Existe algum motivo para verificar uma soma de verificação de download via HTTPS

2

Assumindo que tanto a página que vincula o download quanto o próprio download estão em domínios confiáveis via HTTPS, existe algum motivo para se preocupar em verificar o hash / checksum do arquivo baixado (especialmente executáveis / instaladores, que também não são eles mesmos? assinado por algo que o sistema operacional confia)?

Pelo que entendi, a razão para isso é pegar erros de download (embora o TCP deva fazer isso?) ou ataques maliciosos que infectam os arquivos.

Mas o HTTPS (TLS) já deve fornecer proteção total a eles, portanto, existe algum valor adicional na validação manual?

    
por Fire Lancer 05.07.2017 / 03:07

1 resposta

5

Eu não acho que o HTTPS iria pegar qualquer um desses. O AFAIK HTTPS não oferece proteção adicional contra corrupção no TCP.

Não sou especialista em segurança, mas sei que o TLS (HTTPS) faz essas duas coisas:

  1. Verifica se o servidor ao qual você está se conectando é, na verdade, quem eles dizem ser.
    Por exemplo, se você digitar o link e seu tráfego for enviado para o link Em vez disso, sem o seu conhecimento ( DNS spoofing ), você receberá um erro de certificado. Claro que os bandidos poderiam criar um certificado falso no link que reivindica ser , mas não será assinado por uma autoridade de certificação válida.
  2. Criptografa o tráfego para que não possa ser lido / alterado por um ataque Man-in-the-middle (MITM) . Nesse cenário, alguém pode ver todo o tráfego da sua rede. Se você não estava usando o TLS, eles poderiam detectar uma solicitação GET e começar a enviar dados falsos, no lugar dos dados reais do servidor da Web.

De volta ao tópico de downloads, muitos sites distribuem seus grandes downloads para espelhos. Se o espelho estiver comprometido, o arquivo pode ser substituído por uma versão mal-intencionada. Mesmo se o espelho usar TLS, se ele foi invadido ou adicionado à lista de espelhos, você pode estar baixando uma versão mal-intencionada de um site HTTPS. E, claro, se isso acontecer, eles atualizarão a soma de verificação no espelho.

É por isso que você nunca deve verificar um download em uma soma de verificação de um espelho, use apenas a soma de verificação do site original (conforme esta questão ).

    
por 05.07.2017 / 03:14