правильно понимаю что обновления через пакетный менеджер идут по нешифрованным протоколам?

Чтобы энтропию увеличивать? Что секретного в репозитории лежать может?

Пакеты подписаны. Подписи проверяются на локалхосте. Что ещё надо?

А если свой репозиторий по https хочешь раздавать, то про apt-transport-https знать уже должен и сам.

правильно понимаю что обновления через пакетный менеджер идут по не шифрвоанным протоколам?

Как настроишь, так и будут идти.

Можно использовать https, или что то поддерживающее шифрование на дебиане?

Можно.

Просто не очень хочу отключать прокси

Не хочешь - не отключай.

вот сразу из коробки

$ sudo xbps-install -Su
Password: 
[*] Updating repository `https://repo-default.voidlinux.org/current/i686-repodata' ...
[*] Updating repository `https://repo-default.voidlinux.org/current/nonfree/i686-repodata' ...

Так он на Kali Linux, наверное
Там - надо 😊

а смысл в лишней шифрации ??
тебе ж сказали - пакет подписан хеш-подписью.
перед установкой пакет проверяется на соответствие хеш-подписи.
любое изменение внесенное при передачи выявится через несоответствии подписи файла и пакет будет отброшен как некорректный.
с листингами пакетов тож самое. проверяется через открытый ключ репозитория.

поколение тиктока не боится только своего телефона :)

Я на дебиане а не на базированном на нем дистрибутиве

эквипенисуально :) с точки зрения пакетной системы.

Ага, я запросил vim, а мне атакующий подменил пакетом с emacs-ом. И всё, мой компьютер скомпрометирован. А подписи совпадают.

Https, конечно, можно, но секурность в apt горантируется другими средствами, так что это вопрос вкуса и удобства.

Скажи спасибо, что он тебе vscode не подсунул

https там не нужно, на прокси пофиг. Пакетный менеджер сделан с учётом того, что как интернет-канал, так и даже сервер с репой может быть скомпрометирован, и сам всё что нужно проверяет.

https://media.tenor.com/J_u2_ZnqVEkAAAAi/bnopka-cat.gif

подписи пакета с вим совпадает с подписью пакета с емакс ??
я конешно соглашусь что это одна хрень самомозгое**ва, но не до такой же степени… :)

Просто включи электрообогреватель — будет эффективнее.

А шифрование там не нужно, потому что никакими приватными или секретными эти данные не являются — все пакеты выложены публично. А то, что они не были подменены где-то посередине, проверяется по подписям уже после скачивания в любом случае.

P.S. Шифрование — это хорошо. HTTPS тоже. Но что за мания в последнее время его пихать где надо и не надо, в том числе на статичных сайтах, где вообще полностью отсутствует регистрация и отправка форм? Нафига HTTPS сайту, который тебе что-то рекламирует? А новостному? Секретные новости? Кто-то подменит одну новость на другую?

Это не будет работать 😃 хеши пакетов хранятся отдельно от пакетов и файл с ними отдельно подписывается. 😃

зеркала дебъяна вообще не парятся упоминание шифрования канала. есть так есть, нет так и пофих :)
бубунта показывает типы подключений, но тож думаю работают подключения и без шифра и с шифром.

помнится Дуров бахвалился что в телеге использует нешифрованный транспорт ибо шифрацией и защитой полностью занимается протокол телеги и делает он это лучшеее.

deb.debian.org (да и большинство приличных зеркал, наверное) поддерживает схему https, если очень хочется скрыть файлы пакетов.

А новостному? Кто-то подменит одну новость на другую?

Чтобы читатель знал, что проплаченный пост написал журнолизд из редакции, а не сетевой админ его провайдера.

Но таки да, это можно заверением документа решить и без шифрования.

А новостному?

Да любому сайту нужно. Хотя бы для того, чтобы предприимчивый провайдер не напихал своей рекламы и другой отсебятины, как они любят.

Нафига HTTPS сайту, который тебе что-то рекламирует?

Чтобы провайдер не мог заменить его рекламу на свою. Очевидно же вроде.

Чтобы пользователь не получал «соединение не безопасно, не сообщайте сайту конфиденциальные данные»?

Такое бывает? Трэш

чего скрыть и от кого ?? :)

хых, давно ужо бравзеры начали руагатца красными заголовками на сайты с http без s в урлике - несекурно блин!!
за пользователе имеет право следить только бравзер

Подпись можно поддельную подсунуть, или я чего-то не знаю

Чтобы пользователь не получал «соединение не безопасно, не сообщайте сайту конфиденциальные данные»?

pfg

хых, давно ужо бравзеры начали руагатца красными заголовками на сайты с http без s в урлике - несекурно блин!!

