ভাণ্ডার তালিকাগুলি কি সুরক্ষিত? এইচটিটিপিএস সংস্করণ আছে?

সংগ্রহস্থল আপডেটগুলি কি নিরাপদ?

বিকাশকারী পক্ষ থেকে সামান্য মস্তিষ্কের ভালুক হিসাবে, কেন সংগ্রহস্থল তালিকা http://security.ubuntu.comএবং অন্যান্য http(অনিরাপদ) সাইট তালিকাভুক্ত তা আমি বুঝতে পারি না /etc/apt/sources.list। শংসাপত্র শৃঙ্খলা না মিললে এটি "উবুন্টু ডটকম সাইটটি জিজ্ঞাসা করুন ..." পরিবর্তে "প্যাকেজগুলির তালিকার জন্য কোনও উত্তরদাতাকে জিজ্ঞাসা করুন" হিসাবে প্রদর্শিত হবে

কোনও নেটওয়ার্ক আপডেট সাইটগুলি ছদ্মবেশী বেছে নিতে পারে এবং স্থানীয়ভাবে ক্যাশেড এবং পরীক্ষিত অনুলিপি সরবরাহ করা কি এই সাধারণ অভ্যাস?

সংক্ষেপে, হ্যাঁ তারা সুরক্ষিত, কারণ ফাইলগুলিতে সাইন করতে ব্যবহৃত পাবলিক কী ক্রিপ্টোগ্রাফি।

এপিটি দ্বারা ডাউনলোড করা সমস্ত ফাইলের একটি স্বাক্ষর রয়েছে যা আপনার কম্পিউটারে সঞ্চিত পাবলিক কীগুলির বিপক্ষে ডাউনলোড করা ফাইলকে উবুন্টু এবং কেবল উবুন্টু স্বাক্ষরিত হিসাবে যাচাই করার অনুমতি দেয়। এটি যাচাই করে যে আপনি প্রাপ্ত ফাইলটি কোনও পর্যায়ে উবুন্টু কর্তৃক অনুমোদিত ছিল এবং এর পর থেকে কোনও সংশোধন বা হস্তক্ষেপ করা হয়নি।

এটি কীভাবে কাজ করে তার একটি প্রযুক্তিগত ব্যাখ্যা উবুন্টু (এবং ডেবিয়ান থেকে যা একই সিস্টেম ব্যবহার করে) থেকে উপলব্ধ।

এইচটিটিপিএসের পরিবর্তে এইচটিটিপি ব্যবহারের কারণে, হ্যাঁ শ্রবণকারীরা আপনি কী ফাইল ডাউনলোড করছেন তা দেখতে পেয়েছিল তবে গোপনীয়তা এই ক্ষেত্রে আপনার উদ্বেগের কারণ হতে পারে না। ক্ষতিকারক কোডটি ইনজেকশনের জন্য প্যাকেজগুলিকে সংশোধন করার একটি মধ্যবর্তী প্রচেষ্টা এখনও ব্যর্থ হবে কারণ এটি সই করার পদ্ধতিটি ভেঙে দেবে।

এই স্বাক্ষরকরণের ব্যবস্থায় একটি সম্ভাব্য গোটাচা হ'ল এটি গ্যারান্টি দেয় না যে আপনি প্যাকেজটির সর্বাধিক যুগোতম সংস্করণ পেয়ে যাচ্ছেন (প্রকৃতপক্ষে, কখনও কখনও আয়না আপডেট হতে ধীর হয়)। এই সমস্যাটি প্রশমিত করতে সহায়তার জন্য, স্বাক্ষরিত রিলিজ ফাইলটিতে একটি "বৈধ-অবধি" তারিখ অন্তর্ভুক্ত রয়েছে যার পরে এটি উল্লেখ করা সমস্ত ফাইলগুলি বাসি হিসাবে বিবেচনা করা উচিত। মধ্য-মধ্য-মধ্যের পক্ষে এই বৈধ-অবধি তারিখের মধ্যে সংরক্ষণাগারটির একটি অপরিশোধিত পূর্ববর্তী সংস্করণ সহ একটি সংরক্ষণাগার স্থাপন করা এবং আপনার আপডেটটিকে কোনও আপডেট নেই বলে বিশ্বাস করার জন্য এটি প্রশংসনীয় হবে। তবে তারা প্যাকেজগুলিতে কোনও স্বেচ্ছাসেবী পরিবর্তন করতে পারে না বা নির্দিষ্ট সময়ে পারা যেতে পারে না।

স্বাক্ষর করার পদ্ধতিগুলি এই জাতীয় বিতরণ করা পরিবেশে এইচটিটিপিএসের চেয়ে অনেক বেশি সুরক্ষার ব্যবস্থা করে যেখানে ফাইলগুলি উবুন্টু দ্বারা নিয়ন্ত্রিত নয় এমন অনেকগুলি সার্ভারের উপর মিরর করা হয়। মূলত আপনাকে কেবল উবুন্টুকে বিশ্বাস করতে হবে, আয়না নয়, সুতরাং আপনাকে প্রমাণ করতে হবে যে ফাইলগুলি মূলত উবুন্টু থেকে এসেছে এবং যেহেতু কোনও রূপান্তর করা হয়নি - আয়নাটির পরিচয় যাচাই করার দরকার নেই।

