Ici on n'a que votre IP, votre pseudo et votre adresse mail que nous ne traitons pas.
Quand vous êtes enregistrés, une seule requête permet de vous afficher les messages que vous n'avez pas lus.
Primtux8 est arrivée! Rendez-vous ici
Vous pouvez désormais vous inscrire librement en cliquant sur "S'enregistrer".

Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
passage des dépôts primtux en https
#1
Je me suis rendu compte que les dépôts primtux (notamment ici https://framagit.org/philippe-dpt35/prim...pi.sh#L70) était encore sous http et non https.

Ca peut être un point "sécurité" qui me semble assez important car il peut nous être reproché.
Je rappel que le soucis principal du http étant que du contenu frauduleux pourrait être injecté en lieu et place de certains paquets : https://fr.wikipedia.org/wiki/Attaque_de..._du_milieu

Bien évidemment, ce changement devrait s'appliquer à la Primtux 7 et le http devrait rester accessible pour que les utilisateurs des distribs précédentes ne soient pas impactés.

Plus tôt se sera fait et mieux nous soignerons notre image.
Maintenant, c'est comme tout : un point d'attention, pas une obligation donc on fait quand on peu. (et si c'est reporté à la Primtux 8, c'est pas une fin en soit)
Répondre
#2
Ils le sont: https://depot.primtux.fr/
Répondre
#3
En soit, qu'ils existent n'est pas suffisant si dans le source.list, on mentionne l'url en http.

Je propose un fix ici : https://framagit.org/philippe-dpt35/prim...ts/1/diffs
Répondre
#4
J'ai fait les changements sauf pour
https://ftp.fr.debian.org
qui ne répond pas.

Mais entre nous, quand on examine le source.list officiel de la Debian 10 :

Code :
deb http://deb.debian.org/debian/ buster main non-free
deb-src http://deb.debian.org/debian/ buster main

deb http://security.debian.org/debian-security buster/updates main
deb-src http://security.debian.org/debian-security buster/updates main

# buster-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ buster-updates main
deb-src http://deb.debian.org/debian/ buster-updates main
Répondre
#5
Pour les 2 paquets sur https://ftp.fr.debian.org, tu peux remplacer par https://ftp.debian.org : j'ai comparé les md5, c'est le même contenu
Répondre
#6
La 7 ubuntu est à jour de ce côté, sauf geogebra dont le dépôt n'est pas en https.
Répondre
#7
Pour geogerba, on peut pas récupérer le paquet et l'intégrer dans nos dépôts ?
Ca dépend j'imagine de 2 params : est-ce qu'ils font souvent des maj et est-ce que c'est compliqué (bcp de dépendances) ?
Si non, au moins c'est propre : tout est en https et le max de trucs hors périmètre des distribs mères passent sur nos dépôts.
Répondre
#8
Oui on peut mais les mises à jour sont fréquentes.
Répondre
#9
Steph a écrit :Oui on peut mais les mises à jour sont fréquentes.

Est-ce qu'elle valent le coup ? Si on intègre la dernière version une fois par an, ça devrait suffire, non ?
Répondre
#10
Il faut être sûr d'avoir une version fonctionnelle parce qu'il y en avait une qui foirait on a du la remplacer vite fait.
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)