Linux за българи: Форуми

Не съм сигурен дали въпроса ми е за тази секция. Но искам да попитам само при мен ли официалният сайт ubuntu.com няма сертификат ? А help.ubuntu.com има сертификат.

(http://prikachi.com/images/358/8901358R.png)
(http://prikachi.com/images/359/8901359l.png)

Малко параноично ми е, но невиждам логика да няма сертификат точно от сайта от който се свалят дистрибуциите .

Аз съм с Chromium и не ми излизат никакви предупреждения. Всичко е наред.
https://s19.postimg.io/e02nso7sj/ubuntucom.png
Firefox започна да прави доста издънки и май ще си оставя само ESR версията в CENTOS, защото ползвам машините основно за административна работа.

   И аз мисля,че връзката към официалния сайт на убунту трябва да е криптирана (https).
   Въпросът на пича е съвсем основателен.

Интересно, наистина. Основния сайт e с незащитена връзка. Ще станат големи бели, ако бъде подменена някоя връзка за изтегляне на образ.

Тук вече има SSL/TLS.

https://help.ubuntu.com/community/HowToMD5SUM

https://help.ubuntu.com/community/UbuntuHashes

Но, тук няма : https://s19.postimg.io/41majxnqr/download.png

Така като гледам нито на Debian нито на Slackware мирър-ите са с поддръжка на SSL/TLS. А и не виждам смисъл когато се съмняваваш в някакъв MITM  да провериш MD5.

Аз съм с Chromium и не ми излизат никакви предупреждения. Всичко е наред.
https://s19.postimg.io/e02nso7sj/ubuntucom.png
Firefox започна да прави доста издънки и май ще си оставя само ESR версията в CENTOS, защото ползвам машините основно за административна работа.

При мен и на хромиум е същото. На основния сайт няма сертификат, на хелп сайта има.

А и не виждам смисъл когато се съмняваваш в някакъв MITM  да провериш MD5.

Напълно съм съгласен.

От една страна се успокоих, че някое съседско хлапе не се майтапи, но отдруга си е притеснително защо наистина няма сетрификат на основния им сайт.

Шъ вземе някой да открадне сорс кода на Убунту-то  >:D

Кода няма да открадне, защото е публично достъпен. Достатъчно е да подмени някоя от връзките за изтегляне в сайта с връзка към собствен образ, както стана за кратко в сайта сайта на Linux Mint.

Малко бъркаш понятията - това че сайта няма SSL не значи, че всеки ще сменя съдържанието на сайта когато си поиска. Сайта на Минт е хакнат не защото няма SSL (а те си имат), а заради пробит WordPress.
Дали има или няма сертификат е важно ако се логинва навалица в този сайт щото ще им украдат credentials (това как се прежда на нашенски).

Малко бъркаш понятията - това че сайта няма SSL не значи, че всеки ще сменя съдържанието на сайта когато си поиска. Сайта на Минт е хакнат не защото няма SSL (а те си имат), а заради пробит WordPress.
Дали има или няма сертификат е важно ако се логинва навалица в този сайт щото ще им украдат credentials (това как се прежда на нашенски).

Не става въпрос как са ги хакнали, а за това, че потребителите няма как да знаят дали са отворили истинският сайт на Каноникъл или лош двойник който ти пуска кофти дистрибуции заредени с кофти програми дето правят кофти неща. Сайт точно копие на ubuntu може да направи всеки, програмки за тази цел има доста.  При MITM атака не е нужно да е хакнат сайта. Просто те пренасочват към менте сайта и ти като най-голямата кифла си сваляш компроментирана ОС с всички негативни последици.

mint.com наистина си имат сертификат и това прави още по-съмнителна липсата на такъв в ubuntu.com  По-тъпото е, че под сайтовете като help.ubuntu.com си имат сертификати.

Само едно не ми е ясно. Защо файла с контролната сума е точно до ISO-то и , ако някой не доброжелател компрометира DNS записите, няма ли да разположи фалшива сума ??? не доумявам ?
ps:  Това прилича малко като да си даржиш ключа за вратата под чержето.

