Auteur Sujet: Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?  (Lu 2581 fois)

0 Membres et 1 Invité sur ce sujet

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 558
  • La Madeleine (59)
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #12 le: 06 mai 2017 à 20:53:32 »
Il faut faire comme ceci:

18% [jack:~]dig -t SRV _http._tcp.deb.debian.org +short
10 1 80 prod.debian.map.fastly.net.
10 1 80 dpvctowv9b08b.cloudfront.net.


Marco POLO

  • Client Free fibre
  • *
  • Messages: 1 773
  • FTTH 100 Mb/s sur Paris (75)
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #13 le: 07 mai 2017 à 00:17:31 »
...Il est possible de faire de la réparation de charge entre plusieurs acteurs qui ont des miroirs autour du monde...
...Ne voulais-tu pas dire répartition ? 

vivien

  • Administrateur
  • *
  • Messages: 29 368
    • Twitter LaFibre.info
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #14 le: 24 août 2017 à 22:10:53 »
Mail que je viens d'envoyer :

(en Anglais)
Citer
Hello,

Ubuntu mirrors are currently available with two protocols: http and ftp (+ rsync for synchronization)

Would it be possible to remove ftp, which is an obsolete protocol, and to add the possibility to the mirrors that wish to propose https in addition to http?

Note that Debian will no longer offer FTP from 1 November 2017: https://www.debian.org/News/2017/20170425.en.html the FTP protocol is inefficient and requires adding awkward kludges to firewalls and load-balancing daemons.

I see 3 advantages to using https:

- https obscures the packages you download: it is more complicated for someone listening to your internet connection to know your version of Ubuntu and can not know which packages you download.

- https allows to bypass the limitations on port 80: proxies block content, when some keyword appears in the URL.

- https can finally complicate an attack, if a vulnerability makes it possible to bypass the end-to-end signature with GPG like this bug 1647467: https://bugs.launchpad.net/ubuntu/+source/apt/+bug/1647467

I maintain a mirror available in https: https://bouyguestelecom.ubuntu.lafibre.info/
I do not have the possibility today to reference the fact that my mirror proposes https.

Regards,
Vivien GUEANT

La version française :
Citer
Bonjour,

Les miroirs Ubuntu sont actuellement disponibles avec deux protocoles : http et ftp (+rsync pour la synchronisation)

Serait-il possible de supprimer ftp, qui est un protocole obsolète, et de rajouter la possibilité aux miroirs qui le souhaitent de proposer https en plus de http ?

A noter que Debian ne va plus proposer de FTP à partir du 1er novembre 2017 : https://www.debian.org/News/2017/20170425.fr.html le protocole FTP est peu efficace et demande l'ajout de bidouillages compliqués pour les pare-feu et les démons de répartition de charge.


Je vois 3 avantages à utiliser https :

- https obscurcit les paquets que vous téléchargez : il est plus compliqué pour une personne écoutant votre connexion internet de connaître votre version d'Ubuntu et impossible de savoir quels paquets vous téléchargez.

- https permet de contourner les limitations sur le port 80: des proxy bloquent du contenus, quand certains mot-clef apparaissent dans l’URL.

- https permet enfin de compliquer une attaque, si une vulnérabilité fait qu'il est possible de contourner la signature de bout en bout avec GPG comme ce bug 1647467 : https://bugs.launchpad.net/ubuntu/+source/apt/+bug/1647467

Je maintien un miroir disponible en https: https://bouyguestelecom.ubuntu.lafibre.info/
Je n'ai pas aujourd'hui la possibilité de référencer le fait que mon miroir propose du https.

Cordialement,
Vivien GUEANT

Breizh 29

  • Client Bouygues ADSL +
  • Client Orange adsl
  • *
  • Messages: 4 160
  • FTTNRA sur Guilers 29820 (29N)
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #15 le: 09 septembre 2017 à 09:30:57 »
Vive le FTP, https ok mais pas en supprimant le FTP  >:(
C'est un protocole simple et très fonctionnel.

vivien

  • Administrateur
  • *
  • Messages: 29 368
    • Twitter LaFibre.info
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #16 le: 09 septembre 2017 à 09:45:32 »
Pour information, mon mail n'a pas eu de réponse.

Si Ubuntu permet de référencer un miroir en FTP sur https://launchpad.net/ubuntu/+archivemirrors , il ne permet plus aux clients de l'utiliser sans modifier a la main /etc/apt/sources.list

C'est un protocole très complexe pour les NAT et qui ne passe pas sur certains réseaux : En effet, il faut modifier l'IP privée en IP publique dans les paquets de commande FTP.

