Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apt: Bug in Debian-Paketmanager…

Die Frage wäre...

  1. Thema

Neues Thema Ansicht wechseln


  1. Die Frage wäre...

    Autor: twothe 23.01.19 - 12:19

    ... warum auf die extra Sicherheit verzichten? Es wäre sicherlich eine Kleinigkeit auf HTTPS umzustellen, das Argument "ist sicher genug" wir ganz sicher keinen eingefleischten Linuxer überzeugen, für den generell nichts "sicher genug" ist.

    Gibt es da Performance-Probleme oder Update-Hindernisse weswegen das noch nicht umgestellt wurde?

  2. Re: Die Frage wäre...

    Autor: glasen77 23.01.19 - 12:27

    Soviel ich weiß, sahen die Entwickler bisher das fehlende HTTPS als kein Problem an, da die Pakete signiert sind und eine Manipulation dadurch ausgeschlossen wird.

    Das dem nicht so ist, haben sie jetzt schmerzlich erfahren müssen.

  3. Re: Die Frage wäre...

    Autor: elgooG 23.01.19 - 12:28

    Nein, HTTPS ist natürlich kein Problem bzw. bei den anderen Distributionen die von Debian ableiten dürfte das sowieso schon Standard sein. Soweit ich weiß, gibt es da auch keine Probleme mit einem internen APT-Mirror bzw. APT-Cache.

    Übrigens kann man auch beim eigenen Debian einfach aus dem HTTP ein HTTPS machen, würde ich zur Sicherheit sowieso empfehlen.

    Eigentlich sollte auch HTTP kein Problem sein, da die Pakete ja alle signiert werden, auch bei Fremdquellen. Nur durch eine URL-Umleitung und Manipulation gelingt dieser Angriff, insofern man natürlich die Signaturdatei dann auch während des Angriffs manipulieren kann.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  4. Re: Die Frage wäre...

    Autor: HeroFeat 23.01.19 - 12:28

    Mit HTTPS ist Cachen nicht wirklich möglich. Somit braucht z.B. mehr Traffic. Auch müssten dann die Mirror Betreiber regelmäßig ran. Ein HTTPS Setup ist einfach ein klein wenig wartungsintensiver.


    Bei solchen Servern ist es sogar relativ üblich das die Übetragung der "großen" Daten unverschlüsselt erfolgt. Macht Apple glaube ich z.B. aktuell auch so. Verschlüsselt wird nur die Store Kommunikation und die Integritätsdaten. Die App selber wird aber unverschlüsselt gesendet.

  5. Re: Ist es.

    Autor: NativesAlter 23.01.19 - 12:46

    twothe schrieb:
    --------------------------------------------------------------------------------
    > [...]
    > Es wäre sicherlich eine Kleinigkeit auf HTTPS umzustellen
    > [...]

    Es genügt, das Paket apt-transport-https zu installieren und seine sources.list von http auf https umzustellen.

    Wenn man eh' grade dabei ist, kann man dann auch gleich noch die sources.list auf die neuen debian-Spiegelserver umstellen:
    > https://www.debian.org/releases/stable/amd64/release-notes/ch-whats-new.de.html#deb-debian-org-mirror
    :)

  6. Re: Die Frage wäre...

    Autor: Vanger 23.01.19 - 12:58

    > Nein, HTTPS ist natürlich kein Problem bzw. bei den anderen Distributionen
    > die von Debian ableiten dürfte das sowieso schon Standard sein. Soweit ich
    > weiß, gibt es da auch keine Probleme mit einem internen APT-Mirror bzw.
    > APT-Cache.

    Auch bei Ubuntu werden weder Paketquellen per HTTPS angesprochen, noch ist `apt-transport-https` standardmäßig installiert.

    > Übrigens kann man auch beim eigenen Debian einfach aus dem HTTP ein HTTPS
    > machen, würde ich zur Sicherheit sowieso empfehlen.
    Kann man machen, mit "zur Sicherheit" hat das dann aber weniger zu tun. Zugegeben, solange man in keinem Umfeld tätig ist das Repo-Caching betreibt, schadet es zumindest nicht. Das ändert aber nichts daran, dass es Snake Oil Security ist.

