Bitte lassen Sie mich diese Frage hier stellen, in der Hoffnung, dass wir auch eine offizielle Antwort erhalten, obwohl dies eine hauptsächlich von der Community betriebene Website ist.
Da Dell nach Lenovo (Superfish) erst in diesem Jahr der zweite Hersteller ist, der die Web-Sicherheit in OEM-Windows-Installationen gefährdet, und beide auch Computer der Marke Ubuntu Edition mit OEM-Installationen anbieten, verdienen Benutzer, die der Marke Ubuntu vertrauen, eine Antwort, die weitaus besser ist als:
Canonical kann diese OEM-Bilder nicht der Öffentlichkeit zur Verfügung stellen.
Quelle: Launchpad , siehe auch .
Dies steht im Widerspruch zu den Vorteilen von Betriebssystemen für freie Software: Den überprüfbaren und reproduzierbaren Zustand eines Systems kennen und wissen, wer die Teile davon zusammensetzt.
Antworten, die ich gerne sehen würde:
- Gibt es Hinweise darauf, dass die Bilder, die Canonical OEMs zur Verfügung stellt, keine Änderungen am Ubuntu-Stammzertifikatsspeicher enthalten? (Erstellen Sie ein System, verwendete Skripte oder eine verwendete Paketliste, Hashes usw.)
- Gibt es bereits etablierte Prozesse, die sicherstellen, dass OEMs, die Ubuntu-zertifizierte Computer anbieten, den Inhalt des Stammzertifikatspeichers niemals manipulieren? (Auch nicht, um angepasste Browser vorab zu installieren oder Pakete aus ihren Repositorys als Bypass anzubieten oder um knifflige Firmware-Funktionen zu implementieren, die den Zertifikatspeicher manipulieren.)
Ergänzende Antworten willkommen:
- Eine Antwort zum Vergleichen des lokalen Stammzertifikatspeichers mit entsprechenden Paketen aus den Repositorys. (Wahrscheinlich besser als separates Q & A, wenn es noch nicht existiert.)
- Optional Antworten von Benutzern mit Ubuntu-zertifizierten Computern - siehe den obigen Link -, die ihre Systeme auf diese Weise überprüft haben. (Bitte warten Sie ein paar Tage, bis wir die richtigen Kriterien gefunden haben oder ob dies überhaupt eine gute Idee ist. Wir organisieren sie wahrscheinlich als Antwort im Wiki-Stil, die jeder bearbeiten kann, sobald die Kriterien festgelegt sind - bitte keine Antwort im großen Stil. Kriterien Das fällt mir derzeit ein: Hersteller, Modell, ausgeliefertes Release, aktuell laufendes Release.)
In beiden Fällen bestand das Problem darin, dass die Infrastruktur der offiziellen Zertifizierungsstelle unter Berücksichtigung sehr schlechter Sicherheitsstandards umgangen wurde, was schnell zum Missbrauch dieser Zertifikate durch andere Parteien führte.
Verwandte Beiträge zu Information Security SE:
- Welche Sicherheitsrisiken stellen Softwareanbieter dar, die SSL Intercepting-Proxys auf Benutzerdesktops (z. B. Superfish) bereitstellen?
- Warum war der private Schlüssel des Superfish-Zertifikats so einfach zu extrahieren?
- Wie erkenne ich, ob ich für "Superfish" anfällig bin, und wie entferne ich es?
quelle