Recentemente ho fatto una ricerca di Bing per Putty e posso solo indovinare a quale distribuzione è "attendibile", non contiene malware o codice di soppressione .
Se dovessi scaricare Putty per un'installazione di Windows ad alta sicurezza, da dove prenderesti i binari? Vuoi compilare dal sorgente?
Il sito ufficiale è www.chiark.greenend.org.uk/~sgtatham/putty, puoi trovare il download nella sezione download . Se vuoi giocare sul sicuro, puoi verificare la firma del download .
Secondo me la compilazione da sorgente è sicura quanto scaricare il file binario e controllare la firma (assicurati di verificare anche la chiave stessa con almeno un firmatario fidato). A meno che tu non riveda il codice sorgente (incluse tutte le librerie necessarie) non ha senso passare lo sforzo aggiuntivo di compilarlo da solo poiché entrambe le parti, il codice sorgente e i binari, sono firmati con la stessa chiave.
L'unico vantaggio che ottieni compilando tu stesso è l'opportunità di rivedere il codice in modo da mitigare il rischio che gli autori di PuTTY possano aver aggiunto backdoor o malware. Ma ancora una volta, dovresti rivedere completamente il codice e tutte le librerie necessarie per ottenere effettivamente questo vantaggio.
È quasi impossibile verificare di avere una copia pulita di stucco. Come descritto in questo articolo accurato (non scritto da me)
tldr dell'articolo è: i binari, le firme e i siti di download di Putty non possono essere considerati affidabili perché non utilizzano nemmeno SSL / Https. Sarebbe molto facile per un uomo nell'attacco centrale essere in grado di modificare le firme e i binari e darti una versione malvagia di putty.exe e una firma / checksum che corrisponde all'eseguibile intercettato.
A partire da maggio 2017 (!), il sito web ufficiale di PuTTY è disponibile su HTTPS.
Combinato con i link di download HTTPS aggiunti un po 'prima, questo fornisce finalmente il primo modo pratico per scaricare una copia verificata di PuTTY.
Benvenuti nel futuro.
Scarica la stessa versione dai primi 10 risultati per "homepage di mastice" restituita dal tuo motore di ricerca preferito e confrontali. Se non sono tutti completamente uguali, interrompere l'installazione. Altrimenti, installalo (da una qualsiasi delle copie identiche bitmap scaricate, ovviamente).
Se hai bisogno di maggiore sicurezza, interpola i risultati di diversi motori di ricerca e aumenta il numero di download.
Semplice, efficace e di solito funziona abbastanza bene per un così basso livello di sforzo.
Per essere più sicuri, scarica la fonte, disponi di esperti di sicurezza, crittografi e programmatori di alto livello che controllano tutto (incluse tutte le librerie e anche i compilatori), e paghi il costo - e probabilmente saranno ancora colpiti dal prossimo bug .
Un'altra buona opzione è il sito web ufficiale di winscp , la connessione è protetta con TLS.
Se hai dubbi su qualsiasi download e non sei configurato per verificare il download e testare l'installazione, un'alternativa ragionevolmente sicura è quella di ottenere il programma da CNET. Il sito dice che è stato scansionato per garantire che sia privo di virus e spyware. Putty è disponibile all'indirizzo link .
Leggi altre domande sui tag source-code software network patching