Dans les arguments de Debian pour arrêter le FTP, il y a la sécurité : le FTP propose de nombreux angles d'attaque. Par exemple, dans la configuration d'un serveur, il ne faut pas oublier de mettre "AllowForeignAddress off" pour interdir au client d'indiquer des IP qui ne sont pas les siennes (et oui FTP permet ce type de truc tordu)

Bref, je suis preneur d'un cas où le FTP est plus pertinent que le http pour la mise à jour d'Ubuntu.

Gabi

  • Client SFR sur réseau Numericable
  • *
  • Messages: 65
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #17 le: 10 septembre 2017 à 00:08:37 »
Vive le FTP, https ok mais pas en supprimant le FTP  >:(
C'est un protocole simple et très fonctionnel.

Pour avoir maintenu une implèmentation d'un serveur FTP, non, FTP n'est ni "simple", ni "fonctionnel", dans le sens où il y a à peu près autant d'implèmentations différentes que de serveurs et de clients...
HTTP n'est certes pas la panacée, mais FTP pose beaucoup de problèmes en pratique.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 341
  • Lyon & Paris
    • MilkyWan
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #18 le: 10 septembre 2017 à 00:32:47 »
+1, j'éradique FTP où je peux.

vivien

  • Administrateur
  • *
  • Messages: 29 368
    • Twitter LaFibre.info
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #19 le: 10 septembre 2017 à 08:55:56 »
Pour avoir maintenu une implèmentation d'un serveur FTP
Laquelle par curiosité ?

J'utilisais ProFTPD dans le passé. Il est toujours activement maintenu : La dernière version majeure est sortie en avril 2017.

Optix

  • AS203679 NEWSOO
  • Expert
  • *
  • Messages: 674
  • Strasbourg (67)
    • Newsoo
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #20 le: 10 septembre 2017 à 11:13:57 »
Pour information, mon mail n'a pas eu de réponse.
Normal, HTTPS a plus d'inconvénient que d'avantages. Regarde ton premier message :

- Tu avances l'argument de la vie privée : on parle de mise à jour d'un OS là. Donc faire un lien entre une "vie" et une mise à jour... wouah. En quoi ça intéresse les Nestlé, les Unilever, les Kraft Foods, les Lactalis, etc de savoir que tu passes de kernel 36 à 37 ?

- Tu parles d'un proxy que les gens ne contrôlent pas. Au contraire, c'est clairement un avantage pour HTTP, un proxy ça défonce sa maman quand tu mets à jour tout ton LAN avec du cache en interne. C'est super efficace sur une longue liste de petits paquets où 1 requête = 1 paquet.

- Tu dis qu'HTTP a eu une faille, mais qu'elle est corrigée. Baaah si elle est corrigée, c'est tant mieux pour HTTP.

Dans les arguments de Debian pour arrêter le FTP, il y a la sécurité : le FTP propose de nombreux angles d'attaque. Par exemple, dans la configuration d'un serveur, il ne faut pas oublier de mettre "AllowForeignAddress off" pour interdir au client d'indiquer des IP qui ne sont pas les siennes (et oui FTP permet ce type de truc tordu)
Ca n'a rien d'un truc tordu. On appelle ça du FXP. C'est très utilisé pour faire des migrations de serveur à serveur... tout en restant sur son client dans un contexte où les gens étaient en ADSL, voire moins et qu'il était impensable d'utiliser sa propre connexion. Genre bouger l'hébergement d'un site d'un shared à un autre, et certains fichiers lourds. Ca évite de downloader et de réuploader comme un con. Là, pouf, tu fous direct de l'ancien serveur vers le nouveau avec un drag'n'drop. Ca m'a aidé de nombreuses fois. ;)

Bref, je suis preneur d'un cas où le FTP est plus pertinent que le http pour la mise à jour d'Ubuntu.
Grosso-modo, c'est utile pour les grosses mises à jour avec de petites connexions. Le FTP garde une session active tout le long (avec HTTP non, sauf KeepAlive, mais avec des petites connexions tu oublies, ça timeout), le FTP a très peu d'overhead dans chaque requête (avec HTTP on s'en fout de connaitre ton navigateur, le contenu accepté ou le serveur utilisé), et FTP transfère en binaire de base (même poids de fichier = poids de téléchargement, là où HTTP te fait des surprises en transférant en base64 qui rajoute 1/3 du poids lol, ou du chunked qui rajoute de l'hexa durant le transfert).

