Pourquoi ? Ce sont des ISO officielles.
Les tests qualité ont été réussis, les bêtas sont publiées pour tests et remontées de bogues. https://community.linuxmint.com/iso
Des ISO officielles c'est sur le site officiel. La c'est un site perdu (il faut voir la gueule de la page principale de gwendallebihan.net…) qui n'a rien d'officiel.
Comment sais-tu que c'est l'ISO officielle et pas un site quelconque qui a fait ses ISOs?
Désolé, perso je ne vois aucun lien officiel.
il faut voir la gueule de la page principale de gwendallebihan.net >
Ben oui, justement, c'est un patche ("it's a patche"). Enfin, non, le retour du patche (le patch 2) tout comme on a eu "le parrain 2", "rambo 2", "u 2"… oups, je m'égare.
Enfin, même si le lien n'est pas sûr, l'information, elle, fait plaisir.
Le site internet de linux mint a été attaqué et ils ont été très transparents sur la situation qui était relativement grave. Cependant, cela ne touchait pas leur produit, c'est à dire la distribution elle-même.
Je trouve dommage et un peu fatiguant qu'à chaque fois que linux mint est évoqué, on dise, même pour rigoler, que linux mint = insécurité.
Cela ne peut-il pas encourager la non transparence ?
je pense que le commentaire faisait allusion à un lien qui ne pointe pas vers le site officiel, ce qui pourrait tout aussi bien s'apparenter à du phishing.
Vu le contexte récent du projet je trouve le commentaire pertinent.
Ca aurait été la dernière RHEL ou la dernière Ubuntu que le problème serait identique (site dont on ne connait rien), perso je ne vois pas l’intérêt de "Avec les problèmes récents" car même sans les problèmes récents c'est un journal "dangereux" dans le sens où il point sur un truc bizarre.
Après, si les mecs de la distro en viennent à dire que c'est l'ISO officielle, la on pourra prendre peur (et beaucoup : même pas de HTTPS sur ce lien…)
Si tu l'es, tu devrais te renseigner sur L'attaque de l'homme du milieu.
sans HTTPS, tu n'as aucune garantie que l'ISO que tu télécharges est celle qui est sur le serveur (en plus de ne pas savoir si le serveur est légitime). Et ce n'est pas les SHA256sum qui va t'aider (il est au même endroit donc tout autant falsifiable).
Après, je sais que les gens s'en foutent un peu de télécharger tout et n'importe quoi en étant à poil (même le site d'Ubuntu ne supporte pas le HTTPS, le site de Debian ou de CentOS supportent HTTPS mais redirige vers un download HTTP, et après on après de sécurité meilleure sous Linux…), certes… (ouais, ok, pas "avoir plus peur", mais plutôt "avoir autant peur qu'avec les autres").
HTTPS Everywhere, sauf à la source pour installer une distro, cordonniers les plus mal chaussés tout ça ;-).
(qu'on se rassure : pour Windows, c'est pareil, HTTPS qui redirige vers HTTP)
Perso je n'ai aucune confiance en httpS qui peut être MITM par n'importe quel état.
Directement postés sur Torrent par l'auteur, c'est la seule garantie (torrent et P2P/F2F sont les seuls mécanismes prouvé capable de résister aux pirates, censures, corruptions).
Si non, si on a un hash dont on est "sûr" pour vérifier le téléchargement, OSEF de la source.
Au risque de te décevoir, je ne t'ai pas attendu pour connaitre les attaques MiM.
Juste que je ne vois pas l'intérêt du HTTPs dans ce cas, sauf à suivre la mode du HTTPs anywhere. Autant le HTTPs se justifie lorsque le client envoit des donnees au serveur. Autant pour un téléchargement. Et le SHA256sum est également sur le site principale. Je trouverais plutôt insecure de tester intégrité de l'ISO avec des informations stockées au même endroit, donc susceptible d'être également corrompu. Je serais donc d'avis que les miroirs ne fournissent pas le SHA256sum.