মনে রাখবেন যে আপনি যখন আপনার উত্স তালিকায় কোনও বেসরকারী সংগ্রহশালা যুক্ত করবেন যেমন পিপিএ, তখন আপনি সেই ফাইলগুলি পাবেন যা উবুন্টু স্বাক্ষরিত নয়। এপিটি আপনাকে এই সম্পর্কে সতর্ক করতে হবে, কারণ উবুন্টু কর্তৃক অনুমোদিত হিসাবে আপনার কম্পিউটারে ইনস্টল করা যে কোনও পাবলিক কীগুলির সাথে এটি কোনও শংসাপত্রের দ্বারা স্বাক্ষরিত হয়নি।

এখানে শীর্ষ রেট দেওয়া উত্তর পরিষ্কারভাবে পুরানো। এর পর থেকে বাগি প্যাকেজ যাচাইকরণের কারণে অ্যাপটিতে 2 টি গুরুতর রিমোট কোড এক্সিকিউশন শোষণ পাওয়া গেছে। সুরক্ষা বুলেটিনগুলি এখানে এবং এখানে ।

এটি গোপনীয়তা / তথ্য ফাঁস এবং বাসি প্যাকেজ সংস্করণ সম্পর্কে উদ্বেগগুলির চেয়ে অনেক খারাপ; এটি রুট হিসাবে সম্পূর্ণ নির্ধারিত কোড নির্বাহ সক্ষম করে, সম্পূর্ণ সুরক্ষা ব্যর্থতা। এবং জিনিসটি হ'ল: এই আক্রমণগুলি HTTP এর পরিবর্তে https ব্যবহার করা যেতে পারত।

এটি প্রমাণ করে যে গভীরতার নীতিতে প্রতিরক্ষা এখানে অন্য কোথাও প্রযোজ্য। Https আশেপাশে প্রচুর দাবীগুলি এইচটিএসপি প্রসঙ্গে যে কোনও বা ন্যূনতম সুরক্ষা সুবিধা সরবরাহ করে তা কেবল ভুল, যেমন এই শোষণগুলি দেখিয়েছে।

প্রশ্নটি তখন হয়ে যায় যদি https এর সুরক্ষা সুবিধাটি ক্যাশেিংয়ের ক্ষেত্রে ব্যয়যোগ্য, ওভারহেড বাড়ানো ইত্যাদি worth আমি এর উত্তর দিতে পারি না তবে খুব কমপক্ষে আমি মনে করি উবুন্টু / ক্যানোনিকাল / লঞ্চপ্যাডটি তাদের সংগ্রহস্থলের জন্য alচ্ছিক https শেষ পয়েন্টগুলি সরবরাহ করতে হবে ।

গুরুত্বপূর্ণ পরিপূরক - প্রকৃতপক্ষে, অনলাইন আপগ্রেড এবং প্রাথমিক ইনস্টলেশন ডাউনলোড হিসাবে, এটি প্রচুর ট্র্যাফিক নেয় এবং এই ট্র্যাফিকের উত্স, অর্থাৎ বাইনারি এবং পাঠ্য কোড স্ট্রিমগুলি পুনরুত্পাদনযোগ্য। সুতরাং এটির জন্য ইন্টারনেটে প্রচুর গেটওয়ে এবং ক্যাশে ডিভাইস রয়েছে। রফতানি ব্যান্ডউইদথ সংরক্ষণ করার জন্য যথেষ্ট সংখ্যক আইএসপি http প্রোটোকলের উপর ভিত্তি করে ক্যাশে স্থাপন করেছিল এবং https প্রোটোকল স্বচ্ছ ক্যাশে হিসাবে উপস্থিত থাকতে পারে না।

আরেকটি কারণ হ'ল এইচটিপি-ভিত্তিক মিররিং প্রোগ্রামটি খুব সহজ, tls-ssl শংসাপত্রটি যাচাই করার দরকার নেই এবং শংসাপত্রের অবৈধতা বা ওয়েব সার্ভার কনফিগারেশন সমস্যা সম্পর্কেও চিন্তার দরকার নেই।

খুব বেশি দিন আগে, প্রায় 20 বছর আগে ইন্টারনেটের শুরুতে, https এবং ইন্টারনেট ট্র্যাফিক এখনও খুব ব্যয়বহুল গেমপ্লে ছিল। সুতরাং, HTTP এফটিপি প্রোটোকল অন্তর্ভুক্ত করেছে, যা অপ্রচলিত হওয়ার কাছাকাছি, অনলাইনে সফ্টওয়্যার প্যাকেজ বিতরণের জন্য ইনস্টলেশন ও আপডেট সরবরাহের প্রধান উপায় হিসাবে।

একইভাবে, মাইক্রোসফ্ট উইন্ডোজ এবং অফিসও এইচটিপি ব্যবহার করে আপগ্রেড করা হয়। আপনি পর্যবেক্ষণ করতে পারেন যে এটি সাধারণত মাইক্রোসফ্টের সার্ভার থেকে ডাউনলোড করা ইনস্টলেশন প্যাকেজ নয়, তবে আপনার আইএসপির স্ব-নির্মিত-নির্মিত ক্যাশে সার্ভার।