使用天朝的镜像、软件源是否有安全风险?
linux、python等
主流发行版的包管理器,例如apt和dnf,会验证软件包(deb和rpm包)的GPG签名,确保它只能是从上游站点镜像产生的,这样无论是哪一个镜像站,都无法让修改过的软件包通过检查。
另外不要用http,21世纪了,tls1.3已经基本没有你能感觉到的延迟影响了,https可以防止你的数据流在运营商的服务器之间裸奔。
另外不要用http,21世纪了,tls1.3已经基本没有你能感觉到的延迟影响了,https可以防止你的数据流在运营商的服务器之间裸奔。
有些 Linux 发行版的软件包管理器会验证 GPG 签名,这样的发行版用天朝的 mirrors 也不用担心软件包被篡改。其他的软件包管理器就要留意了。
另,
最好用 HTTPS 下载,如果用 HTTP,ISP 可以知道你在用哪个发行版,以及你安装了哪些软件。
另,
最好用 HTTPS 下载,如果用 HTTP,ISP 可以知道你在用哪个发行版,以及你安装了哪些软件。
我觉得没有风险,现在linux都是用gpg来验证安装包的完整性,验证不过直接安装失败,除非像上次华为在linux源码加料。而且用http还可以加快速度,降低计算量。默认linux软件源都是http的。
pypi可能有风险。
(根据经验,镜像源国内的都可以,注意不要用华为,华为的源经常有文件校验不过问题。)
最后啊,我劝楼主,没有必要什么事情都追求安全性,这样太耗费时间,要科学分析具体情况。
pypi可能有风险。
(根据经验,镜像源国内的都可以,注意不要用华为,华为的源经常有文件校验不过问题。)
最后啊,我劝楼主,没有必要什么事情都追求安全性,这样太耗费时间,要科学分析具体情况。
千年暗室一灯明
黑名单 法轮功是邪教。https://twitter.com/NatonabahB70825 从佛法角度系统破斥法轮功邪教理论的错谬性 https://20240820cxxz.blogspot.com
范松忠
黑名单 吾爱人类公敌!宁做伊朗犬,不做中国人!中国、中共、中文,都别想奴役我!习来曼尼和王培尔,来找我啊!有种加我实名制微信抖音啊!我死后,能求得一面美国国旗披上烧掉,或把我烧掉撒入大海,死无葬身之地,也不进中共方舱。誓死反送中,绝不落叶归中!
hash验证,没什么问题,别怕习匪,习匪没你想的那么强大,适当防御就好。
只能说不建议,有vpn用vpn更新镜像、软件源。
天朝是个专门作恶的国度,说不定在镜像、软件源下点什么手脚。
天朝是个专门作恶的国度,说不定在镜像、软件源下点什么手脚。