De plus, le HTTPs te garantie que le serveur est légitime dans l'utilisation du FQDN. Je peux très bien monter un HTTPs et me déclarer miroir sans être pour autant légitime. Donc méfiance également sur ce point, le HTTPs ne garantirait rien dans ce cas, il faudrait mieux, comme les premiers commentaires le laissent entendre donner un lien vers le téléchargement principal, qui est plus digne de confiance que les téléchargements miroirs. À l'utilisateur ensuite de choisir son miroir.
Tu parles de Ubuntu et Debian qui ne proposent pas le téléchargement en HTTPs, peut être ont-ils de bonnes raisons, avant d'affirmer qu'ils s'en foutent.
Bref, je continue à penser que le HTTPs ne sert à rien dans ce cas. Mieux vaut déjà arriver sur le miroir depuis une source sûre (cela reste relatif), et vérifier l'intégrité depuis une autre source.
Si tu l'es, tu devrais te renseigner sur L'attaque de l'homme du milieu.
sans HTTPS, tu n'as aucune garantie que l'ISO que tu télécharges est celle qui est sur le serveur (en plus de ne pas savoir si le serveur est légitime). Et ce n'est pas les SHA256sum qui va t'aider (il est au même endroit donc tout autant falsifiable).
Je trouve l'approche de Fedora intéressante.
Les ISOs sont en HTTP mais les hashs sont hébergés sur le site officiel en HTTPS. Cela évite à gaspiller des ressources pour chiffrer une communication lourde et pas confidentielle.
C'est en effet intéressant si on se fait la police à tester le SHA256sum, l'avantage de HTTPS est que le MITM est plus facilement détecté (au prix de ressource CPU certes) sans étape intermédiaire.
Et vous, vous testez vos SHA256sum quand vous installez une distro? J'avoue : pas moi, trop la flemme (mais ça reste dans une VM et je ne suis pas une personne intéressante pour les MITM, et pour les serveurs je me repose sur les compétences de l'hébergeur pour vérifier qu'il ne se fait pas trouer)
Et vous, vous testez vos SHA256sum quand vous installez une distro?
Oui après téléchargement, mais depuis quelques temps, je me poses des questions à propos des clés USB servant à l'installation (parait que les chinois ont planqués des virus dans certaines, est-ce vrai ou non je sais pas, mais ça me fait flipper ^ ^ )
Et vous, vous testez vos SHA256sum quand vous installez une distro?
Je le faisais systématiquement. C'est pas bien compliqué, c'est une ligne de commande. En termes de perte de temps, c'est minime par rapport au temps passé à installer la distro, installer les paquets que j'aime bien, tout ça.
Après, ça fait longtemps que je ne l'ai pas fait, tout simplement parce que depuis que je suis sur une rolling release, ça fait longtemps que j'ai pas installé de distro. Fut un temps où je changeais régulièrement de distro, pour tester, voir ce qui se faisait ailleurs, voir la philosophie de la distro, tout ça. Et puis j'ai fini par trouver que les distribs se ressemblaient de plus en plus, qu'elles proposent les mêms paquets, que c'est juste les numéros de versions qui changent, et j'ai testé Archlinux, elle m'a plu, je n'ai plus de mises à jour massives tous les 6 mois, je l'ai gardée. Du coup, par effet de bord, plus de sha256 à vérifier :P
Ça, ce sont les sources. Le mouton que tu veux est dedans.
Les ISOs sont en HTTP mais les hashs sont hébergés sur le site officiel en HTTPS. Cela évite à gaspiller des ressources pour chiffrer une communication lourde et pas confidentielle.
Mieux, via torrent tu as le choix (crypto souhaité, pas de crypto, crypto obligatoire). Et au lieu de bouffer les ressources d'un serveur payant, tu consommes ceux des autres users fier de partager :)
Si l‘iso transite en HTTPS elle ne peut pas être lu, donc, pas être modifiée simplement, car ça « romprait » le chiffrement.
En HTTPS, modifier l’ISO entre toi et le serveur que tu utilises c’est plus dur, car il faut arriver à tromper les deux côtés sur la chaîne de confiance des certificats.
