Pobieranie Microsoft Security Essentials przez HTTPS

9

Chcę pobrać program Microsoft Security Essentials na mój nowy komputer domowy z systemem Windows 7. Oficjalna strona przedstawiona mi to http://windows.microsoft.com/de-CH/windows/products/security-essentials , ponieważ jestem w Szwajcarii. Link do faktycznego pakietu to:

http://go.microsoft.com/fwlink/?LinkID=231276

Pobieranie nie jest zabezpieczone za pomocą HTTPS. Dlaczego? Czy nie byłaby to pierwsza rzecz, którą Microsoft powinien zrobić? Mogą nawet dostarczyć certyfikat z systemem operacyjnym, aby był naprawdę bezpieczny.

windows-7 security download https Marcel
źródło

Odpowiedzi:

15

To zwykły HTTP, ponieważ i tak całe oprogramowanie Microsoft jest podpisane cyfrowo; podpis jest osadzony w .exepliku i weryfikowany przez system Windows podczas uruchamiania. (Wydaje mi się, że pamiętam, że jest to wymóg dla wszystkich plików opublikowanych w Centrum pobierania).

W przeciwieństwie do HTTPS podpisanie faktycznego pobrania oznacza również, że możesz sprawdzić podpis wszędzie (np. Skopiowany z płyty CD lub znajomego).

Ostrzeżenie bezpieczeństwa Szczegóły podpisu

użytkownik1686
źródło
Dzięki za wyjaśnienie mi tego. Czuję się teraz znacznie bardziej komfortowo.
Marcel
Czy nie popełniasz błędu zakładając, że jeśli zostałeś zaatakowany przez MITM, nadal pobierasz oprogramowanie Microsoft? To tak naprawdę dobry punkt do zbudowania jakiegoś botnetu, tak jak go widzę.
Steinbitglis,
6

Przesyłanie przez SSL nie powoduje, że pobieranie jest bezpieczniejsze niż myślisz. SSL po prostu ukrywa dane, które wysyłasz i odbierasz. Na przykład, jeśli wysyłasz numer karty kredytowej lub logujesz się przez Internet, połączenie HTTPS nie pozwoli żadnemu podglądaczowi dowiedzieć się, co zawiera zawartość przesłanych danych.

Przesyłanie ustalonego pliku z zaszyfrowanego źródła byłoby w najlepszym razie tylko nieznacznie lepsze, ponieważ zawartość otrzymywanego pliku jest już publiczna. Nawet jeśli był na HTTPS, jeśli ktoś miał dane o tym, gdzie nadawałeś / odbierałeś do / z, nadal prawdopodobnie mógł wywnioskować, co pobierasz.

Jeff F.
źródło
4
Nie do końca prawda. SSL zapewnia również, że serwer, z którym się łączysz, został zweryfikowany przez zaufany urząd certyfikacji, aby być tym, za kogo się podaje (na przykład microsoft.com). Oznacza to, że możesz być stosunkowo pewny, że faktycznie łączysz się z serwerami Microsoft, a nie jakimś złym facetem przeprowadzającym atak MITM.
heavyd
1
@jeff F.: Czuję się swobodnie z każdym, kto wie, że pobieram pakiet (reklamuję to również tutaj w superużytkowniku :-)) Ale chcę mieć pewność, że faktycznie otrzymuję to, czego szukałem, a nie coś jeszcze.
Marcel,
1
@Marcel heavyd ma rację co do ataku MITM, ale ten rodzaj ataku wymaga oczywiście dodatkowego dostępu.
Jeff F.
5

Microsoft nie używa HTTPS, ponieważ tak naprawdę nie pobierasz pliku z serwerów Microsoft. Pliki są dostarczane za pomocą serwera, którego Microsoft nie jest właścicielem ani nie kontroluje.

Link do pobrania, który opublikowałeś, jest tylko linkiem przekierowującym, który ostatecznie został rozwiązany na moim komputerze 

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe

Jeśli grasz za pomocą adresu URL i ustawisz go jako HTTPS, pojawi się błąd certyfikatu. Wiadomość w Chrome mówi:

Podjęto próbę uzyskania dostępu do witryny mse.dlservice.microsoft.com, ale zamiast tego udało się dotrzeć do serwera identyfikującego się jako a248.e.akamai.net.

Microsoft, podobnie jak wiele innych firm, korzysta z sieci dostarczania treści (CDN) do dostarczania swoich plików za pomocą serwera, który jest geograficznie blisko ich użytkowników. W tym przypadku Akamai to CDN, który służy do pobierania plików firmy Microsoft.

ciężki
źródło
jeśli adres URL czyta microsoft.com, to skąd pochodzi z innego źródła?
Moab
@Moab, Microsoft wskazuje serwery Akamai we wpisach DNS. Podczas wyszukiwania konkretnego wpisu DNS zawiera on między innymi wpis CNAME na serwerach Akamai.
heavyd
4

Nie ma potrzeby pobierania przez HTTPS. Całe oprogramowanie w centrum pobierania jest podpisane przez Microsoft i uwierzytelnione podczas instalacji.

Wessel
źródło