Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Apt: Bug in Debian-Paketmanager…

Die Frage wäre...

  1. Thema

Neues Thema Ansicht wechseln


  1. Die Frage wäre...

    Autor: twothe 23.01.19 - 12:19

    ... warum auf die extra Sicherheit verzichten? Es wäre sicherlich eine Kleinigkeit auf HTTPS umzustellen, das Argument "ist sicher genug" wir ganz sicher keinen eingefleischten Linuxer überzeugen, für den generell nichts "sicher genug" ist.

    Gibt es da Performance-Probleme oder Update-Hindernisse weswegen das noch nicht umgestellt wurde?

  2. Re: Die Frage wäre...

    Autor: glasen77 23.01.19 - 12:27

    Soviel ich weiß, sahen die Entwickler bisher das fehlende HTTPS als kein Problem an, da die Pakete signiert sind und eine Manipulation dadurch ausgeschlossen wird.

    Das dem nicht so ist, haben sie jetzt schmerzlich erfahren müssen.

  3. Re: Die Frage wäre...

    Autor: elgooG 23.01.19 - 12:28

    Nein, HTTPS ist natürlich kein Problem bzw. bei den anderen Distributionen die von Debian ableiten dürfte das sowieso schon Standard sein. Soweit ich weiß, gibt es da auch keine Probleme mit einem internen APT-Mirror bzw. APT-Cache.

    Übrigens kann man auch beim eigenen Debian einfach aus dem HTTP ein HTTPS machen, würde ich zur Sicherheit sowieso empfehlen.

    Eigentlich sollte auch HTTP kein Problem sein, da die Pakete ja alle signiert werden, auch bei Fremdquellen. Nur durch eine URL-Umleitung und Manipulation gelingt dieser Angriff, insofern man natürlich die Signaturdatei dann auch während des Angriffs manipulieren kann.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  4. Re: Die Frage wäre...

    Autor: HeroFeat 23.01.19 - 12:28

    Mit HTTPS ist Cachen nicht wirklich möglich. Somit braucht z.B. mehr Traffic. Auch müssten dann die Mirror Betreiber regelmäßig ran. Ein HTTPS Setup ist einfach ein klein wenig wartungsintensiver.


    Bei solchen Servern ist es sogar relativ üblich das die Übetragung der "großen" Daten unverschlüsselt erfolgt. Macht Apple glaube ich z.B. aktuell auch so. Verschlüsselt wird nur die Store Kommunikation und die Integritätsdaten. Die App selber wird aber unverschlüsselt gesendet.

  5. Re: Ist es.

    Autor: NativesAlter 23.01.19 - 12:46

    twothe schrieb:
    --------------------------------------------------------------------------------
    > [...]
    > Es wäre sicherlich eine Kleinigkeit auf HTTPS umzustellen
    > [...]

    Es genügt, das Paket apt-transport-https zu installieren und seine sources.list von http auf https umzustellen.

    Wenn man eh' grade dabei ist, kann man dann auch gleich noch die sources.list auf die neuen debian-Spiegelserver umstellen:
    > https://www.debian.org/releases/stable/amd64/release-notes/ch-whats-new.de.html#deb-debian-org-mirror
    :)

  6. Re: Die Frage wäre...

    Autor: Vanger 23.01.19 - 12:58

    > Nein, HTTPS ist natürlich kein Problem bzw. bei den anderen Distributionen
    > die von Debian ableiten dürfte das sowieso schon Standard sein. Soweit ich
    > weiß, gibt es da auch keine Probleme mit einem internen APT-Mirror bzw.
    > APT-Cache.

    Auch bei Ubuntu werden weder Paketquellen per HTTPS angesprochen, noch ist `apt-transport-https` standardmäßig installiert.

    > Übrigens kann man auch beim eigenen Debian einfach aus dem HTTP ein HTTPS
    > machen, würde ich zur Sicherheit sowieso empfehlen.
    Kann man machen, mit "zur Sicherheit" hat das dann aber weniger zu tun. Zugegeben, solange man in keinem Umfeld tätig ist das Repo-Caching betreibt, schadet es zumindest nicht. Das ändert aber nichts daran, dass es Snake Oil Security ist.

