Window Manager: kde
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #8 -: Sep 04, 2016, 16:53 »
Шъ вземе някой да открадне сорс кода на Убунту-то  >:D
Активен

..⢀⣴⠾⠻⢶⣦⠀
  ⣾⠁⢠⠒⠀⣿⡁
  ⢿⡄⠘⠷⠚⠋
  ⠈⠳⣄⠀⠀⠀⠀  Debian, the universal operating system.

cybercop

  • Напреднали
  • *****
  • Публикации: 5626
  • Distribution: Ubuntu LTS, CENTOS 6.x
  • Window Manager: Xfce, Gnome 2
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #9 -: Sep 04, 2016, 16:56 »
Кода няма да открадне, защото е публично достъпен. Достатъчно е да подмени някоя от връзките за изтегляне в сайта с връзка към собствен образ, както стана за кратко в сайта сайта на Linux Mint.
Активен

Ползването на Linux води до пристрастяване. Факт.
http://s19.postimg.cc/4oajwoq5v/xenial2.png

jet

  • Напреднали
  • *****
  • Публикации: 3472
  • Distribution: debian
  • Window Manager: kde
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #10 -: Sep 04, 2016, 18:18 »
Малко бъркаш понятията - това че сайта няма SSL не значи, че всеки ще сменя съдържанието на сайта когато си поиска. Сайта на Минт е хакнат не защото няма SSL (а те си имат), а заради пробит WordPress.
Дали има или няма сертификат е важно ако се логинва навалица в този сайт щото ще им украдат credentials (това как се прежда на нашенски).
Активен

..⢀⣴⠾⠻⢶⣦⠀
  ⣾⠁⢠⠒⠀⣿⡁
  ⢿⡄⠘⠷⠚⠋
  ⠈⠳⣄⠀⠀⠀⠀  Debian, the universal operating system.

mahachi

  • Участници
  • ***
  • Публикации: 11
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #11 -: Sep 04, 2016, 18:24 »
Малко бъркаш понятията - това че сайта няма SSL не значи, че всеки ще сменя съдържанието на сайта когато си поиска. Сайта на Минт е хакнат не защото няма SSL (а те си имат), а заради пробит WordPress.
Дали има или няма сертификат е важно ако се логинва навалица в този сайт щото ще им украдат credentials (това как се прежда на нашенски).

Не става въпрос как са ги хакнали, а за това, че потребителите няма как да знаят дали са отворили истинският сайт на Каноникъл или лош двойник който ти пуска кофти дистрибуции заредени с кофти програми дето правят кофти неща. Сайт точно копие на ubuntu може да направи всеки, програмки за тази цел има доста.  При MITM атака не е нужно да е хакнат сайта. Просто те пренасочват към менте сайта и ти като най-голямата кифла си сваляш компроментирана ОС с всички негативни последици.

mint.com наистина си имат сертификат и това прави още по-съмнителна липсата на такъв в ubuntu.com  По-тъпото е, че под сайтовете като help.ubuntu.com си имат сертификати.
« Последна редакция: Sep 04, 2016, 18:31 от mahachi »
Активен

chen_dzen

  • Напреднали
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #12 -: Sep 04, 2016, 19:27 »

Само едно не ми е ясно. Защо файла с контролната сума е точно до ISO-то и , ако някой не доброжелател компрометира DNS записите, няма ли да разположи фалшива сума ??? не доумявам ?
ps:  Това прилича малко като да си даржиш ключа за вратата под чержето.

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: Сертификат на ubuntu.com
« Отговор #13 -: Sep 04, 2016, 21:34 »
Файлът с контролната сума не е ключ. Единствената цел, с която се дава, е да можеш да провериш дали сваленият при теб файл връща същата контролна сума, която пише във файла, което да използваш като допълнителна (но негарантирана, тъй като файлът или съдържанието му може да са подменени) проверка дали свалянето на файла е протекло коректно. И този файл така или иначе трябва да се предостави публично, така че е все тая дали е точно до ISO-то, или не - пак може да бъде подменен при компрометиране на сайта, още по-малко значение има мястото му при компрометиране на DNS.

За сертификата. Нужно е да има такъв по две причини. Първата е, за да се криптира връзката между клиента и сървъра, така че да не могат да се прочетат данните, които се изпращат по нея (обикновено данни за вход или друга конфиденциална информация). За целта може да се използва и самоподписан сертификат, въпреки страшните съобщения за несигурен сайт. Но в този сайт не виждам да има обмен на конфиденциални данни, така че е все тая. Втората причина е, за да бъде сигурен потребителят, че наистина е отворил сайта, който мисли, че отваря. В този случай самоподписаните сертификати са сложни за използване, тъй като означава да проверяваш всяка страница, която отваряш, с какъв сертификат е подписана, и затова трябва сертификатът да е издаден от издател, чиито вериги имате налични (по подразбиране или допълнително сте инсталирали) в браузъра си, като се доверявате на този издател, че не е издал сертификат за същия домейн и на друг човек, при което единствено трябва да внимаваш сайтът да е с правилното катинарче в адресната си лента и да не изкарва предупреждения за несигурност. На път сме да се появи и трета причина - браузърите да обявят http адресите за несигурни и да започнат да отварят по подразбиране https адреси, като някои търсачки вече дават по-висок приоритет на https адреси.

Никое от тези неща не ви защитава от подменени линкове и файлове в съдържанието на сайта!
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

chen_dzen

  • Напреднали
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
Re: Сертификат на ubuntu.com
« Отговор #14 -: Sep 04, 2016, 22:38 »
Не е ключ, но до някаква степен допринася за сигурноста(може би аналогията ми не беше точна).И по точно гарантира на потребителя неприкосновенностa на данните. В частния случй файла MD5SUMS се намира в същата директоря като и файла за който гарантира, че е неприкосновен а дори няма SSL/TLS. Въпросът ми е в крайна сметка кой или как се гарантира неприкосновенноста на самия файл MD5SUMS ?  ???

пс: Гледам,че по подобен начин стоят нещата и при Debian, Slackware,Gentoo ... etc
« Последна редакция: Sep 04, 2016, 22:41 от chen_dzen »
Активен


Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
apt-get на Ubuntu?
Настройка на програми
Lamer 8 7704 Последна публикация May 29, 2009, 22:35
от go_fire
Ubuntu live to ubuntu alternate?
Настройка на програми
Whisper 3 7476 Последна публикация Aug 30, 2007, 12:56
от bnight
Продавам Ubuntu Desktop 9.04:Kubuntu Desktop 9.04:Ubuntu Server 9.04 x64
Кошче
anakinchoo 34 21063 Последна публикация Jun 04, 2010, 16:32
от ROKO__
Ubuntu + Ubuntu Studio
Настройка на програми
H0lyGanGs7eR 5 7869 Последна публикация Feb 27, 2010, 13:20
от bazu
Малко по темата за Ubuntu 13.10 & Ubuntu Edge
Коментар
alabla 3 5674 Последна публикация Oct 31, 2013, 22:22
от alabla