passage des dépôts primtux en https - Version imprimable +- PrimTux, la distribution éducative (https://forum.primtux.fr) +-- Forum : PrimTux: LA DISTRIBUTION: présentation, aide et développement (https://forum.primtux.fr/forumdisplay.php?fid=5) +--- Forum : Demandes d'évolution - Tests des iso - Développement (https://forum.primtux.fr/forumdisplay.php?fid=10) +--- Sujet : passage des dépôts primtux en https (/showthread.php?tid=1617) |
passage des dépôts primtux en https - mothsart - 24-09-2021 Je me suis rendu compte que les dépôts primtux (notamment ici https://framagit.org/philippe-dpt35/primtux6-rpi/-/blob/master/install-ptx6-rpi.sh#L70) était encore sous http et non https. Ca peut être un point "sécurité" qui me semble assez important car il peut nous être reproché. Je rappel que le soucis principal du http étant que du contenu frauduleux pourrait être injecté en lieu et place de certains paquets : https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu Bien évidemment, ce changement devrait s'appliquer à la Primtux 7 et le http devrait rester accessible pour que les utilisateurs des distribs précédentes ne soient pas impactés. Plus tôt se sera fait et mieux nous soignerons notre image. Maintenant, c'est comme tout : un point d'attention, pas une obligation donc on fait quand on peu. (et si c'est reporté à la Primtux 8, c'est pas une fin en soit) passage des dépôts primtux en https - Steph - 25-09-2021 Ils le sont: https://depot.primtux.fr/ passage des dépôts primtux en https - mothsart - 25-09-2021 En soit, qu'ils existent n'est pas suffisant si dans le source.list, on mentionne l'url en http. Je propose un fix ici : https://framagit.org/philippe-dpt35/primtux6-rpi/-/merge_requests/1/diffs passage des dépôts primtux en https - Philippe Dpt35 - 27-09-2021 J'ai fait les changements sauf pour https://ftp.fr.debian.org qui ne répond pas. Mais entre nous, quand on examine le source.list officiel de la Debian 10 : Code : deb http://deb.debian.org/debian/ buster main non-free passage des dépôts primtux en https - mothsart - 27-09-2021 Pour les 2 paquets sur https://ftp.fr.debian.org, tu peux remplacer par https://ftp.debian.org : j'ai comparé les md5, c'est le même contenu passage des dépôts primtux en https - Steph - 27-09-2021 La 7 ubuntu est à jour de ce côté, sauf geogebra dont le dépôt n'est pas en https. passage des dépôts primtux en https - mothsart - 27-09-2021 Pour geogerba, on peut pas récupérer le paquet et l'intégrer dans nos dépôts ? Ca dépend j'imagine de 2 params : est-ce qu'ils font souvent des maj et est-ce que c'est compliqué (bcp de dépendances) ? Si non, au moins c'est propre : tout est en https et le max de trucs hors périmètre des distribs mères passent sur nos dépôts. passage des dépôts primtux en https - Steph - 27-09-2021 Oui on peut mais les mises à jour sont fréquentes. passage des dépôts primtux en https - mothsart - 27-09-2021 Steph a écrit :Oui on peut mais les mises à jour sont fréquentes. Est-ce qu'elle valent le coup ? Si on intègre la dernière version une fois par an, ça devrait suffire, non ? passage des dépôts primtux en https - Steph - 28-09-2021 Il faut être sûr d'avoir une version fonctionnelle parce qu'il y en avait une qui foirait on a du la remplacer vite fait. |