通过 HTTPS 下载 Microsoft Security Essentials
Mar*_*cel 9 security windows-7 download https
我想在我全新的 Windows 7 家用 PC 上下载 Microsoft Security Essentials。提供给我的官方网站是http://windows.microsoft.com/de-CH/windows/products/security-essentials,因为我位于瑞士。实际包的链接是:
http://go.microsoft.com/fwlink/?LinkID=231276
下载不受 HTTPS 保护。为什么?这难道不是微软应该做的第一件事吗?他们甚至可以随操作系统一起提供证书,以使其真正安全。
use*_*686 15
它是普通的 HTTP,因为无论如何所有 Microsoft 软件都经过数字签名;签名嵌入在.exe文件中,并在启动时由 Windows 验证。(我似乎记得这是他们下载中心发布的所有文件的要求。)
与 HTTPS 不同,对实际下载进行签名还意味着您可以在任何地方检查签名(例如从 CD 或朋友复制)。
通过 SSL 传输并不会像您想象的那样使下载更加安全。SSL 只是隐藏您发送和接收的数据。因此,例如,如果您要发送信用卡号或通过 Internet 登录,HTTPS 连接将阻止任何窥视者知道您发送的数据的内容。
从加密源传输固定文件最多只会稍微好一点,因为您收到的内容已经是公开的。即使它是在 HTTPS 上,如果有人拥有您发送/接收到/从何处的数据,他们仍然可能推断出您正在下载什么。
- 不完全正确。SSL 还确保您所连接的服务器已由您信任的某个证书颁发机构验证为他们所说的身份(例如 microsoft.com)。这意味着您可以相对自信地连接到 Microsoft 的服务器,而不是某个执行 MITM 攻击的坏人。 (4认同)
Microsoft 不使用 HTTPS,因为您实际上并不是从 Microsoft 的服务器下载文件。这些文件是使用 Microsoft 不拥有或控制的服务器交付的。
您发布的下载链接只是一个重定向链接,在我的机器上最终解析为
http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe
如果您使用 url 并将其设为 HTTPS,则会出现证书错误。Chrome 中的消息说:
您试图访问 mse.dlservice.microsoft.com,但实际上您访问了一个将自身标识为 a248.e.akamai.net 的服务器。
与许多其他公司一样,Microsoft 使用内容交付网络 (CDN) 使用地理位置靠近用户的服务器交付其文件。在这种情况下,Akamai 是为 Microsoft 的下载提供服务的 CDN。
| 归档时间: |
|
| 查看次数: |
1780 次 |
| 最近记录: |