Follow

Hab ich gerade echt einen Thread von 2017 in der Debian Mailingliste gelesen in der diskutiert wird ob security.debian.org https können soll oder nicht?

Spoiler: es kann immer noch kein HTTPS. Aber es gibt immerhin andere offizielle repos die auch debian-security ausliefern

Show thread

@tsia raspberry os hat das gleiche in grün o0

Das öffnet so richtig unnötige Angriffs-Vektoren auf APT :(

@bekopharm @tsia ich meine mal gelesen zu haben dass die das angeblich nicht brauchen weil die Pakete an sich ja signiert sind..

allerdings ist https zu machen auch kein grosser Aufwand :akko_shrug:

@rick Na. Nur die Release Files (Metadata) sind signiert. Drin sind "nur" Checksummen. Diese wiederum sind "Hauptsache irgend eine passt", da das Komprimierugnsformat nicht definiert ist.

Das schützt per default nicht gegen z.b. Replay und Downgrade Attacken. Da ist einiges Gefummel nötig.

Das liegt in der strikten Trennung zwischen Beschaffung (apt) und Installation (dpkg). Das eine weiß im Grunde nichts über das andere.

DEBs selbst sind selten signiert und debig nicht aktiviert.

@tsia

@rick
Ja das Argument kam da auch. Wäre halt ein zusätzliches Stück Sicherheit. PGP war ja auch schon mal kaputt in apt. Außerdem leakt es halt Informationen über installierte Versionen
@bekopharm

@tsia Is ist eine gewisse Ironie dass man das da, wo es auf Sicherheit an kommt (embedded z.B.), so nicht nutzen kann. Es läuft im Wesenentlichen auf Never-Update oder eigene Mirror-Repos raus, wo man dann noch mit debsig arbeiten kann. Das Ergebnis: Keine oder nur sehr gezielte Updates. Was willst machen 🤷‍♂️

@rick

@tsia @bekopharm jup, das mit den geleakten Versionen wusste ich. Aber keine Ahnung warum sie das nicht hinter https setzen, meiner Meinung nach spricht ja nicht wirklich was dagegen. ja, https hat overhead, aber der ist meiner Meinung nach verkraftbar

@rick schätze es wird abgelehnt, da man sich dann der Willkür einer Zertifizierungsstelle unterordnen müsste - oder irgend sowas - und das ist nicht "frei" ;-)

Die Kritik an HTTPS ist schon nicht komplett von der Hand zu weisen.

Gut, dass es Mirror gibt.

@tsia

@bekopharm
Die Kritik die ich da gesehen habe könnte man aber komplett umgehen indem man HTTPS nicht erzwingt sondern nur optional macht. Und sonst haben sie ja auch überall https
@rick

@rick
Ich benutze halt jetzt das debian-security von deb.debian.org. ich muss sowieso die repos alle auf HTTPS umstellen weil ich aus Gründen ™ kein http benutzen kann
@bekopharm

@tsia Ich nehme an, das liegt daran, daß da seit einiger Zeit ein Mirror-Netzwerk dahinter versteckt ist. Und wenn der Key großflächig verteilt werden muß, kann man wohl davon ausgehen, daß er quasi öffentlich ist und das HTTPS nichts bringt.

Abgesehen davon verschleiert es nur, welche Updates man sich holt, sofern das nicht ohnehin über Termin und Größe der einzelnen Downloads geschätzt werden kann.

@mehdorn
Also erst Mal muss ich dazu sagen, dass inzwischen wohl auch debian-security über deb.debian.org ausgeliefert wird (was ja schon ewig HTTPS kann). Ich finde Verschleierung der Version und der installierten Software aber schon auch relativ wichtig. Und dann gibt's halt leider immernoch sehr empfindliche Corporate Proxies die alles was nach Paketen aussieht blockieren.

@mehdorn @tsia jeder Dienst sollte mit https angeboten werden (auch, wenn ich apt aktuell lieber ohne https nutze)

@flo @tsia Bei HTTP gehe ich mit, aber SMTP über HTTPS muß jetzt nicht sein. ;-)

@flo
Ja es sollte auf jeden Fall die Option geben. Apt über HTTPS erzwingen ist alleine schon deswegen schwierig weil ja apt standardmäßig kein HTTPS kann
@mehdorn

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!