  7. Re: Die Frage wäre...

    Autor: ChrisE 23.01.19 - 17:06

    glasen77 schrieb:
    --------------------------------------------------------------------------------
    > Soviel ich weiß, sahen die Entwickler bisher das fehlende HTTPS als kein
    > Problem an, da die Pakete signiert sind und eine Manipulation dadurch
    > ausgeschlossen wird.
    >
    > Das dem nicht so ist, haben sie jetzt schmerzlich erfahren müssen.

    Sie führen auch immer wieder an, dass ja https://ftp.de.debian.org, https://ftp.uk.debian.org etc. nicht möglich wäre, da die Serverbetreiber kein entsprechendes Zertifikat hätten. Wenn der Server hinter ftp.x.debian.org down ist, wird mal schnell der Server ftp.y.debian.org im DNS hinterlegt. Da würden dann alle Clients wegen falschem Zertifikat motzen.

    Die Frage ist natürlich, wie viele das eigentlich nutzen. Ich weiß aber von vielen, die unter Ubuntu immer von archive.ubuntu.com laden. Also default und nix bestimmtes ausgewählt.

    HeroFeat schrieb:
    --------------------------------------------------------------------------------
    > Mit HTTPS ist Cachen nicht wirklich möglich. Somit braucht z.B. mehr
    > Traffic. Auch müssten dann die Mirror Betreiber regelmäßig ran. Ein HTTPS
    > Setup ist einfach ein klein wenig wartungsintensiver.

    Wer zig Server verwaltet (z.B. im Unternehmen oder an Hochschulen) sollte sich überlegen einen lokalen Mirror aufzusetzen und den zu verwenden. So viel Arbeit (den Mirror aufsetzen) kann einem die Sicherheit ja wert sein.

  8. Re: Die Frage wäre...

    Autor: Deff-Zero 24.01.19 - 00:07

    twothe schrieb:
    --------------------------------------------------------------------------------

    > Gibt es da Performance-Probleme oder Update-Hindernisse weswegen das noch
    > nicht umgestellt wurde?

    http kann man cachen. Und der Bug hätte auch gefixt werden müssen, wenn man schon immer https verwenden würde.



    1 mal bearbeitet, zuletzt am 24.01.19 00:08 durch Deff-Zero.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universität Hamburg, Hamburg
  2. C. & E. Fein GmbH, Schwäbisch Gmünd bei Aalen
  3. MailStore Software GmbH, Viersen
  4. PDV-Systeme GmbH, Dachau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-80%) 11,99€
  2. (-62%) 11,50€
  3. 34,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


    Elektromobilität: Der Umweltbonus ist gescheitert
    Elektromobilität
    Der Umweltbonus ist gescheitert

    Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
    Eine Analyse von Dirk Kunde

    1. Elektromobilität Nikola Motors kündigt E-Lkw ohne Brennstoffzelle an
    2. SPNV Ceské dráhy will akkubetriebene Elektrotriebzüge testen
    3. Volkswagen Electrify America nutzt Tesla-Powerpacks zur Deckung von Spitzen

    1. Datenskandal: Briten kritisieren Facebook als "digitale Gangster"
      Datenskandal
      Briten kritisieren Facebook als "digitale Gangster"

      In einem aufsehenerregenden Bericht dokumentiert das britische Parlament, wie Facebook die Daten seiner Nutzer für Werbezwecke verkauft. Die Untersuchungskommission fordert eine neuartige Regulierung sozialer Medien.

    2. Carsharing: Regierung will Mobilitätsdienste per Gesetz stärken
      Carsharing
      Regierung will Mobilitätsdienste per Gesetz stärken

      Die digitalen Plattformen für Carsharing und Carpooling sollen Rechtssicherheit bekommen. BMW, Daimler und VW sowie Uber & Co. stehen in den Startlöchern.

    3. BSI: Mehr Sicherheitsvorfälle bei kritischer Infrastruktur
      BSI
      Mehr Sicherheitsvorfälle bei kritischer Infrastruktur

      Die Sicherheitslage ist angespannt. Immer mehr Sicherheitsvorfälle werden dem BSI gemeldet. Die Zahlen sind jedoch wenig aussagekräftig.


    1. 14:35

    2. 14:17

    3. 13:53

    4. 13:38

    5. 13:23

    6. 13:04

    7. 12:01

    8. 11:26