Kein https:// für firmware-download?

mir fällt gerade auf, dass die Firmware nur per http://, nicht aber per https:// downloadbar ist.
Das erzeugt bei mir die Frage, ob das nicht besser nur per https:// möglich sein sollte?

2 Likes

Welchen Vorteil siehst du darin?

https für firmwareimages im autoupdater klingt nach ROT26…

hint: die Images sind bereits signed.

ist das eine Antwort auf eine Frage?

Und für die Factory Images könnte man eine Checksummen Datei erstellen, die man dann mit nem PGP Key von einem der Entwicklern signiert.

Alternativ kann man sich auch die Site.conf und die Site.mk inklusive Firmware Sourcecode der jeweiligen Community aus dem GIT laden, den Code auditen und sich seine Images selber backen. Dann ist man ganz auf der sicheren Seite.

1 Like

ich denke eher an das manuelle Downlaod für Flashen. Bei einem normalen Download wäre theoretisch ein Austausch möglch, da Server → User normal über Internet und damit völlig offen. D.h., Einschmuggeln einer mit einem Trojan geimpften Firmware wäre möglich, die nicht unbedingt gegen den zu flashenden Node gerichtet ist, sondern gegen den zum Flashen benutzen PC.

Oder bin ich paranoid?

[quote=„Pinky, post:6, topic:2761“]Einschmuggeln einer mit einem Trojan geimpften Firmware wäre möglich, die nicht unbedingt gegen den zu flashenden Node gerichtet ist, sondern gegen den zum Flashen benutzen PC.
[/quote]
Dafür müßte die Firmwaredatei „ausführbar“ auf deinem Rechner sein. Ansonsten würde ich die Sicherungsmethode mit Checksumme, die ich oben beschrieben habe, für ein höheres Sicherheitslevel vorschlagen. 100% Sicherheit gibt es aber dadurch auch nicht.

Wenn man den Download als solchen unterschieben kann, dann kann man auch die Checksumdatei ändern, es wäre also gar nichts gewonnen.

Was spricht eigentlich gegen HTTPS? Es ist 2015, Verschlüsselung by default macht inzwischen mehr Sinn, ist doch nicht so als würde es zu viel Rechenleistung kosten :smiley:

1 Like

Da das x.509 Zertifikate System mit seinen Zertifizierungsstellen in meinen Augen auch Broken by Design ist, sehe ich in diesem Anwendungsfall jetzt keinen Vorteil. Zentrale Fragestellung ist immer, vertraue ich dem Zertifikat das mir via HTTPS übermittelt wird?

Ne aber das :wink:

Ich persönlich habe jetzt nicht so das Verlangen nach HTTPS für den FW Download… Aber Schadet es? Und viel Arbeit ist das doch auch nicht.

1 Like

Inklusive die PGP Signatur von sagen wir mal @Nomaster oder @thomasDOTwtf?

PGP-Signatur ist was anderes, darüber kann man sich durchaus unterhalten :wink:
Natürlich vorrausgesetzt, dass eine Schlüsselinfrastruktur a la Arch Linux nicht zu viel Aufwand wäre. Immerhin muss man handeln können, dass Leute hinzukommen oder ausfallen, manchmal auch im Streit…

Kann mir aber vorstellen, dass insbesondere die Wuppertaler da Spaß dran haben :smiley:

Da das x.509 Zertifikate System mit seinen Zertifizierungsstellen in meinen Augen auch Broken by Design ist, sehe ich in diesem Anwendungsfall jetzt keinen Vorteil. Zentrale Fragestellung ist immer, vertraue ich dem Zertifikat das mir via HTTPS übermittelt wird?

Nur weil die NSA ihre eigenen CAs hat, die am Ende beliebige Zertifikate ausstellen, heißt das nicht, dass ich auch vor Angreifern mit weniger Ressourcen kapitulieren muss…

Am Ende ist es halt kaum Arbeit, den httpd auch TLS sprechen zu lassen. Und kostenlose Zertifikate gibt es auch. Warum jetzt großartig erörtern, wieso wir doch unverschlüsselt agieren können/dürfen/sollten?

nun, also noch einen Schritt weiter und hin zu HSTS - RFC 6797, DNSSEC und DANE

Edit
mag vielleicht zur Zeit rein theoretisch sein, aber irgendwann werden „Freunde“ auf die Idee kommen, die vielen im Freifunk verbundenen Nodes und Clients mal für ihre Zwecke auszunutzen. Ist einfach zu verlockend als dass das auf Dauer nicht versucht würde. Also vorplanen statt im Ernstfall hilflos dastehen.

Dagegen spricht derzeit, daß ich noch keinen kostenlosen Anbieter für Domain-Zertifikate gefunden habe.
Ein einzelner Host? - geschenkt- aber verschiedene Hosts in einer Domain kosten m.W. immer noch Geld (ca. 100€/Jahr nach meinem Kenntnis-Stand), und das ist es mir als Hobbyist einfach nicht wert :wink:

ich wär sofort bereit alle Seiten, die ich betreue auf https unmzustellen, wenn das kostenneutral möglch wäre.

Hinzu kommt, daß es mir bisher nicht gelungen ist, so ein kostenloeses Zertifikat für einen Mumble-Server zu nutzen. (man möge mich bitte eines Besseren belehren!)

was ist mit DNSSEC in Verbindung mit self-signed ssl key? Kostet nix

WOZU?

Gibt doch viel wichtigere Baustellen…

Die Plastik-Router pfeifen eh aus dem letzten Loch.
Mit noch mehr Crypto geht da gar nix mehr!

Wenn du absolute Sicherheit willst - kümmer dich drum!

Unser Job ist Grundversorgung, aber nicht DEINE Sicherheit!

Mehrere Subdomains kriegt man z.B. bei Namecheap für 26€ im Jahr (3 Domains incl, danach ca. 10€ pro Jahr und zusätzliche Domain). Zwar nicht kostenneutral, aber weniger als 100€ :wink:

Ansonsten kann man bei Startcom z.B. einfach einen ganzen Haufen Zertifikate auf je eine Subdomain ausstellen, die man dann über SNI (z.B. mit haproxy) jeweils auf die Domain zugeschnitten ausliefern lässt, geht halt nur laut SSL-Labs bei Android 2.x und Java kaputt, aber ein bisschen schwund ist immer :smiley: (und die laden eh keine factory-Firmware-Images runter)

1 Like

Ich hätte einfach gern ein wildcard-Zertifikat für eine Domain :wink:

@DerTrickreiche Du argumentierst im Dreieck. Einmal sagst Du, es sei Dir zu teuer, und wen ich Dir einen kostenlosen Weg aufzeige sagst Überlastung, gibt Wichtigeres…

ich wär sofort bereit alle Seiten, die ich betreue auf https unmzustellen, wenn das kostenneutral möglch wäre.

Du widersprichst Dir also ständig selbst.

Du hast es nicht kappiert, aber du glaubst ja auch, daß SMB im FF-Netz ne gute Idee wär und stampfst mit dem Füssen, wenn alle anderen sagen: „Lass es!“

4 Likes

ich vertehe Deine Agressivität nicht. Ich habe nur darauf hingewiesen, dass Deine Aussagen widersprüchlich sind und Du Dir selbst widersprichst. EInmal sagst Du „mach ich sofort, aber Geld“, und dann, wenn Geld als Argument nicht mehr zieht, kramst Du das nächste raus. Diskussion auf die Art und so Beantworten der Eingangsfrage ist jedenfalls nicht besonders hilfreich und trägt auch nicht zum Verständnis bei.