Perché il download Java è offerto solo via HTTP, non tramite HTTPS? [chiuso]

Naviga le tue risposte
1

Sto cercando di ottenere il nuovo pacchetto Java su link

Tuttavia, non posso aprire quella pagina usando https , che sembra lasciare aperta una grande opportunità per "download drive-by" per MITM, iniettando contenuti maliziosi nel flusso di download, per esempio. Per non parlare di avvelenamento da DNS.

Anche se potessi trovare alcuni hash MD5 su quel sito, potrebbero essere manipolati.

Perché Oracle non protegge il download delle loro risorse? o fraintendo qualcosa riguardo i download protetti completamente?

    
posta Marcel 13.06.2017 - 08:17
fonte

1 risposta

2

Questa non è una scusa per Oracle che non serve i suoi download su https, ma ci sono hash SHA 256 e MD5 (yuck) nella pagina di download. Il link è https.

Ciò si basa sull'utente che scarica l'immagine per controllare lo sha256, che sfortunatamente poche persone fanno.

Quando fai clic sul link "checksum" sotto, visualizzerai un link come questo:

link

    
risposta data 14.06.2017 - 09:07
fonte

Leggi altre domande sui tag

Autentica un utente attraverso un socket UDP Come fornire alla tua pagina web una sicurezza come Wix e come rompere quella sicurezza