การดาวน์โหลด Microsoft Security Essentials ผ่าน HTTPS

9

ฉันต้องการดาวน์โหลด Microsoft Security Essentials บนพีซีที่บ้าน Windows 7 ใหม่ของฉัน เว็บไซต์อย่างเป็นทางการที่มอบให้ฉันคือhttp://windows.microsoft.com/de-CH/windows/products/security-essentialsเนื่องจากฉันอยู่ในสวิตเซอร์แลนด์ ลิงค์ไปยังแพ็คเกจจริงนั้นคือ:

http://go.microsoft.com/fwlink/?LinkID=231276

ดาวน์โหลดไม่ปลอดภัยด้วย HTTPS ทำไม? นี่จะไม่ใช่สิ่งแรกที่ Microsoft ควรทำหรือไม่ พวกเขายังสามารถส่งมอบใบรับรองพร้อมกับระบบปฏิบัติการแล้วเพื่อให้ปลอดภัยจริงๆ

— การดัดผม
แหล่งที่มา

15

เป็น HTTP ธรรมดาเพราะซอฟต์แวร์ Microsoft ทั้งหมดได้รับการเซ็นชื่อแบบดิจิทัลอยู่แล้ว ลายเซ็นจะถูกฝังอยู่ใน.exeไฟล์และตรวจสอบโดย Windows เมื่อเปิดตัว (ฉันดูเหมือนจะจำได้ว่านี่เป็นข้อกำหนดสำหรับไฟล์ทั้งหมดที่โพสต์ในศูนย์ดาวน์โหลดของพวกเขา)

ต่างจาก HTTPS การลงชื่อดาวน์โหลดจริงนั้นหมายความว่าคุณสามารถตรวจสอบลายเซ็นได้ทุกที่ (เช่นคัดลอกจากซีดีหรือเพื่อน)

— user1686
แหล่งที่มา

ขอบคุณสำหรับการชี้แจงนี้ให้ฉัน ตอนนี้ฉันรู้สึกสะดวกสบายมากขึ้น

— Marcel

คุณไม่ได้ทำผิดพลาดโดยสมมติว่าถ้าคุณถูกโจมตีจาก MITM คุณยังคงดาวน์โหลดซอฟต์แวร์ของ Microsoft อยู่ใช่ไหม มันเป็นจุดที่ดีสำหรับการสร้างบ็อตเน็ตแบบที่ฉันเห็น

— Steinbitglis

6

การส่งผ่าน SSL ไม่ทำให้การดาวน์โหลดปลอดภัยยิ่งขึ้นในแบบที่คุณคิด SSL จะซ่อนข้อมูลที่คุณกำลังส่งและรับ ตัวอย่างเช่นหากคุณกำลังส่งหมายเลขบัตรเครดิตหรือเข้าสู่ระบบผ่านอินเทอร์เน็ตการเชื่อมต่อ HTTPS จะป้องกันไม่ให้บุคคลใด ๆ รู้ว่าเนื้อหาของข้อมูลที่คุณส่งมีอะไรบ้าง

การส่งไฟล์คงที่จากแหล่งที่เข้ารหัสจะดีกว่าเพียงเล็กน้อยเท่านั้นเนื่องจากเนื้อหาของสิ่งที่คุณได้รับนั้นเป็นสาธารณะแล้ว แม้ว่าจะอยู่ใน HTTPS แต่ถ้ามีคนมีข้อมูลว่าคุณรับ / ส่งไปยัง / จากที่ไหนพวกเขาก็ยังสามารถอนุมานสิ่งที่คุณกำลังดาวน์โหลด

— เจฟฟ์เอฟ
แหล่งที่มา

4

ไม่จริงทั้งหมด SSL ยังช่วยให้มั่นใจได้ว่าเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อได้รับการตรวจสอบโดยผู้ออกใบรับรองบางรายที่คุณเชื่อถือเพื่อให้เป็นคนที่พวกเขาบอกว่าเป็นเซิร์ฟเวอร์ (เช่น microsoft.com เป็นต้น) หมายความว่าคุณสามารถมั่นใจได้อย่างแท้จริงว่าคุณกำลังเชื่อมต่อกับเซิร์ฟเวอร์ของ Microsoft ไม่ใช่คนร้ายที่โจมตี MITM

— หนัก

1

@jeff F. : ฉันพอใจกับทุกคนที่รู้ว่าฉันกำลังดาวน์โหลดแพคเกจ (ฉันยังโฆษณาที่นี่ใน superuser :-)) แต่ฉันต้องการให้แน่ใจว่าฉันได้รับสิ่งที่ฉันกำลังมองหาไม่ใช่สิ่งที่จริง อื่น.

— Marcel

1

@Marcel heavyyd นั้นถูกต้องเกี่ยวกับการโจมตีของ MITM แต่การโจมตีประเภทนั้นต้องการการเข้าถึงเพิ่มเติมแน่นอน

— Jeff F.

5

Microsoft ไม่ได้ใช้ HTTPS เพราะคุณไม่ได้ดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ของ Microsoft ไฟล์จะถูกส่งโดยใช้เซิร์ฟเวอร์ซึ่ง Microsoft ไม่ได้เป็นเจ้าของหรือควบคุม

ลิงค์ดาวน์โหลดที่คุณโพสต์เป็นเพียงลิงค์เปลี่ยนเส้นทางซึ่งในที่สุดเครื่องของฉันจะได้รับการแก้ไข

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe

หากคุณเล่นกับ URL และทำให้เป็น HTTPS คุณจะได้รับข้อผิดพลาดของใบรับรอง ข้อความใน Chrome ระบุว่า:

คุณพยายามเข้าถึง mse.dlservice.microsoft.com แต่จริงๆแล้วคุณถึงเซิร์ฟเวอร์ที่ระบุว่าเป็น a248.e.akamai.net

Microsoft เช่นเดียวกับ บริษัท อื่น ๆ ใช้เครือข่ายการจัดส่งเนื้อหา (CDNs) เพื่อส่งไฟล์โดยใช้เซิร์ฟเวอร์ที่อยู่ใกล้กับผู้ใช้ทางภูมิศาสตร์ ในกรณีนี้ Akamai คือ CDN ซึ่งให้บริการดาวน์โหลดของ Microsoft

— heavyd
แหล่งที่มา

ถ้า url อ่าน microsoft.com มันมาจากแหล่งอื่นได้อย่างไร

— Moab

@Moab, Microsoft ชี้ไปที่เซิร์ฟเวอร์ Akamai ในรายการ DNS ของพวกเขา เมื่อคุณค้นหารายการ DNS นั้นจะมีรายการ CNAME ไปยังเซิร์ฟเวอร์ Akamai รวมถึงรายการอื่น ๆ

— หนัก

4

ไม่จำเป็นต้องดาวน์โหลดผ่าน HTTPS ซอฟต์แวร์ทั้งหมดในศูนย์ดาวน์โหลดลงนามโดย Microsoft และรับรองความถูกต้องระหว่างการติดตั้ง

— เซิ่ล
แหล่งที่มา

-1

หากคุณติดตั้ง Firefox หรือ Chrome คุณสามารถลองดาวน์โหลดจาก Microsoft ด้วยปลั๊กอิน HTTPS ทุกที่สำหรับเบราว์เซอร์เหล่านั้น https://www.eff.org/https-everywhere

— j_bombay
แหล่งที่มา