запуск завтра
запуск завтра

Почему система обновления APT (Ubuntu, Debian, etc.) не использует HTTPS? Они проверяют аутентичность и свежесть обновлений по криптографической подписи, а слепки ключей распространяют вместе с ОС.

Статья вновь актуальна (в своё время, команду APT задолбали настолько, что для этой статьи даже зарегистрировали отдельный домен почемунеиспользуетhttps.com!), потому что на прошлой неделе, какой-то аноним прибежал в багтрекер VLC и открыл баг «у вас всё сломано, чините срочно, достаточно добавить HTTPS». Тред на 350 комментариев на реддите.

Необходимость постоянно включать мозги — то, что делает безопасность одной из самых сложных (и дорогих) дисциплин. Не будьте как топикстартер. Если вам вдруг кажется, что вы правы, а все ошибаются — детально (но сухо) распишите сценарий атаки, а не «всё сломано, сделайте X».