En HTTPS, modifier l’ISO entre toi et le serveur que tu utilises c’est plus dur, car il faut arriver à tromper les deux côtés sur la chaîne de confiance des certificats.
cela n'est pas très compliqué en entreprise où le proxy et la souche de bureau déployée sur les clients sont maîtrisés (il suffit d'avoir une PKI d'entreprise, intégrée à la souche sur le bureau que tu utilises). Cela coûte d'avoir du L7 pour casser le HTTPS, mais le mitm dans ce cas ne se voit pas et est conforme à la charte que tu as signée pour bosser et te voir octroyé un poste maîtrisé par l'entreprise.
Une fois que j'ai eu compris cette chaîne de bout en bout, j'ai eu un peu plus de mal à signer la charte de « confidentialité » qui m'est demandée (et pour laquelle je fais partie des rares personnes à la lire avant de la signer…).
à un lien qui ne pointe pas vers le site officiel, ce qui pourrait tout aussi bien s'apparenter à du phishing.
Ça fait quand même des années que je vois les miroirs de Gwendal Le Bihan pour LinuxMint, alors non, ce n'est pas un site qui est louche. Même sur une vieille version de Mint, il est cité : https://linuxmint.com/edition.php?id=114 (d'ailleurs la plupart du temps je télécharge là mes iso de mint)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
"Cinnamon /…/ et surtout léger (En version 64bits, on est à approximativement 475Mo de RAM consommé !"
Le nouveau thème semble bien. C'est une bonne chose de ne pas l'avoir poussé, et mis par défaut. Ils ont compris qu'une certaine partie des utilisateurs souhaite garder ses marques et habitudes (prenez en de la graine, gnome3, google et compagnie). Les autres sauront trouver le nouveau thème facilement.
J'espère en tout cas que la version KDE utilisera KDE 5 et non plus KDE 4 (même si ça paraît un peu en contradiction avec ce que j'ai pu écrire plus haut)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
Posté par EauFroide .
Évalué à 1.
Dernière modification le 14 juin 2016 à 12:31.
en ligne de commande il y a PHP, peut-être Python. Bash possède aussi des fonctions pour checker les hash (et vu que microsoft a annoncé que bash pouvait fonctionner sur windobe, c'est multi plateforme maintenant).
Les logiciels de torrent / P2P / F2F sont aussi capable (il suffit d'ajouter un fichier en partage, le logiciel va le scanner puis clique droit, propriété et dedans tu pourra trouver ton hash mais t'as accès qu'a un seul algo avec eux)
# Debian?
Posté par pizaninja . Évalué à 3.
Jamais sans ma LMDE (Mint without ubuntu)…
# Mirror ?
Posté par afby . Évalué à 10.
Avec les problèmes récents, publier un lien comme celui ci n'est pas très judicieux à mon avis…
[^] # Re: Mirror ?
Posté par NumOpen . Évalué à 0.
Pourquoi ? Ce sont des ISO officielles.
Les tests qualité ont été réussis, les bêtas sont publiées pour tests et remontées de bogues.
https://community.linuxmint.com/iso
[^] # Re: Mirror ?
Posté par Frank-N-Furter . Évalué à 3.
Il parle de ça j'imagine.
Depending on the time of day, the French go either way.
[^] # Re: Mirror ?
Posté par Zenitram (site web personnel) . Évalué à 1.
Des ISO officielles c'est sur le site officiel. La c'est un site perdu (il faut voir la gueule de la page principale de gwendallebihan.net…) qui n'a rien d'officiel.
Comment sais-tu que c'est l'ISO officielle et pas un site quelconque qui a fait ses ISOs?
Désolé, perso je ne vois aucun lien officiel.
[^] # Re: Mirror ?
Posté par Bayet Thierry . Évalué à 3.
Ben oui, justement, c'est un patche ("it's a patche"). Enfin, non, le retour du patche (le patch 2) tout comme on a eu "le parrain 2", "rambo 2", "u 2"… oups, je m'égare.
Enfin, même si le lien n'est pas sûr, l'information, elle, fait plaisir.
[^] # Re: Mirror ?
Posté par NumOpen . Évalué à 3.