Perso j'utilise HTTP, notamment pour pouvoir mettre en cache les fichiers téléchargés via un proxy. Une fois que tu as gouté à ça, chaque MàJ devient un plaisir :)

Gabi

  • Client SFR sur réseau Numericable
  • *
  • Messages: 65
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #21 le: 10 septembre 2017 à 21:47:27 »
Laquelle par curiosité ?

En fait, c'était une implèmentation propriétaire. On avait implèmenté un serveur FTP/FTPS qui était mappé directement sur du Azure Storage (sans utiliser de système de fichiers local). Bref, c'était un travail d'équilibriste entre coller aux RFC et supporter les implèmentations merdiques de clients FTP qui peuvent exister dans des systèmes d'entreprise un peu legacy...
Sans compter la gestion des ports en FTP qui complexifie les déploiements dès qu'on essaie de faire du load-balancing :)

vivien

  • Administrateur
  • *
  • Messages: 29 368
    • Twitter LaFibre.info
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #22 le: 11 septembre 2017 à 08:45:46 »
Je ne demande pas d'imposer https par défaut : je demande de le proposer en plus de http.

- Tu avances l'argument de la vie privée : on parle de mise à jour d'un OS là. Donc faire un lien entre une "vie" et une mise à jour... wouah. En quoi ça intéresse les Nestlé, les Unilever, les Kraft Foods, les Lactalis, etc de savoir que tu passes de kernel 36 à 37 ?
Si ton lien est sur écoute, cela permet de savoir quels logiciels tu possèdes avec quelles faille de sécurité, vu qu'il connaît avec exactitude le fichier téléchargé ou qui n'a pas été téléchargé au vu de ton historique.

- Tu parles d'un proxy que les gens ne contrôlent pas.
Je parle de proxy qui vont bloquer ta mise à jour au cause de la présence d'une chaîne de caractère interdite.
J'ai déjà été empêché d'accéder à un phpmyadmin en http depuis une grande entreprise pour ces raisons. Passer le phpmyadmin en https et le proxy ne peut plus te bloquer.

- Tu dis qu'HTTP a eu une faille, mais qu'elle est corrigée. Baaah si elle est corrigée, c'est tant mieux pour HTTP.
Si il y a déjà eu une faille, cela pourrait se reproduire. Bref en sécurité on préfère empiler les sécurités, comme ça en cas de défaillance d'une sécurité, cela limite ce qu'il est possible de faire. Les hackers sont obligés d'utilisés plusieurs failles pour réussir.

vivien

  • Administrateur
  • *
  • Messages: 29 368
    • Twitter LaFibre.info
Demander à Canonical de rajouter https pour les mises à jour d'Ubuntu ?
« Réponse #23 le: 22 décembre 2017 à 21:22:51 »
Question posée à Canonical en marge d'un échange sur push mirroring : Is-it possible to reference on https://launchpad.net/ubuntu/+mirror/bouygues-telecom hosting Ubuntu mirror in http secure (https in addition of http and rsync)

Would it be possible to remove ftp, which is an obsolete protocol, and to add the possibility to the mirrors that wish to propose https in addition to http?

Note that Debian will no longer offer FTP from 1 November 2017: https://www.debian.org/News/2017/20170425.en.html the FTP protocol is inefficient and requires adding awkward kludges to firewalls and load-balancing daemons.


La  réponse : So, short answer, there's no reason you can't drop FTP, as far as I know it's not a requirement for even a country mirror.  In terms of adding HTTPS, there's quite a bit of complexity there and it's something we've been discussing but haven't reach a point where there's a good path going forward.  We'd have to manage the SSL certificate for you, for example, if you wanted to support HTTPS on the fr.archive.ubuntu.com virtual host, among other things.  It is something we're actively working on supporting and have a strong interest in doing, though I can't give you a timeline for it.

Traduction rapide de la réponse : Donc, pour répondre rapidement, il n'y a aucune raison pour laquelle vous ne pouvez pas abandonner le FTP, pour autant que je sache que ce n'est même pas une obligation pour un miroir de pays. Pour ce qui est de l'ajout du protocole HTTPS, cela entraîne beaucoup de complexité et c'est quelque chose dont nous avons discuté, mais qui n'est pas prêt. Nous devrons gérer le certificat SSL pour vous, par exemple, si vous souhaitez prendre en charge HTTPS sur l'hôte virtuel fr.archive.ubuntu.com, entre autres choses. C'est quelque chose que nous travaillons activement à soutenir et qui nous intéresse vivement, même si je ne peux pas vous donner un échéancier.

 

Mobile View