Debian: "We don't need to use HTTPS, we sign our packages! Check out whydoesaptnotusehttps[.]com!"
https://lists.debian.org/debian-security-announce/2019/msg00010.html …
https://justi.cz/security/2019/01/22/apt-rce.html …
Oops.
*This* is why you use HTTPS. Defense in depth. Take note @videolan.
-
Pues por lo visto no es razonable porque permite que te cambien los hashes y no te des cuenta. Por cierto, el protocolo HTTPS también es suceptible a MITM solo que no es tan trivial. En el ambiente corporativo es muy frecuente el uso de una CA propia que inyectan por todos lados.
Voy a dejar de contestar porque no es mi labor explicarte lo que claramente está explicado en el artículo. Si no quieres entenderlo, es cosa tuya. Es un bug en la implementación (no diseño) de apt y el uso de HTTP extiende está superficie de ataque a cualquiera con un MITM. Fin.
-
-
Esta última explicación sí me suena convincente. El uso de HTTP no es el problema; solo ayuda a extender la superficie de ataque. El problema está en un bug de apt, no en el uso de protocolos inseguros como HTTP o TCP/IP sobre tameme.
Thanks. Twitter will use this to make your timeline better. UndoUndo
-
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.