Установщики Windows подписаны с использованием Authenticode (X.509), который изначально проверяется самой Windows. Автоматические обновления (доставляются с использованием Omaha) также подписываются с использованием X.509.
Репозитории Linux подписываются с использованием GPG - при первой загрузке google-chrome-current.deb
через HTTPS он автоматически добавляет репозиторий обновлений в sources.list и устанавливает свой подписывающий ключ в вашу конфигурацию apt (см. /opt/google/chrome/cron/
).
(Я бы не сказал, что это очень плохо. Подумайте об этом: если вы думаете, что злоумышленник может ввести поддельную загрузку ... Почему они не могли также ввести поддельные "контрольные суммы"? Если вы не можете поверить, что вы загрузили правильный файл .deb
с https://google.com, то вы также не можете доверять тому, что вы получили правильные ключи PGP с https://google.com .)
Я понимаю, что загрузка осуществляется через HTTPS-соединение, но поправьте меня, если я ошибаюсь, все-таки возможно внедрить вредоносную загрузку, верно?
Вообще нет. Это ... вроде того, что HTTPS должен предотвратить.
Хотя есть две возможности:
Если вы начинаете с http://www.google.com/chrome
и ожидаете автоматического перенаправления на HTTPS, злоумышленник может отменить это перенаправление и заставить вас остаться на версии HTTP.
Чтобы избежать этого, убедитесь, что вы посещаете только страницы загрузки через HTTPS; может быть какая-то конфигурация Tor, которую вы можете использовать для полной блокировки HTTP (tcp/80). (Я знаю, что у Tor есть белый список портов для узлов выхода, но было бы полезно иметь его и для клиентов ...)
Если вы открываете сайт HTTPS, но злоумышленник перехватывает ваше соединение (MITM), браузер предупредит вас об ошибке сертификата (так как злоумышленник не может получить "настоящий" сертификат для google.com
), но многие люди просто слепо нажмут через "эти предупреждения, даже не глядя.
Чтобы избежать этого, не обходите эти предупреждения безопасности браузера.
Самые большие браузеры (даже IE, я думаю?) теперь зайдите с google.com
в их списки "Предварительная загрузка HSTS", которые заставляют браузер всегда использовать HTTPS и не позволяют пользователю обходить ошибки сертификата. Так что следует защищать от таких ошибок.