Tous les serveurs de téléchargement de mise à jour Ubuntu sont-ils uniquement HTTP?

14

Dans les sources logicielles d'Update Manager, l'option existe pour choisir un serveur de téléchargement et un protocole comme indiqué ci-dessous.

Toutes les mises à jour sont-elles téléchargées via HTTP uniquement?

Et si HTTPS (ou SFTP) n'est pas pris en charge, pourquoi cette option existe-t-elle? Question connexe ici , bien qu'elle ne traite que des images ISO complètes.

Choisissez une capture d'écran du serveur de téléchargement

update-manager security https Tom Brossman
la source
1
Le protocole ne change-t-il pas par serveur de téléchargement? (si vous choisissez ftp.rezopole.net, je m'attendrais à ce qu'il change en ftp). Et si le serveur prend en charge https, je m'attendrais à ce qu'il affiche https.
Rinzwind
@Rinzwind Non, la sélection de l'un des liens ftp affiche également http uniquement, il n'y a pas d'autres options à choisir.
Tom Brossman

Réponses:

9

protocoles pris en charge par logiciel

Potentiellement oui, le logiciel affichant la liste déroulante des protocoles peut prendre en charge un miroir https - la liste déroulante en question accepte les protocoles valides suivants :

  • ftp
  • http
  • fichier
  • rsync
  • https

Ceci est détaillé dans le code source du package software-properties-gtk:

apt-get source software-properties-gtk
cd software-properties*/softwareproperties/gtk

Regardez dans le fichier DialogMirror.py - fonctiondef is_valid_mirror

il y a un mais ...

Cependant , en réalité, les supports des miroirs publics est limité à http://, ftp://&rsync://

Les miroirs que vous pouvez définir sont limités lorsque vous définissez un nouveau miroir :

miroirs locaux

Par conséquent, puisque le logiciel lui-même ne limite pas les protocoles, une façon de télécharger via HTTPS est de définir et de maintenir votre propre référentiel local et miroir. Comme d'habitude, nous avons une grande Q&A qui a plusieurs réponses applicables:

apt-mirrorest probablement votre meilleur pari ici. Installez le apt-mirrorpackage et examinez sa page de manuel:

EXEMPLES DE CONFIGURATION La configuration mirror.list prend en charge de nombreuses options ...

   HTTPS with sending Basic HTTP authentication information (plaintext username and password) for all
   requests: (this was default behaviour of Wget 1.10.2 and prior and is needed for some servers with new
   version of Wget) set auth_no_challenge 1 deb https://user:[email protected]:443/debian stable main contrib
   non-free

   HTTPS without checking certificate: set no_check_certificate 1 deb https://example.com:443/debian stable
   main contrib non-free

Comme vous pouvez le voir, vous pouvez définir un miroir HTTPS local - ajoutez votre miroir HTTPS local et il devrait apparaître dans la liste des miroirs.

liberté de fossé
la source
Excellente réponse, merci. Je me demande alors à quel point les mises à jour sont vulnérables à la falsification? Étant donné que le trafic HTTP peut être manipulé par votre FAI, ou même un café offrant une connexion Wi-Fi gratuite, il doit y avoir quelque chose en place pour vérifier l'intégrité des téléchargements. Probablement demandé et répondu ici (je vais essayer une recherche) mais je ne comprends pas encore comment cela fonctionne.
Tom Brossman
1
@TomBrossman - le système s'appuie sur l'authentification du package - ceci est un Q&A qui explique ceci askubuntu.com/questions/75565/…
fossfreedom
Article intéressant du projet Guardian ici sur la fuite de métadonnées de package pour les connexions non HTTPS.
Tom Brossman
0

Ubuntu ne possède pas ces serveurs, c'est à eux de décider s'ils auront https ou non. L'option existe car un serveur peut également fournir une connexion https

user251046
la source