アカウント名:
パスワード:
インストールイメージには意外と付いてないんだよね。あっても、標準のダウンロードページでは積極的に案内されてなかったりするし、例えば、 https://www.debian.org/distrib/ [debian.org] http://www.ubuntu.com/download/desktop [ubuntu.com] では電子署名の所在がよく分からなくて、何も考えずにダウンロードすると ISO とかが直接落ちてくるリンクを踏んじゃう感じ。
ディレクトリのインデックスに飛ぶリンクを踏めば、 http://cdimage.debian.org/debian-cd/8.3.0/amd64/bt-cd/ [debian.org] http://ftp.jaist.ac.jp/pub/Linux/ubuntu-releases/15.10/ [jaist.ac.jp] のように電子署名(.gpg や .sign)のファイルが見つかるけど、 http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/curr... [debian.org]
大分前に指摘されている [blogspot.jp]のに未だに何も改善してないのが驚きです。ハッシュ値自体の改竄についても、今はLet's Encryptで手軽にSSLが使えるのに。
今回はWebサイトでホストしているファイルを改竄されたということなので、HTTPS等のプロトコルでの対策は有効ではありません。また、ユーザーはWebサイト上のリンクを踏んでダウンロードサイトに向かうはずですから、仮にイメージをホストするサーバー、証明書を分けるなどしても対策にはならないでしょう。
GPG公開鍵も駆け出しの利用者は持っていないはずです。そう簡単に回避できる問題ではないですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
電子署名が欲しいけど (スコア:5, 参考になる)
インストールイメージには意外と付いてないんだよね。
あっても、標準のダウンロードページでは積極的に案内されてなかったりするし、
例えば、
https://www.debian.org/distrib/ [debian.org]
http://www.ubuntu.com/download/desktop [ubuntu.com]
では電子署名の所在がよく分からなくて、何も考えずにダウンロードすると ISO とかが直接落ちてくるリンクを踏んじゃう感じ。
ディレクトリのインデックスに飛ぶリンクを踏めば、
http://cdimage.debian.org/debian-cd/8.3.0/amd64/bt-cd/ [debian.org]
http://ftp.jaist.ac.jp/pub/Linux/ubuntu-releases/15.10/ [jaist.ac.jp]
のように電子署名(.gpg や .sign)のファイルが見つかるけど、
http://ftp.nl.debian.org/debian/dists/jessie/main/installer-amd64/curr... [debian.org]
uxi
Re: (スコア:0)
大分前に指摘されている [blogspot.jp]のに未だに何も改善してないのが驚きです。
ハッシュ値自体の改竄についても、今はLet's Encryptで手軽にSSLが使えるのに。
Re:電子署名が欲しいけど (スコア:1)
今回はWebサイトでホストしているファイルを改竄されたということなので、HTTPS等のプロトコルでの対策は有効ではありません。
また、ユーザーはWebサイト上のリンクを踏んでダウンロードサイトに向かうはずですから、仮にイメージをホストするサーバー、証明書を分けるなどしても対策にはならないでしょう。
GPG公開鍵も駆け出しの利用者は持っていないはずです。そう簡単に回避できる問題ではないですね。