  7. Re: Die Frage wäre...

    Autor: ChrisE 23.01.19 - 17:06

    glasen77 schrieb:
    --------------------------------------------------------------------------------
    > Soviel ich weiß, sahen die Entwickler bisher das fehlende HTTPS als kein
    > Problem an, da die Pakete signiert sind und eine Manipulation dadurch
    > ausgeschlossen wird.
    >
    > Das dem nicht so ist, haben sie jetzt schmerzlich erfahren müssen.

    Sie führen auch immer wieder an, dass ja https://ftp.de.debian.org, https://ftp.uk.debian.org etc. nicht möglich wäre, da die Serverbetreiber kein entsprechendes Zertifikat hätten. Wenn der Server hinter ftp.x.debian.org down ist, wird mal schnell der Server ftp.y.debian.org im DNS hinterlegt. Da würden dann alle Clients wegen falschem Zertifikat motzen.

    Die Frage ist natürlich, wie viele das eigentlich nutzen. Ich weiß aber von vielen, die unter Ubuntu immer von archive.ubuntu.com laden. Also default und nix bestimmtes ausgewählt.

    HeroFeat schrieb:
    --------------------------------------------------------------------------------
    > Mit HTTPS ist Cachen nicht wirklich möglich. Somit braucht z.B. mehr
    > Traffic. Auch müssten dann die Mirror Betreiber regelmäßig ran. Ein HTTPS
    > Setup ist einfach ein klein wenig wartungsintensiver.

    Wer zig Server verwaltet (z.B. im Unternehmen oder an Hochschulen) sollte sich überlegen einen lokalen Mirror aufzusetzen und den zu verwenden. So viel Arbeit (den Mirror aufsetzen) kann einem die Sicherheit ja wert sein.

  8. Re: Die Frage wäre...

    Autor: Deff-Zero 24.01.19 - 00:07

    twothe schrieb:
    --------------------------------------------------------------------------------

    > Gibt es da Performance-Probleme oder Update-Hindernisse weswegen das noch
    > nicht umgestellt wurde?

    http kann man cachen. Und der Bug hätte auch gefixt werden müssen, wenn man schon immer https verwenden würde.



    1 mal bearbeitet, zuletzt am 24.01.19 00:08 durch Deff-Zero.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Swyx Solutions GmbH, Linz, Wien, Salzburg (Österreich, Home-Office möglich)
  2. UDG United Digital Group, Ludwigsburg, Herrenberg, Karlsruhe, Mainz
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. Öffentliche Versicherung Braunschweig, Braunschweig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 799,90€
  2. (u. a. Guild Wars 2 - Path of Fire 15,99€, PUBG Survivor Pass 3 6,99€, Die Sims 4 10,99€)
  3. (aktuell u. a. NZXT H500 Overwatch Special Edition Gehhäuse 129,90€, NZXT RGB Kit 79,90€)
  4. (Monitore ab 147,99€ und Laptops ab 279,00€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

  1. Quartalsbericht: Amazons Umsatz steigt nicht mehr so stark
    Quartalsbericht
    Amazons Umsatz steigt nicht mehr so stark

    Amazon macht im ersten Quartal 3,6 Milliarden US-Dollar Gewinn. Doch das Umsatzwachstum fällt von 43 auf 17 Prozent.

  2. Partner-Roadmap: Intel plant 10-nm-Desktop-Chips nicht vor 2022
    Partner-Roadmap
    Intel plant 10-nm-Desktop-Chips nicht vor 2022

    Roadmaps von Dell zufolge wird Intel in den kommenden Jahren primär das Mobile-Segment mit Prozessoren im 10-nm-Verfahren bedienen. Im Desktop-Bereich müssen Comet Lake und Rocket Lake mit zehn Kernen und 14 nm gegen AMDs Ryzen 3000/4000 mit 7(+) nm antreten.

  3. Mobilfunk: Nokia macht wegen 5G-Sicherheitsbedenken Verlust
    Mobilfunk
    Nokia macht wegen 5G-Sicherheitsbedenken Verlust

    Nokia kann von der US-Kampagne gegen Huawei nicht profitieren, sondern verbucht einen unerwarteten Verlust. Investitionen seien erforderlich, erklärte Konzernchef Rajeev Suri.


  1. 23:51

  2. 21:09

  3. 18:30

  4. 17:39

  5. 16:27

  6. 15:57

  7. 15:41

  8. 15:25