<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 22, 2018 at 1:47 PM, David Kastrup <span dir="ltr"><<a href="mailto:dak@gnu.org" target="_blank">dak@gnu.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>Paul Davis <<a href="mailto:paul@linuxaudiosystems.com" target="_blank">paul@linuxaudiosystems.com</a>> writes:<br>
<br>
> On Wed, Aug 22, 2018 at 8:29 AM, David Kastrup <<a href="mailto:dak@gnu.org" target="_blank">dak@gnu.org</a>> wrote:<br>
><br>
>><br>
>> I went to the Download page.<br>
>><br>
>> "Click to get Email with a link to a free/demo copy of Ardour 5.12 for<br>
>> Linux 64 bit".<br>
>><br>
>> There are so many opportunities for man-in-the-middle attacks here that<br>
>> it isn't funny.<br>
>><br>
><br>
> Instead of karping, why don't you propose whatever you think is a better<br>
> solution, keeping in mind that at some point the user will tell their web<br>
> browser to vist a URL.<br>
<br>
</span>The classic "it's not our security practices that are a problem but the<br>
people who report on them" spiel.  Now of course it is more satisfactory<br>
to insult people than websites. </blockquote><div><br><div style="font-family:arial,helvetica,sans-serif" class="gmail_default">Did I insult you? I don't think so, and certainly mean to do so. I am not lauding our security practices at all. I am asking what you would do differently, and better.</div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> At any rate, an obvious improvement<br>
over sending around links to click is to send verification codes to be<br>
entered in a text field of the web site.  That makes intercepting the<br>
Email less of an attack vector.<br></blockquote><div><br><div style="font-family:arial,helvetica,sans-serif" class="gmail_default">So they intercept the email (by successfully impersonating the DNS server of what are generally large corporations or institutions), they edit the email, and then they forward the result to the user. The newly edited link contains a URL that looks like an Ardour download, the user downloads it, runs the "installer" and boom, their machine is compromised? <br><br></div><div style="font-family:arial,helvetica,sans-serif" class="gmail_default">Problem is, there's nothing particularly special about email here, and from everything I have read about MiM attacks, email is an uncommon approach to this. <br></div><br><div style="font-family:arial,helvetica,sans-serif" class="gmail_default">Are you suggesting that no email should ever contain a link back to the originating website, for fear that it is compromised?</div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span><br>
> We do publish sha5sum's for the nightly builds, but the vast majority<br>
> of people wouldn't have any idea how to even check them.<br>
<br>
</span>Sure, base security relying on educated and smart people is not a<br>
winning move.<br></blockquote><div><br><div style="font-family:arial,helvetica,sans-serif" class="gmail_default">We're not relying on smart/educated people for security. I'm noting that anytime a user downloads a program that they WILL execute on their machine (because they believe that to be the purpose of downloading it), there are so many potential attack vectors that in the end, security without at least some level of motivation on the part of the downloader to avoid attacks is never going to be very robust.</div><div style="font-family:arial,helvetica,sans-serif" class="gmail_default"><br></div></div></div></div></div>