Integrità di Oracle JDK scaricato (/ software in generale) [duplicato]

1

Trovato qualcosa correlato Perché i download di applicazioni non vengono eseguiti regolarmente su HTTPS?

Questa è una domanda sulla sicurezza generale da parte di un noob. Non sono riuscito a trovare nulla di rilevante su questo argomento tramite le mie ricerche su Google. Google preferisce visualizzare i problemi reali delle applicazioni con java e amp; SSL / HTTPS, / download.

Perché Oracle offre ancora gli archivi JDK (Java Development Kit) ufficiali tramite HTTP in chiaro?

Sono sinceramente curioso, perché la tecnologia IT (Twitter, Google, Facebook, Github, ..., roba interessante) sembra avanzare verso la crittografia HTTPS end-to-end, così che se ci fidiamo delle CA (vedi di seguito), dovremmo avere una buona garanzia che il software (o il codice) scaricato da questi siti sia originale. Java e altre comunità intorno a JVM sembrano attive, e tuttavia, la società che paga lo sviluppo della JVM ufficiale non può permettersi di aggiornare il suo sito web con download su SSL / TLS.

Sono molto curioso di questo in generale, perché le persone su Internet sembrano scrivere molto sui bug nel software di crittografia (come Heartbleed e altri che ho dimenticato) e tuttavia, molte persone e aziende non sono effettivamente coinvolte nel download di ingegneria del software ed esegui codice che può essere facilmente infettato dal MITM (e ora sappiamo quasi certamente che alcune potenti entità lo fanno).

Quanto possiamo fare affidamento sull'Autorità di certificazione? AFAIK, alcuni dei quali sono in paesi, dove la singola entità (gov) può fare di nascosto qualsiasi cosa voglia sulle loro macchine.

    
posta sqxmn 23.07.2016 - 01:55
fonte

2 risposte

1

Il JDK è offerto su HTTP perché offre anche un hash per confermare su canali sicuri . Poiché l'hash è su un canale sicuro, se questo hash non può essere confermato non è necessario utilizzare il download. Il fatto che la parte della verità (l'hash su cui esegui il check-in) sia consegnata in modo sicuro significa che possono offrirla via HTTP perché sarai in grado di verificare in sicurezza se il download è stato modificato durante il transito.

Le autorità CA non dovevano essere considerate attendibili . Dovevano essere un posto dove le persone potevano verificare se un certificato fosse stato emesso da loro. Questo è tutto ciò che confermano, è che il certificato è venuto da loro. Questo significa che dovresti essere scettico? Probabilmente no.

I negozi di fiducia per browser / computer sono ciò su cui ti stai realmente affidando per mantenerti al sicuro. Questo perché la conferma di un CERT SSL è un processo multiparte di fiducia tra te, il tuo computer, il tuo browser, il server DNS e il server CA. Se tutte e cinque le parti non sono d'accordo, non ti fidi e non ci vai. Spesso le CA hanno il loro indirizzo (i) di server memorizzato in questi trust store e se riconosciuto come una delle tante grandi CA, il browser si fiderà di loro e confermerà il certificato (perché è stato revisionato in anticipo e ritenuto affidabile da qualcuno). Se la CA non è presente nell'elenco, è probabile che venga visualizzato un avviso che non è possibile attendersi la cert (poiché la CA non è ancora attendibile da uno dei passaggi della catena di fiducia che si sta utilizzando). Spesso questo ti dà un avvertimento "ti piacerebbe DAVVERO davvero" che tu possa dire "Io davvero faccio" e mi connetto ancora. Tuttavia, se stai visitando un sito e non stanno utilizzando una CA nell'archivio fidato ... Perché stai andando su quel sito a meno che non ti fidi DAVVERO?

Ovviamente questo avviso può comparire se usano anche la propria CA interna, ma di solito a quel punto hai probabilmente installato il CERT nel tuo browser / negozio di computer, e quell'avvertimento non dovrebbe comparire perché tu Ho detto al tuo sistema di fidarsi di loro. In quel caso la catena di fiducia è con te e il server. Tutto sul tuo sistema è pronto per il viaggio.

TL, DR

Dovresti essere a posto a meno che non siano già nel tuo elenco di fiducia. In tal caso riceverai un avvertimento. Quindi spetta a te fidarti o meno.

In realtà tu sono ciò che decide quali certificati vengono considerati attendibili. Browser e computer ne offrono alcuni di default, e la maggior parte degli utenti lo accetta e alla fine li aggiunge alla lista. Alcuni non lo fanno e costruiscono il proprio elenco di CA. Entrambe sono opzioni valide fintanto che tu fai da solo pratiche sicure.

    
risposta data 23.07.2016 - 02:49
fonte
1

AFAIK, some of them are in countries, where single entity (gov) can covertly do whatever it wants on their machines.

Sì, molti paesi sono così oggi.

Purtroppo, per quanto riguarda i governi, il sistema CA non è (e non è mai stato) sicuro.

Le CA sono ancora valide per impedire a alcune persone e organizzazioni di attaccare, ma non tutte.

    
risposta data 23.07.2016 - 02:14
fonte

Leggi altre domande sui tag