L'annonce officielle est sur https://www.linuxmint.com/release.php?id=27
[^] # Re: Mirror ?
Posté par NumOpen . Évalué à 1.
Et là aussi, il y a une annonce officielle : http://blog.linuxmint.com/?p=3038
Un article de présentation : http://www.nextinpact.com/news/100204-linux-mint-18-sarah-beta-devoile-nouvelle-interface.htm
[^] # Re: Mirror ?
Posté par Cyprien (site web personnel) . Évalué à 3.
Le site internet de linux mint a été attaqué et ils ont été très transparents sur la situation qui était relativement grave. Cependant, cela ne touchait pas leur produit, c'est à dire la distribution elle-même.
Je trouve dommage et un peu fatiguant qu'à chaque fois que linux mint est évoqué, on dise, même pour rigoler, que linux mint = insécurité.
Cela ne peut-il pas encourager la non transparence ?
[^] # Re: Mirror ?
Posté par Seb . Évalué à 4.
je pense que le commentaire faisait allusion à un lien qui ne pointe pas vers le site officiel, ce qui pourrait tout aussi bien s'apparenter à du phishing.
Vu le contexte récent du projet je trouve le commentaire pertinent.
[^] # Re: Mirror ?
Posté par Zenitram (site web personnel) . Évalué à 0. Dernière modification le 08 juin 2016 à 17:49.
Ca aurait été la dernière RHEL ou la dernière Ubuntu que le problème serait identique (site dont on ne connait rien), perso je ne vois pas l’intérêt de "Avec les problèmes récents" car même sans les problèmes récents c'est un journal "dangereux" dans le sens où il point sur un truc bizarre.
Après, si les mecs de la distro en viennent à dire que c'est l'ISO officielle, la on pourra prendre peur (et beaucoup : même pas de HTTPS sur ce lien…)
[^] # Re: Mirror ?
Posté par Matthieu . Évalué à 1.
Pourquoi faudrait-il de l'HTTPs sur ce lien ?
[^] # Re: Mirror ?
Posté par Zenitram (site web personnel) . Évalué à 0. Dernière modification le 08 juin 2016 à 18:20.
???
tu es sérieux?
Si tu l'es, tu devrais te renseigner sur L'attaque de l'homme du milieu.
sans HTTPS, tu n'as aucune garantie que l'ISO que tu télécharges est celle qui est sur le serveur (en plus de ne pas savoir si le serveur est légitime). Et ce n'est pas les SHA256sum qui va t'aider (il est au même endroit donc tout autant falsifiable).
Après, je sais que les gens s'en foutent un peu de télécharger tout et n'importe quoi en étant à poil (même le site d'Ubuntu ne supporte pas le HTTPS, le site de Debian ou de CentOS supportent HTTPS mais redirige vers un download HTTP, et après on après de sécurité meilleure sous Linux…), certes… (ouais, ok, pas "avoir plus peur", mais plutôt "avoir autant peur qu'avec les autres").
HTTPS Everywhere, sauf à la source pour installer une distro, cordonniers les plus mal chaussés tout ça ;-).
(qu'on se rassure : pour Windows, c'est pareil, HTTPS qui redirige vers HTTP)
[^] # Re: Mirror ?
Posté par EauFroide . Évalué à -4.
Perso je n'ai aucune confiance en httpS qui peut être MITM par n'importe quel état.
Directement postés sur Torrent par l'auteur, c'est la seule garantie (torrent et P2P/F2F sont les seuls mécanismes prouvé capable de résister aux pirates, censures, corruptions).
Si non, si on a un hash dont on est "sûr" pour vérifier le téléchargement, OSEF de la source.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Mirror ?
Posté par KiKouN . Évalué à 3.
Et ton hash, tu l'as comment ? En https ou en torrents ?
Les hashs fournis à côté d'un lien ou dans un .torrents ne servent qu'à garantir l'intégrité du dit fichier ( hacké ou pas ).
Il faut que ce hash soit signé à côté par l'auteur et obtenir la clé public de l'auteur par un moyen de confiance.