Файлът с контролната сума не е ключ. Единствената цел, с която се дава, е да можеш да провериш дали сваленият при теб файл връща същата контролна сума, която пише във файла, което да използваш като допълнителна (но негарантирана, тъй като файлът или съдържанието му може да са подменени) проверка дали свалянето на файла е протекло коректно. И този файл така или иначе трябва да се предостави публично, така че е все тая дали е точно до ISO-то, или не - пак може да бъде подменен при компрометиране на сайта, още по-малко значение има мястото му при компрометиране на DNS.

За сертификата. Нужно е да има такъв по две причини. Първата е, за да се криптира връзката между клиента и сървъра, така че да не могат да се прочетат данните, които се изпращат по нея (обикновено данни за вход или друга конфиденциална информация). За целта може да се използва и самоподписан сертификат, въпреки страшните съобщения за несигурен сайт. Но в този сайт не виждам да има обмен на конфиденциални данни, така че е все тая. Втората причина е, за да бъде сигурен потребителят, че наистина е отворил сайта, който мисли, че отваря. В този случай самоподписаните сертификати са сложни за използване, тъй като означава да проверяваш всяка страница, която отваряш, с какъв сертификат е подписана, и затова трябва сертификатът да е издаден от издател, чиито вериги имате налични (по подразбиране или допълнително сте инсталирали) в браузъра си, като се доверявате на този издател, че не е издал сертификат за същия домейн и на друг човек, при което единствено трябва да внимаваш сайтът да е с правилното катинарче в адресната си лента и да не изкарва предупреждения за несигурност. На път сме да се появи и трета причина - браузърите да обявят http адресите за несигурни и да започнат да отварят по подразбиране https адреси, като някои търсачки вече дават по-висок приоритет на https адреси.

Никое от тези неща не ви защитава от подменени линкове и файлове в съдържанието на сайта!

Не е ключ, но до някаква степен допринася за сигурноста(може би аналогията ми не беше точна).И по точно гарантира на потребителя неприкосновенностa на данните. В частния случй файла MD5SUMS се намира в същата директоря като и файла за който гарантира, че е неприкосновен а дори няма SSL/TLS. Въпросът ми е в крайна сметка кой или как се гарантира неприкосновенноста на самия файл MD5SUMS ?  ???

пс: Гледам,че по подобен начин стоят нещата и при Debian, Slackware,Gentoo ... etc

И по точно гарантира на потребителя неприкосновенностa на данните.

Не и по директен начин сам по себе си. Косвено може да гарантира, ако питаш разработчиците или някой, на когото имаш доверие и знае каква трябва да е сумата на този файл, дали това число е оригиналното число.

Въпросът ми е в крайна сметка кой или как се гарантира неприкосновенноста на самия файл MD5SUMS ?

Сумарно, като, посредством сертификата, ако има такъв, се увериш, че зареждаш сайта, който си мислиш, че зареждаш, и като собственикът на сайта те увери, че файлът на сървъра му е коректен. Същото важи за всеки друг файл (или каквато и да е друга информация) на сайта.

Ето защо Линус си прави бекъп на хеша и не му дреме. Кода може да си свали отвсякъде и да го провери с личния хеш дали не е пипан.

"...
If you have disc corruption, if you have RAM corruption, if you have any kind of problems at all, git will notice them. It's not a question of if. It's a guarantee. You can have people who try to be malicious. They won't succeed. You need to know exactly 20 bytes, you need to know 160-bit SHA-1 name of the top of your tree, and if you know that, you can trust your tree, all the way down, the whole history.
..."
Само, че хеша трябва да се пази някъде другаде или да се вземе от комшиите в нашия случай. А админите на сайта трябва от време на време да проверяват тези суми (автоматизирано разбира се).

Интересно четиво между другото: https://git.wiki.kernel.org/index.php/LinusTalk200705Transcript ($2)

Писах и в официалния Убунту форум. Отговориха ми, да пусна бъг :D Вкрайна сметка, може и това да направя. Супер дразнещо е на хелп сайта да има сертификат, а на сайта от който дърпаш най-важните неща да няма.

Може да имат много http:// линкове по сайта и да не им се оправят. :) Това много често е причина сайтове да имат сертификат но да се форсва https:// само на страница за плащане и подобни, а в останалите случаи да се форсва http:// .

Ако го форснат и не са оправени , ще изглежда така : https://community.ubuntu.com/ . Както виждате тук може да се влезе и през https (сертификатът е валиден и си е техния), но браузърите пискат :)

Победа :D Каноникъл най-после сложиха сертификат и на ubuntu.com