<div dir="ltr">Hi Frank,<br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 28, 2015 at 10:11 AM, Frank <span dir="ltr"><<a href="mailto:fau@riseup.net" target="_blank">fau@riseup.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hello,<br>
<br>
First I'm not an expert in the following matter so please correct me if<br>
I'm wrong here! But my concern is that without HTTPS enabled for git a<br>
man in the middle attack would be possible.<br>
<br>
As far as I understand cloning a git repo is atm only possible via<br>
standard git protocol (e.g. git clone<br>
git://<a href="http://common-lisp.net/projects/alexandria/alexandria.git" target="_blank">common-lisp.net/projects/alexandria/alexandria.git</a>) and I believe<br>
the git protocol is not secured.  See<br>
<a href="https://gist.github.com/grawity/4392747" target="_blank">https://gist.github.com/grawity/4392747</a>.<br>
<br>
What is the greatest software in world good for if you can't distribute<br>
it securely?<br></blockquote><div><br></div><div>Unfortunately, MITM is also possible for SSL and SSH (<a href="http://en.wikipedia.org/wiki/Man-in-the-middle_attack#Implementations">http://en.wikipedia.org/wiki/Man-in-the-middle_attack#Implementations</a> lists publicly available implementations to execute them!).</div><div><br></div><div>To mitigate the attack, basically the only option listed at <a href="http://en.wikipedia.org/wiki/Man-in-the-middle_attack#Defenses_against_the_attack">http://en.wikipedia.org/wiki/Man-in-the-middle_attack#Defenses_against_the_attack</a> that's available to us, hasn't been implemented (yet) by most large parties either (definitely not GitHub or Google): it's the roll-out of DNSSEC.</div><div><br></div><div>Well, lets start with just implementing SSL certs to improve the situation. Then, from there, we can work to implement the rest. I'm mainly writing that the attack exists so that you're very careful when you trust the "green lock" when dealing with your bank's internet access methods.</div><div><br></div><div><br></div></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Bye,<div><br></div><div>Erik.</div><div><br></div><div><a href="http://efficito.com/" target="_blank">http://efficito.com</a> -- Hosted accounting and ERP.</div><div>Robust and Flexible. No vendor lock-in.</div></div></div>
</div></div>