[^] # Re: Mirror ?
Posté par Matthieu . Évalué à 2.
Au risque de te décevoir, je ne t'ai pas attendu pour connaitre les attaques MiM.
Juste que je ne vois pas l'intérêt du HTTPs dans ce cas, sauf à suivre la mode du HTTPs anywhere. Autant le HTTPs se justifie lorsque le client envoit des donnees au serveur. Autant pour un téléchargement. Et le SHA256sum est également sur le site principale. Je trouverais plutôt insecure de tester intégrité de l'ISO avec des informations stockées au même endroit, donc susceptible d'être également corrompu. Je serais donc d'avis que les miroirs ne fournissent pas le SHA256sum.
De plus, le HTTPs te garantie que le serveur est légitime dans l'utilisation du FQDN. Je peux très bien monter un HTTPs et me déclarer miroir sans être pour autant légitime. Donc méfiance également sur ce point, le HTTPs ne garantirait rien dans ce cas, il faudrait mieux, comme les premiers commentaires le laissent entendre donner un lien vers le téléchargement principal, qui est plus digne de confiance que les téléchargements miroirs. À l'utilisateur ensuite de choisir son miroir.
Tu parles de Ubuntu et Debian qui ne proposent pas le téléchargement en HTTPs, peut être ont-ils de bonnes raisons, avant d'affirmer qu'ils s'en foutent.
Bref, je continue à penser que le HTTPs ne sert à rien dans ce cas. Mieux vaut déjà arriver sur le miroir depuis une source sûre (cela reste relatif), et vérifier l'intégrité depuis une autre source.
[^] # Re: Mirror ?
Posté par Renault (site web personnel) . Évalué à 7.
Je trouve l'approche de Fedora intéressante.
Les ISOs sont en HTTP mais les hashs sont hébergés sur le site officiel en HTTPS. Cela évite à gaspiller des ressources pour chiffrer une communication lourde et pas confidentielle.
[^] # Re: Mirror ?
Posté par Zenitram (site web personnel) . Évalué à 1.
C'est en effet intéressant si on se fait la police à tester le SHA256sum, l'avantage de HTTPS est que le MITM est plus facilement détecté (au prix de ressource CPU certes) sans étape intermédiaire.
Et vous, vous testez vos SHA256sum quand vous installez une distro? J'avoue : pas moi, trop la flemme (mais ça reste dans une VM et je ne suis pas une personne intéressante pour les MITM, et pour les serveurs je me repose sur les compétences de l'hébergeur pour vérifier qu'il ne se fait pas trouer)
[^] # Re: Mirror ?
Posté par EauFroide . Évalué à 0.
Oui après téléchargement, mais depuis quelques temps, je me poses des questions à propos des clés USB servant à l'installation (parait que les chinois ont planqués des virus dans certaines, est-ce vrai ou non je sais pas, mais ça me fait flipper ^ ^ )
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Mirror ?
Posté par Liorel . Évalué à 4.
Je le faisais systématiquement. C'est pas bien compliqué, c'est une ligne de commande. En termes de perte de temps, c'est minime par rapport au temps passé à installer la distro, installer les paquets que j'aime bien, tout ça.
Après, ça fait longtemps que je ne l'ai pas fait, tout simplement parce que depuis que je suis sur une rolling release, ça fait longtemps que j'ai pas installé de distro. Fut un temps où je changeais régulièrement de distro, pour tester, voir ce qui se faisait ailleurs, voir la philosophie de la distro, tout ça. Et puis j'ai fini par trouver que les distribs se ressemblaient de plus en plus, qu'elles proposent les mêms paquets, que c'est juste les numéros de versions qui changent, et j'ai testé Archlinux, elle m'a plu, je n'ai plus de mises à jour massives tous les 6 mois, je l'ai gardée. Du coup, par effet de bord, plus de sha256 à vérifier :P
Ça, ce sont les sources. Le mouton que tu veux est dedans.
[^] # Re: Mirror ?
Posté par EauFroide . Évalué à 3.
