Microsoft Security Essentials'ı HTTPS ile İndirme

9

Yeni Windows 7 ev bilgisayarıma Microsoft Security Essentials'ı indirmek istiyorum. Bana sunulan resmi site , İsviçre'de bulunduğum gibi http://windows.microsoft.com/de-CH/windows/products/security-essentials . Asıl pakete bağlantı şöyledir:

http://go.microsoft.com/fwlink/?LinkID=231276

İndirme HTTPS ile güvenli değildir. Neden? Microsoft'un yapması gereken ilk şey bu olmaz mıydı? Hatta gerçekten güvenli hale getirmek için sertifikayı zaten işletim sistemiyle birlikte teslim edebilirler.

— Marcel
kaynak

15

Bu düz HTTP çünkü tüm Microsoft yazılımları dijital olarak zaten imzalanmış; imza .exedosyaya eklenir ve başlatma sırasında Windows tarafından doğrulanır. (Bunun İndirme Merkezlerinde yayınlanan tüm dosyalar için bir gereklilik olduğunu hatırlıyorum.)

HTTPS'den farklı olarak, gerçek indirmeyi imzalamak aynı zamanda imzayı her yerde kontrol edebileceğiniz anlamına gelir (CD'den veya bir arkadaştan kopyalanmış gibi).

— user1686
kaynak

Bunu bana açıkladığın için teşekkürler. Artık kendimi çok daha rahat hissediyorum.

— Marcel

Eğer MITM saldırıya uğradıysanız, hala Microsoft yazılımı indirdiğinizi varsayıyor musunuz? Aslında bir tür botnet inşa etmek için gördüğüm gibi tatlı bir yer.

— Steinbitglis

6

SSL üzerinden aktarılmak, indirmeyi düşündüğünüz şekilde daha güvenli hale getirmez. SSL, gönderdiğiniz ve aldığınız verileri gizler. Örneğin, bir kredi kartı numarası gönderiyorsanız veya internet üzerinden oturum açıyorsanız, bir HTTPS bağlantısı, herhangi bir eşin, gönderdiğiniz verilerin içeriğinin ne içerdiğini bilmesini önler.

Şifreli bir kaynaktan sabit bir dosyayı iletmek, en iyi ihtimalle, aldığınız içeriğin içeriği zaten herkese açık olduğundan, marjinal olarak daha iyi olacaktır. HTTPS'de olsa bile, birileri nereye aktardığınız / aldığınız / nereye aldığınızla ilgili verilere sahip olsa bile, muhtemelen indirdiğiniz şeyi çıkarabilir.

— Jeff F.
kaynak

4

Tamamen doğru değil. SSL ayrıca, bağlandığınız sunucunun güvendiğiniz bazı Sertifika Yetkilileri tarafından söyledikleri kişi olarak doğrulanmasını sağlar (örneğin, microsoft.com deyin). Yani aslında bir MITM saldırısı yapan kötü bir adam değil, aslında Microsoft'un sunucularına bağlantı olduğundan emin olabilirsiniz.

— heavyd

1

@jeff F.: Paketi indirdiğimi bilen herkesle rahatım (burada süper kullanıcıda da reklam veriyorum :-)) Ama emin olmak istiyorum, aslında aradığım şeyi aldım, bir şey değil Başka.

— Marcel

1

@Marcel heavyd, MITM saldırısı hakkında doğrudur, ancak bu tür bir saldırı elbette ek erişim gerektirir.

— Jeff F.

5

Microsoft, HTTPS kullanmaz çünkü dosyayı aslında Microsoft'un sunucularından indirmezsiniz. Dosyalar, Microsoft'un sahibi olmadığı veya denetlemediği bir sunucu kullanılarak teslim edilir.

Gönderdiğiniz indirme bağlantısı, makinemde sonunda çözülen bir yönlendirme bağlantısı.

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe

URL ile oynayıp HTTPS yaparsanız bir sertifika hatası alırsınız. Chrome'daki mesajda:

Mse.dlservice.microsoft.com adresine ulaşmaya çalıştınız, bunun yerine kendisini a248.e.akamai.net olarak tanımlayan bir sunucuya ulaştınız.

Microsoft, diğer pek çok şirket gibi, dosyalarını coğrafi olarak kullanıcılarına yakın olan sunucu kullanarak sunmak için İçerik Dağıtım Ağlarını (CDN) kullanır. Bu durumda Akamai, Microsoft'un indirdiği dosyaları sunan CDN'dir.

— heavyd
kaynak

url microsoft.com'u okursa, başka bir kaynaktan nasıl gelir?

— Moab

@Moab, Microsoft, DNS girişlerinde Akamai sunucularını işaret ediyor. Belirli bir DNS girişini aradığınızda, diğer girişlerin yanı sıra Akamai sunucularına bir CNAME girişi içerir.

— heavyd

4

HTTPS üzerinden indirmeye gerek yoktur. İndirme merkezlerindeki tüm yazılımlar Microsoft tarafından imzalanır ve yükleme sırasında kimlik doğrulaması yapılır.

— Wessel
kaynak

-1

Firefox veya Chrome yüklüyse, bu tarayıcılar için bu HTTPS Everywhere eklentisiyle Microsoft'tan indirmeyi deneyebilirsiniz. https://www.eff.org/https-everywhere

— j_bombay
kaynak