2

Хорошо, я могу быть немного необразованным, когда дело доходит до этой темы, но мне действительно любопытно, почему Google не предоставляет контрольную сумму вместе с подписью gpg при загрузке Google Chrome. На самом деле я никогда не видел контрольной суммы нигде на Google.com.

Я понимаю, что загрузка осуществляется через HTTPS-соединение, но поправьте меня, если я ошибаюсь, все-таки возможно внедрить вредоносную загрузку, верно? Я где-то читал, что на узлах выхода для VPN обнаружены внедренные исполняемые файлы.

Затем, совсем недавно, Linux Mint взломал их сайт из-за неправильной конфигурации Wordpress, а ISO-образ linux mint был заменен на другой, содержащий бэкдор для чьего-то рояля DDOS.

Обновления Windows, обновления Apple, Ubuntu apt-get все имеют подпись подписи и проверку пакетов.

Но у Google всех компаний нет даже контрольной суммы на их странице загрузки.

Почему это? Действительно ли есть риск для конечных пользователей скачать Chrome?

Спасибо =)

|источник

1 ответ1

2

Установщики Windows подписаны с использованием Authenticode (X.509), который изначально проверяется самой Windows. Автоматические обновления (доставляются с использованием Omaha) также подписываются с использованием X.509.

Репозитории Linux подписываются с использованием GPG - при первой загрузке google-chrome-current.deb через HTTPS он автоматически добавляет репозиторий обновлений в sources.list и устанавливает свой подписывающий ключ в вашу конфигурацию apt (см. /opt/google/chrome/cron/).

(Я бы не сказал, что это очень плохо. Подумайте об этом: если вы думаете, что злоумышленник может ввести поддельную загрузку ... Почему они не могли также ввести поддельные "контрольные суммы"? Если вы не можете поверить, что вы загрузили правильный файл .deb с https://google.com, то вы также не можете доверять тому, что вы получили правильные ключи PGP с https://google.com .)

Я понимаю, что загрузка осуществляется через HTTPS-соединение, но поправьте меня, если я ошибаюсь, все-таки возможно внедрить вредоносную загрузку, верно?

Вообще нет. Это ... вроде того, что HTTPS должен предотвратить.

Хотя есть две возможности:

  • Если вы начинаете с http://www.google.com/chrome и ожидаете автоматического перенаправления на HTTPS, злоумышленник может отменить это перенаправление и заставить вас остаться на версии HTTP.

    Чтобы избежать этого, убедитесь, что вы посещаете только страницы загрузки через HTTPS; может быть какая-то конфигурация Tor, которую вы можете использовать для полной блокировки HTTP (tcp/80). (Я знаю, что у Tor есть белый список портов для узлов выхода, но было бы полезно иметь его и для клиентов ...)

  • Если вы открываете сайт HTTPS, но злоумышленник перехватывает ваше соединение (MITM), браузер предупредит вас об ошибке сертификата (так как злоумышленник не может получить "настоящий" сертификат для google.com), но многие люди просто слепо нажмут через "эти предупреждения, даже не глядя.

    Чтобы избежать этого, не обходите эти предупреждения безопасности браузера.

Самые большие браузеры (даже IE, я думаю?) теперь зайдите с google.com в их списки "Предварительная загрузка HSTS", которые заставляют браузер всегда использовать HTTPS и не позволяют пользователю обходить ошибки сертификата. Так что следует защищать от таких ошибок.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .