При переходе на сайт загрузки Oracle для загрузки JDK для EE загрузка происходит по HTTP (не HTTPS), а исполняемый файл не подписан. Насколько я могу судить, также не опубликовано ни одного хэша SHA1, поэтому я не могу проверить, что код не был изменен.
Кто-нибудь знает способ проверить это или Oracle не дал никакого способа убедиться, что это безопасно?
Очевидно, что эти md5 вещи не видны большинству крупных поставщиков программного обеспечения. Если вы заходите на сайты Oracle, IBM, Microsoft, подписей md5 не будет. Даже для самых дорогих продуктов! Я полагаю, они не так серьезно относятся к этому риску, как вы.
Во всяком случае, кажется, есть обходной путь. Похоже, что Olex предоставляет подписанные загрузки для различных продуктов с открытым исходным кодом / бесплатных программ, и JDK в комплекте!