Ну вот об этой проблеме я и говорю. Заставь дурака богу молиться называется.

подпись пакета приложена к описанию пакета в листинге, для деб это SHA1 SHA256 SHA512.
листинг и другие системные файлы подписаны в файле InRelease, который подписан несимметричным ключом репозитория.
открытый ключ репозитория прописан в настройках репозитория.

Зачем его отметил?

Чтобы ответить одной фразой на два (довольно похожих друг на друга) сообщения — одно твоё, другое его. Флудить двумя сообщениями, при том, что мой ответ одинаков, не хотелось.

Смысл электронной подписи в том, что нельзя просто взять и что-то подсунуть, если у тебя нет оригинального закрытого ключа.

Поставь пакет apt-transport-https

Можно будет использовать https с репозиториями, которые это поддерживают.

Названия программ, которые ставишь в свою систему.

Даже в случае https тащ майор по размеру данных полученных в рамках tcp-сессии узнает что там было, так как количество пакетов в репозитории конечно и их размер известен

Это уже пердолинг для которого нужны специалисты. И без гарантий

Мужчина посередине будет знать, какие пакеты качаешь. Ему эти знания совсем бесполезны, но осадочек имеется.

Зависит от настройки репозитория. До 10 дебиана для https надо было ставить apt-transport-https, начиная с 11 его включили в apt. Есть еще apt-transport-tor, чтоб совсем уж анонимно поставить tuxracer.

Что секретного в репозитории лежать может?

Провайдер может посмотреть например что вы скачали торрент-трекер и передать силовикам чтобы пришли к вам и проверили на нарушение авторских прав.

а смысл в лишней шифрации ??

Сокрытие своей дистрибутивной ориентации от провайдера

«а нас рать» (с) квн :)
айпишники репозитория дебиана тож будешь прятать, о сильно неуловимый Джо !!
проблему что «знания переходят в маразм» слышал, но чтобы вот так бояться собственной тени…

тож будешь прятать

Это не ко мне, я просто рассуждаю о гипотетических причинах

Ну вот об этой проблеме я и говорю. Заставь дурака богу молиться называется.

Некоторые атаки сильно упрощаются когда пользователи лазят по сайтам без https. Тогда на любом сайте может злоумышленник (сидящий у провайдера) может контент подменить своим вынудив пользователя совершить какие то действия. Поэтому таки нет, надо хттпс.

Провайдеры кстати скомпроментированы могут быть запросто. Вспомнить только недавнюю историю с мегафоном https://habr.com/ru/articles/876394/

Многие вообще встречались, в том чилсе и я (по мелочи конечно, не такая жопа как у мужика).

причина не гипотетическая а вполне прикладная :)
уверенность что без httpS сейчас это как без айфона в kр00tom обществе - пацаны не поймут.

да нет никакой энтропии. алгоритмы шифрования использовались даже на допотопном z80 с 3.5mhz…

Наоборот, как зимой в мороз без шапки ходить, а то зашквар шапку надеть, перед пацанами неудобно.

Даже в случае https тащ майор по размеру данных полученных в рамках tcp-сессии узнает что там было, так как количество пакетов в репозитории конечно и их размер известен

Не факт. Мультиплексирование и повторное использование соединений ещё никто не отменял.

Провайдеры кстати скомпроментированы могут быть запросто. Вспомнить только недавнюю историю с мегафоном https://habr.com/ru/articles/876394/

ужас какой!
но ведь русские друг друга не на2.7182ывают?

Что секретного в репозитории лежать может?

Если пакеты к тебе идут по нешифрованному http или ftp, на тебя на NTA провайдера можно собрать неполохую «базу» маркеров: типа юзает tor и соксификаторы разные, линуксоид. Давайте его возьмем на карандаш, тов.майор, неблагонадежный персонаж. это вторично, коенчо, но когда тебя решат бутылить, внезапно всплывет.

Я бы больше беспокоился не за репозитарии, хотя это тоже важно, а за нешифрованный DNS.

ох, аня, хоть и сильно спорное утверждение ты утверждаешь: преступность не имеет национальности (как и буржуазия). тем не менее не могу не заметить что не факт что вот в руководстве мегафона все прям русские. там могут быть люди совсем других национальностей.

подписи обновляются таким же пакетом как и все остальные.

подписи обновляются таким же пакетом как и все остальные.

Внезапно, тоже подписанным.