Se connecter

**mothsart** · 24-09-2021, 23:26:15

Je me suis rendu compte que les dépôts primtux (notamment ici https://framagit.org/philippe-dpt35/prim...pi.sh#L70) était encore sous http et non https.

Ca peut être un point "sécurité" qui me semble assez important car il peut nous être reproché.
Je rappel que le soucis principal du http étant que du contenu frauduleux pourrait être injecté en lieu et place de certains paquets : https://fr.wikipedia.org/wiki/Attaque_de..._du_milieu

Bien évidemment, ce changement devrait s'appliquer à la Primtux 7 et le http devrait rester accessible pour que les utilisateurs des distribs précédentes ne soient pas impactés.

Plus tôt se sera fait et mieux nous soignerons notre image.
Maintenant, c'est comme tout : un point d'attention, pas une obligation donc on fait quand on peu. (et si c'est reporté à la Primtux 8, c'est pas une fin en soit)

***Steph*** · 25-09-2021, 09:37:22

Ils le sont: https://depot.primtux.fr/

**mothsart** · 25-09-2021, 12:51:17

En soit, qu'ils existent n'est pas suffisant si dans le source.list, on mentionne l'url en http.

Je propose un fix ici : https://framagit.org/philippe-dpt35/prim...ts/1/diffs

***Philippe Dpt35*** · 27-09-2021, 07:58:23

J'ai fait les changements sauf pour
https://ftp.fr.debian.org
qui ne répond pas.

Mais entre nous, quand on examine le source.list officiel de la Debian 10 :

Code :
deb http://deb.debian.org/debian/ buster main non-free

deb-src http://deb.debian.org/debian/ buster main

deb http://security.debian.org/debian-security buster/updates main

deb-src http://security.debian.org/debian-security buster/updates main

# buster-updates, previously known as 'volatile'

deb http://deb.debian.org/debian/ buster-updates main

deb-src http://deb.debian.org/debian/ buster-updates main

**mothsart** · 27-09-2021, 11:36:55

Pour les 2 paquets sur https://ftp.fr.debian.org, tu peux remplacer par https://ftp.debian.org : j'ai comparé les md5, c'est le même contenu

***Steph*** · 27-09-2021, 17:15:12

La 7 ubuntu est à jour de ce côté, sauf geogebra dont le dépôt n'est pas en https.

**mothsart** · 27-09-2021, 17:51:11

Pour geogerba, on peut pas récupérer le paquet et l'intégrer dans nos dépôts ?
Ca dépend j'imagine de 2 params : est-ce qu'ils font souvent des maj et est-ce que c'est compliqué (bcp de dépendances) ?
Si non, au moins c'est propre : tout est en https et le max de trucs hors périmètre des distribs mères passent sur nos dépôts.

***Steph*** · 27-09-2021, 18:04:23

Oui on peut mais les mises à jour sont fréquentes.

**mothsart** · 27-09-2021, 22:20:44

Steph a écrit :Oui on peut mais les mises à jour sont fréquentes.

Est-ce qu'elle valent le coup ? Si on intègre la dernière version une fois par an, ça devrait suffire, non ?

***Steph*** · 28-09-2021, 17:49:06

Il faut être sûr d'avoir une version fonctionnelle parce qu'il y en avait une qui foirait on a du la remplacer vite fait.

Se connecter
Utilisateur :
Mot de passe :	Mot de passe oublié ?
	Se rappeler