ISO e checkum di Ubuntu serviti via HTTP
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
ISO e checkum di Ubuntu serviti via HTTP
Come da titolo, da sempre le ISO di Ubuntu e i checksum MD5, SHA1 e SHA256 sono serviti via HTTP sul sito http://releases.ubuntu.com/18.04/. Ciò rende vulnerabili a attacchi MiTM tutti gli utenti che non verificano l'autenticità della ISO e dei checksum con GPG, seguendo questa guida: https://tutorials.ubuntu.com/tutorial/t ... ify-ubuntu. Quanti utenti lo fanno? E anche se fosse la maggior parte, perché lasciare tale misura di sicurezza alla consapevolezza degli utenti? Nel 2019 impostare HTTPS mi pare il minimo per aprire un sito.
Re: ISO e checkum di Ubuntu serviti via HTTP
fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?
o non ho capito nulla?
- woddy68
- Rampante Reduce
- Messaggi: 8675
- Iscrizione: sabato 12 febbraio 2011, 14:23
- Desktop: Kde Plasma5
- Distribuzione: openSUSE Tumbleweed - KDE Neon
- Sesso: Maschile
Re: ISO e checkum di Ubuntu serviti via HTTP
Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.
Desktop - DELL Optiplex 7010 - Notebook HP 250
-Ho sempre accettato caramelle dagli sconosciuti-
-Ho sempre accettato caramelle dagli sconosciuti-
Re: ISO e checkum di Ubuntu serviti via HTTP
In un certo senso...zuino1 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163371#p5163371][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:fammi capire: non essendo https, un malintenzionato potrebbe sostituire alla versione ufficiale di ubuntu una versione con backdoor e robaccia varia?
o non ho capito nulla?
L'unico modo di "certificare" l'identità di un server remoto (e quindi dei suoi contenuti) è quello di utilizzare appunto un cert SSL (il quale "trasforma" il protocollo da http a https) altrimenti gli attacchi man-in-the-middle sono possibili. Non so quanto siano probabili però...
Certo, se uno avesse "paranoie" di questo genere, potrebbe tranquillamente controllare la firma GPG del file CHECKSUMS, non so quanti lo facciano però... (io lo faccio). A quel punto le possibilità di compromissione scendono quasi a zero (si dovrebbe scaricare anche una chiave per la verifica compromessa, il che è molto difficile visto che il sistema di server SKS è decentralizzato e affidabile).
Comunque interessante la questione sollevata da Filoteo, chissà se qualche esperto di pentesting/sicurezza possa fornirci ulteriori dettagli/info sulla questione.
Messaggi privati (via Jabber/XMPP): frapox@suchat.org
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: ISO e checkum di Ubuntu serviti via HTTP
Sì però il link di download punta sempre a http://releases.ubuntu.com.woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163379#p5163379][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Mi ha stupito il fatto che la pagina di download di Ubuntu sia ancora su HTTP, tuttavia se si utilizza l'indirizzo principale che può essere questo https://www.ubuntu-it.org/download/derivate o questo https://ubuntu.com/download/desktop come si può vedere le pagine sono in HTTPS e non in HTTP.
- woddy68
- Rampante Reduce
- Messaggi: 8675
- Iscrizione: sabato 12 febbraio 2011, 14:23
- Desktop: Kde Plasma5
- Distribuzione: openSUSE Tumbleweed - KDE Neon
- Sesso: Maschile
Re: ISO e checkum di Ubuntu serviti via HTTP
Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
Desktop - DELL Optiplex 7010 - Notebook HP 250
-Ho sempre accettato caramelle dagli sconosciuti-
-Ho sempre accettato caramelle dagli sconosciuti-
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: ISO e checkum di Ubuntu serviti via HTTP
E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163411#p5163411][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
- woddy68
- Rampante Reduce
- Messaggi: 8675
- Iscrizione: sabato 12 febbraio 2011, 14:23
- Desktop: Kde Plasma5
- Distribuzione: openSUSE Tumbleweed - KDE Neon
- Sesso: Maschile
Re: ISO e checkum di Ubuntu serviti via HTTP
Hai ragione, tra l'altro stavo utilizzando Opera che non conosco molto bene, ma andando nei download e copiando l'indirizzo è effettivamente HTTP.Filoteo [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163412#p5163412][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:E' vero, porta alla pagina HTTPS in cui ti ringrazia per il download, però se vedi il link da cui scarica la ISO è sempre HTTP. Firefox dovrebbe mostrarti l'URL quando chiede di salvare il file mentre da Chrome lo vedi andando in chrome://downloads.woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163411#p5163411][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Boh ! Come si fa a capire ? Nel senso che nel secondo link, se clicco sul download, mi porta ad un'altra pagina sempre HTTPS e il download è automatico, mentre nel primo link il download è automatico e non vengo re-indirizzato da nessuna parte.
EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.
Desktop - DELL Optiplex 7010 - Notebook HP 250
-Ho sempre accettato caramelle dagli sconosciuti-
-Ho sempre accettato caramelle dagli sconosciuti-
Re: ISO e checkum di Ubuntu serviti via HTTP
Come si diceva poc'anzi, il codice di controllo (checksum) può non bastare... visto che può essere stato compromesso anche quello. In teoria bisognerebbe controllare anche la validità della firma GPG a esso associata.woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5163413#p5163413][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:EDIT. Comunque è sempre bene controllare il codice di controllo, io ho incominciato a controllarlo da quando utilizzo Plasma, perché è molto semplice e veloce da fare con Dolphin. D'altra parte i codici vengono fatti proprio per evitare problemi di questa natura.
Messaggi privati (via Jabber/XMPP): frapox@suchat.org
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: ISO e checkum di Ubuntu serviti via HTTP
Attendendo il rilascio di Ubuntu 20.04 mi sono accorto che finalmente il sito supporta HTTPS https://releases.ubuntu.com
Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307
Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307
Re: ISO e checkum di Ubuntu serviti via HTTP
È una buona cosa, in effetti, strano che non l'avessero implementato prima!Filoteo ha scritto: ↑giovedì 23 aprile 2020, 17:38Attendendo il rilascio di Ubuntu 20.04 mi sono accorto che finalmente il sito supporta HTTPS https://releases.ubuntu.com
Il certificato è stato creato il 19 marzo https://crt.sh/?id=2598862307
Comunque resta sempre valido il discorso dei post precedenti: per la sicurezza "totale", la procedura è sempre: verifica GPG file SHA256SUM > verifica della iso con sha256sum.
Messaggi privati (via Jabber/XMPP): frapox@suchat.org
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: ISO e checkum di Ubuntu serviti via HTTP
Assolutamente sì. Per lo meno ora c’è una sicurezza in più per chi non segue quei passaggi.
-
- Rampante Reduce
- Messaggi: 5460
- Iscrizione: domenica 20 gennaio 2008, 1:13
- Desktop: Kubuntu
- Distribuzione: 20.04 x64
- Contatti:
Re: ISO e checkum di Ubuntu serviti via HTTP
HTTPS = no Proxy.
Sono colui che fa cose che non servono...
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti