那些遇到过的问题

是否有任何理由通过 HTTPS 验证下载校验和

Fir*_*cer 5 download https data-integrity tls

假设链接下载的页面和下载本身都通过 HTTPS 位于受信任的域上,是否有任何理由担心检查下载文件的哈希/校验和(尤其是可执行文件/安装程序,它们本身也不是由某些东西签名的)操作系统信任)?

据我了解,这样做的原因是为了捕获下载错误(尽管 TCP 应该这样做?)或感染文件的恶意攻击。

但是 HTTPS (TLS) 应该已经提供了对这些的全面保护,那么手动验证还有其他价值吗?

Ian*_*Ian 7

我不认为 HTTPS 会捕获其中任何一个。AFAIK HTTPS 不提供额外的保护以防止 TCP 损坏。

我不是安全专家,但我知道 TLS (HTTPS) 会做以下两件事:

  1. 验证您所连接的服务器实际上是他们所说的那个人。
    例如,如果您输入https://microsoft.com并且您的流量在您不知情的情况下被发送到https://badguys.comDNS 欺骗),您将收到证书错误。当然坏人可以创建一个伪造的证书https://badguys.com索赔https://microsoft.com,但它不会被有效签署的证书颁发机构
  2. 加密流量,使其无法被中间人攻击 (MITM)读取/更改。在这种情况下,有人可以看到您的所有网络流量。如果您没有使用 TLS,它们可以检测到GET请求并开始向您发送虚假数据,而不是来自 Web 服务器的真实数据。

回到下载的话题,许多站点将它们的大量下载分发到镜像。如果镜像被破坏,文件可以被替换为恶意版本。即使镜像使用 TLS,如果它被黑客入侵或错误地添加到镜像列表中,您也可能从 HTTPS 站点下载恶意版本。当然,如果发生这种情况,他们将更新镜像上的校验和。

这就是为什么你不应该根据来自镜像的校验和验证下载,只使用来自原始站点的校验和(根据这个问题)。

归档时间:

查看次数:

1806 次

最近记录:

6 年,5 月 前
相关归档
使用 curl 持续重试恢复下载 19
手动 HTTP(S) 请求 10
我可以从 Google 的缓存中下载原始文件吗? 7
如何将下载 url 复制到 Firefox 中的剪贴板? 6
Firefox 4 中的 HTTPS 锁定发生了什么变化? 5
Internet Explorer 9 的证书错误 5
使用仅限 http 的客户端连接到 https 服务 5
403 尝试下载时禁止放置在 /var/www/html 的文件? 4
如何将 *.p7s 证书链导入密钥库? 4
OpenVPN:选项错误:“client.ovpn:130: tls-remote (2.4.6) 中无法识别的选项或缺少或额外参数” 1
难疑归档
如何可靠地保持 SSH 隧道打开? 290
在 tmux 中“最大化”窗格 280
相当于 Windows 7 的 Grep? 273
OS X 10.7.1 上的“系统中打开的文件太多”错误是否有修复? 238
为什么网址后面加点号会去掉登录信息? 188
如何擦除 Linux 中的可用磁盘空间? 162
为什么在\Users\<用户名>\AppData 下有名为Local、LocalLow 和Roaming 的目录? 161
如何知道 Windows 上次重新启动的时间? 138
在 Windows 的多个屏幕上显示任务栏时钟? 133
如何从命令行通过FTP上传一个文件? 128