我想在全新的Windows 7家用PC上下载Microsoft Security Essentials。我位于瑞士的官方网站是http://windows.microsoft.com/de-CH/windows/products/security-essentials。到实际包的链接是:
http://go.microsoft.com/fwlink/?LinkID=231276
下载不受HTTPS保护。为什么?这不是微软应该做的第一件事吗?他们甚至可以随操作系统一起提供证书,以使其真正安全。
通过HTTPS下载Microsoft Security Essentials
Answers:
这是纯HTTP,因为所有Microsoft软件都经过数字签名。签名将嵌入.exe文件中,并在启动时由Windows进行验证。(我似乎记得,这是所有在其下载中心发布的文件的要求。)
与HTTPS不同,对实际下载进行签名还意味着您可以在任何地方检查签名(例如从CD或朋友复制的签名)。
感谢您向我澄清。我现在感觉舒服多了。
—
马塞尔(Marcel)2012年
您是否会误以为如果您受到了MITM的攻击,但仍在下载Microsoft软件?按照我的看法,它实际上是构建某种僵尸网络的最佳选择。
—
Steinbitglis
通过SSL传输并不能使您的下载方式更加安全。SSL只是隐藏您正在发送和接收的数据。因此,例如,如果您要发送信用卡号或通过Internet登录,则HTTPS连接将阻止任何窥视者知道所发送数据的内容。
从加密源传输固定文件最多只能稍微好一点,因为接收到的内容已经公开。即使是在HTTPS上,如果有人掌握了您要向其发送/接收的数据,他们仍可能推断出您正在下载的内容。
并非完全正确。SSL还可以确保您所连接的服务器已经过您信任的某些证书颁发机构的验证,可以证明它们是他们所说的身份(例如microsoft.com)。这意味着您可以相对确信自己确实已连接到Microsoft的服务器,而不是一些进行MITM攻击的坏人。
—
重载了2012年
@jeff F.:我对任何人都知道我正在下载软件包感到满意(我也在超级用户这里发布广告:-)。但是我想确定的是,我实际上收到了我想要的东西,而不是其他东西其他。
—
马塞尔(Marcel)2012年
关于MITM攻击,@ Marcel Heavyd是正确的,但是这种类型的攻击当然需要其他访问权限。
—
杰夫·F。
Microsoft不使用HTTPS,因为您实际上并不是从Microsoft的服务器下载文件。使用Microsoft不拥有或控制的服务器来传送文件。
您发布的下载链接只是重定向链接,最终在我的计算机上解析为
http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe
如果您使用该网址并将其设置为HTTPS,则会收到证书错误。Chrome中的消息显示:
您试图访问mse.dlservice.microsoft.com,但实际上是到达了一个将自身标识为a248.e.akamai.net的服务器。
像其他许多公司一样,Microsoft使用Content Delivery Network(CDN)通过服务器在地理位置上接近其用户来传递其文件。在这种情况下,Akamai是服务于Microsoft下载的CDN。
如果该网址显示为microsoft.com,它又是如何从另一个来源获取的?
—
摩押人2012年
@ Moab,Microsoft指向其DNS条目中的Akamai服务器。当您查找特定的DNS条目时,它除其他条目外,还包含Akamai服务器的CNAME条目。
—
重载了2012年
如果您已安装Firefox或Chrome,则可以尝试使用适用于这些浏览器的HTTPS Everywhere插件从Microsoft下载。https://www.eff.org/https-everywhere