ctr*_*rev 5 security google-chrome download
好吧,对于这个主题,我可能有点没有受过教育,但我真的很好奇为什么 Google 不提供校验和以及 Google Chrome 下载的 gpg 签名。事实上,我什至从未在 Google.com 上的任何地方看到过校验和。
我知道下载是通过 HTTPS 连接进行的,但如果我错了,请纠正我,仍然有可能注入恶意下载,对吗?我在某处读到,VPN 的出口节点被发现注入了可执行文件。
就在最近,Linux Mint 的网站因 Wordpress 配置错误而遭到黑客攻击,Linux Mint ISO 被替换为包含某人 DDOS 群后门的 ISO。
Windows更新、苹果更新、Ubuntu的apt-get都有包的签名和验证。
但在所有公司中,谷歌的下载页面上甚至没有校验和。
为什么是这样?最终用户下载 Chrome 真的存在风险吗?
谢谢=)
Windows 安装程序使用 Authenticode (X.509) 进行签名,该验证码由 Windows 本身进行本机验证。自动更新(使用 Omaha 提供)也使用 X.509 进行签名。
\n\n当您第一次通过 HTTPS 下载时, Linux存储库使用 GPG \xe2\x80\x93 进行签名google-chrome-current.deb,它会自动将更新存储库添加到 resources.list 并将其签名密钥安装到您的 apt 配置中(请参阅 参考资料/opt/google/chrome/cron/)。
(我不会说这很糟糕。考虑一下:如果您认为攻击者可以注入虚假下载...为什么他们不能也注入虚假“校验和”?如果您不能相信您.deb从https://google.com下载了正确的 PGP 密钥,那么同样您也不能相信您从https://google.com获得了正确的 PGP 密钥。)
\n\n\n我知道下载是通过 HTTPS 连接进行的,但如果我错了,请纠正我,仍然有可能注入恶意下载,对吗?
\n
一般不会。这就是 HTTPS 应该防止的情况。
\n\n不过有两种可能性:
\n\n如果您一开始http://www.google.com/chrome就希望自动重定向到 HTTPS,则攻击者可以剥离此重定向并强制您继续使用 HTTP 版本。
为避免这种情况,请确保仅通过 HTTPS 访问下载页面;您可能可以使用一些 Tor 配置来完全阻止 HTTP (tcp/80)。(我知道 Tor 有一个用于退出节点的端口白名单,但为客户端也拥有一个端口白名单肯定会很有用......)
如果你打开一个 HTTPS 网站,但攻击者拦截了你的连接(MITM),浏览器会警告你证书错误(因为攻击者无法获得“真实”的证书google.com),但很多人只是盲目地“点击”那些甚至不看就发出警告。
为避免这种情况,请不要绕过这些浏览器安全警告。
最大的浏览器(我认为甚至是 IE?)现在都包含google.com在其“HSTS 预加载”列表中,这强制浏览器始终使用 HTTPS并防止用户绕过证书错误。因此,它应该防止此类错误。