• [^] # Re: Mirror ?

    Posté par . En réponse au journal Sortie de Linux Mint bêta. Évalué à 2.

    Au risque de te décevoir, je ne t'ai pas attendu pour connaitre les attaques MiM.

    Juste que je ne vois pas l'intérêt du HTTPs dans ce cas, sauf à suivre la mode du HTTPs anywhere. Autant le HTTPs se justifie lorsque le client envoit des donnees au serveur. Autant pour un téléchargement. Et le SHA256sum est également sur le site principale. Je trouverais plutôt insecure de tester intégrité de l'ISO avec des informations stockées au même endroit, donc susceptible d'être également corrompu. Je serais donc d'avis que les miroirs ne fournissent pas le SHA256sum.

    De plus, le HTTPs te garantie que le serveur est légitime dans l'utilisation du FQDN. Je peux très bien monter un HTTPs et me déclarer miroir sans être pour autant légitime. Donc méfiance également sur ce point, le HTTPs ne garantirait rien dans ce cas, il faudrait mieux, comme les premiers commentaires le laissent entendre donner un lien vers le téléchargement principal, qui est plus digne de confiance que les téléchargements miroirs. À l'utilisateur ensuite de choisir son miroir.

    Tu parles de Ubuntu et Debian qui ne proposent pas le téléchargement en HTTPs, peut être ont-ils de bonnes raisons, avant d'affirmer qu'ils s'en foutent.

    Bref, je continue à penser que le HTTPs ne sert à rien dans ce cas. Mieux vaut déjà arriver sur le miroir depuis une source sûre (cela reste relatif), et vérifier l'intégrité depuis une autre source.