W porządku, mogę być trochę niewykształcony, jeśli chodzi o ten temat, ale mam prawdziwą ciekawość, dlaczego Google nie zapewnia sumy kontrolnej wraz z podpisem gpg przy pobieraniu Google Chrome. W rzeczywistości nigdy nie widziałem nigdzie sumy kontrolnej w Google.com.
Rozumiem, że pobieranie odbywa się za pośrednictwem połączenia HTTPS, ale popraw mnie, jeśli się mylę, nadal będzie możliwe wstrzyknięcie złośliwego pliku do pobrania, prawda? Czytałem gdzieś, że stwierdzono, że węzły wyjściowe dla VPN wstrzyknęły pliki wykonywalne .
Niedawno niedawno Linux Mint został zhakowany ze względu na wadliwą konfigurację Wordpress, a ISO Linuksa ISO została zamieniona na jedną zawierającą backdoor dla roju DDOS .
Aktualizacje Windows, aktualizacje Apple, apt-get Ubuntu mają podpisy i weryfikację pakietów.
Ale Google wszystkich firm nie ma nawet sumy kontrolnej na stronie pobierania.
Dlaczego to? Czy naprawdę istnieje ryzyko, że użytkownicy końcowi pobiorą Chrome?
Dzięki =)
źródło
google.com
w Chinach jest prawdopodobnie uszkodzone na poziomie DNS ... Nawet w innych krajach, jako DNS z google nie jest DNSSEC, a DNSSEC z UBUNTU ma ostrzeżenia .. patrz zonemaster.iis.se