Mieux, via torrent tu as le choix (crypto souhaité, pas de crypto, crypto obligatoire). Et au lieu de bouffer les ressources d'un serveur payant, tu consommes ceux des autres users fier de partager :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Mirror ?
Posté par Matthieu . Évalué à 1. Dernière modification le 08 juin 2016 à 19:20.
Pourquoi faudrait-il de l'HTTPs sur ce lien ?
[À supprimer - doublon]
[^] # Re: Mirror ?
Posté par Marotte ⛧ . Évalué à 3.
Si l‘iso transite en HTTPS elle ne peut pas être lu, donc, pas être modifiée simplement, car ça « romprait » le chiffrement.
En HTTPS, modifier l’ISO entre toi et le serveur que tu utilises c’est plus dur, car il faut arriver à tromper les deux côtés sur la chaîne de confiance des certificats.
[^] # Re: Mirror ?
Posté par BAud (site web personnel) . Évalué à 2.
cela n'est pas très compliqué en entreprise où le proxy et la souche de bureau déployée sur les clients sont maîtrisés (il suffit d'avoir une PKI d'entreprise, intégrée à la souche sur le bureau que tu utilises). Cela coûte d'avoir du L7 pour casser le HTTPS, mais le mitm dans ce cas ne se voit pas et est conforme à la charte que tu as signée pour bosser et te voir octroyé un poste maîtrisé par l'entreprise.
Une fois que j'ai eu compris cette chaîne de bout en bout, j'ai eu un peu plus de mal à signer la charte de « confidentialité » qui m'est demandée (et pour laquelle je fais partie des rares personnes à la lire avant de la signer…).
[^] # Re: Mirror ?
Posté par zurvan . Évalué à 3.
Ça fait quand même des années que je vois les miroirs de Gwendal Le Bihan pour LinuxMint, alors non, ce n'est pas un site qui est louche. Même sur une vieille version de Mint, il est cité : https://linuxmint.com/edition.php?id=114 (d'ailleurs la plupart du temps je télécharge là mes iso de mint)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
# Quelques infos sur cette nouvelle version
Posté par NumOpen . Évalué à 5.
http://www.linuxtricks.fr/news/10-logiciels-libres/120-dans-quelques-semaines-naitra-une-distribution-linux-parfaite/
http://www.omgubuntu.co.uk/2016/05/linux-mint-y-theme-default-18
http://fossbytes.com/linux-mint-18-features-list-release-date/
https://www.youtube.com/watch?v=Zpmp7REzVXE
[^] # Re: Quelques infos sur cette nouvelle version
Posté par zurvan . Évalué à 2.
Dans le premier lien, j'adore le :
"Cinnamon /…/ et surtout léger (En version 64bits, on est à approximativement 475Mo de RAM consommé !"
Le nouveau thème semble bien. C'est une bonne chose de ne pas l'avoir poussé, et mis par défaut. Ils ont compris qu'une certaine partie des utilisateurs souhaite garder ses marques et habitudes (prenez en de la graine, gnome3, google et compagnie). Les autres sauront trouver le nouveau thème facilement.
J'espère en tout cas que la version KDE utilisera KDE 5 et non plus KDE 4 (même si ça paraît un peu en contradiction avec ce que j'ai pu écrire plus haut)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
# Les sommes de contrôle
Posté par NumOpen . Évalué à 2.
http://mint-mirror.gwendallebihan.net/isos//testing/
Quelqu'un connaîtrait-il un logiciel libre et multi-plateforme pour calculer les sommes de contrôle ?
[^] # Re: Les sommes de contrôle
Posté par EauFroide . Évalué à 1. Dernière modification le 14 juin 2016 à 12:31.
en ligne de commande il y a PHP, peut-être Python. Bash possède aussi des fonctions pour checker les hash (et vu que microsoft a annoncé que bash pouvait fonctionner sur windobe, c'est multi plateforme maintenant).
Les logiciels de torrent / P2P / F2F sont aussi capable (il suffit d'ajouter un fichier en partage, le logiciel va le scanner puis clique droit, propriété et dedans tu pourra trouver ton hash mais t'as accès qu'a un seul algo avec eux)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.