Загрузка Microsoft Security Essentials через HTTPS

9

Я хочу загрузить Microsoft Security Essentials на свой новый домашний ПК с Windows 7. Представленный мне официальный сайт: http://windows.microsoft.com/de-CH/windows/products/security-essentials , так как я нахожусь в Швейцарии. Ссылка на актуальный пакет:

http://go.microsoft.com/fwlink/?LinkID=231276

Загрузка не защищена с помощью HTTPS. Почему? Разве это не первое, что Microsoft должна сделать? Они могут даже доставить сертификат уже с ОС, чтобы сделать его действительно безопасным.

windows-7 security download https завивать волосы щипцами
источник

Ответы:

15

Это простой HTTP, потому что все программное обеспечение Microsoft в любом случае имеет цифровую подпись; подпись встраивается в .exeфайл и проверяется Windows при запуске. (Кажется, я помню, что это требование для всех файлов, размещенных в их Центре загрузок.)

В отличие от HTTPS, подпись фактической загрузки также означает, что вы можете проверить подпись везде (например, скопировать с компакт-диска или друга).

Предупреждение безопасности Детали подписи

user1686
источник
Спасибо за разъяснение этого мне. Теперь я чувствую себя намного комфортнее.
Марсель
Разве вы не ошиблись, если предположили, что, если на вас напали MITM, вы все еще загружаете программное обеспечение Microsoft? На самом деле это приятное место для создания какого-то ботнета, как я его вижу.
Steinbitglis
6

Передача по SSL не делает загрузку более безопасной, как вы думаете. SSL просто скрывает данные, которые вы отправляете и получаете. Так, например, если вы отправляете номер кредитной карты или входите в систему через Интернет, соединение HTTPS не позволит любому пиперу узнать, что содержится в содержании отправленных вами данных.

Передача фиксированного файла из зашифрованного источника будет в лучшем случае лишь незначительно лучше, поскольку содержимое того, что вы получаете, уже общедоступно. Даже если бы это было по протоколу HTTPS, если бы кто-то имел данные о том, куда вы передавали / получали в / из, они все равно могли бы определить, что вы скачиваете.

Джефф Ф.
источник
4
Не совсем верно. SSL также гарантирует, что сервер, к которому вы подключаетесь, был проверен неким Центром сертификации, которому вы доверяете, на то, кем они себя называют (например, на microsoft.com). Это означает, что вы можете быть относительно уверены, что на самом деле вы подключены к серверам Microsoft, а не какой-то плохой парень, выполняющий MITM-атаку.
тяжело
1
@jeff F.: Мне удобно, когда кто-нибудь знает, что я загружаю пакет (я также рекламирую его здесь в superuser :-)) Но я хочу быть уверен, что я действительно получаю то, что искал, а не что-то остальное.
Марсель
1
@Marcel heavyyd прав в отношении атаки MITM, но этот тип атаки, конечно, требует дополнительного доступа.
Джефф Ф.
5

Microsoft не использует HTTPS, потому что вы на самом деле не загружаете файл с серверов Microsoft. Файлы доставляются с использованием сервера, который Microsoft не владеет или не контролирует.

Ссылка для скачивания, которую вы разместили, является просто ссылкой для перенаправления, которая в конечном итоге на моей машине была 

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe

Если вы играете с URL и делаете его HTTPS, вы получаете ошибку сертификата. Сообщение в Chrome гласит:

Вы попытались связаться с mse.dlservice.microsoft.com, но вместо этого вы фактически достигли сервера, идентифицирующего себя как a248.e.akamai.net.

Microsoft, как и многие другие компании, использует сети доставки контента (CDN) для доставки своих файлов с использованием сервера, который географически близок к их пользователям. В этом случае Akamai является CDN, который обслуживает загрузки Microsoft.

heavyd
источник
Если URL-адрес читает microsoft.com, как он поступает из другого источника?
Моав
@Moab, Microsoft указывает на серверы Akamai в своих записях DNS. При поиске конкретной записи DNS она содержит запись CNAME для серверов Akamai, среди других записей.
тяжело
4

Нет необходимости скачивать через HTTPS. Все программное обеспечение в их центре загрузки подписано Microsoft и аутентифицировано во время установки.

Вессель
источник
-1

Если у вас установлен Firefox или Chrome, вы можете попытаться загрузить его с Microsoft с помощью этого подключаемого модуля HTTPS Everywhere для этих браузеров. https://www.eff.org/https-everywhere

j_bombay
источник