由於從網路上下載軟體回自己電腦跑是種「引狼入室」的行為,如何用合理的方式驗證下載回來的軟體,會是對資安敏感的人的重要課題。
然後就看到一篇純粹抱怨文,以 PuTTY 為例,要肯定確定抓到的軟體是沒被「加料」過的卻是困難重重:「Downloading Software Safely Is Nearly Impossible」。
PuTTY 算是資訊安全類的軟體,但卻發現難以找到合理的方式確認 XDDD
首先是要先判斷「哪個站台是正確的官方站台」時,卻發現 putty.org 這個網域不是原作者 Simon Tatham 擁有,而即使是公認的官方網站 www.chiark.greenend.org.uk 的 greenend.org.uk 這個網域,也不是原作者擁有。
然後 www.chiark.greenend.org.uk 沒有提供 HTTPS,所以下載下來後還要想辦法確認沒被動手繳過。而作者的 RSA public key 放在 earth.li 網域上,同樣的這也不是作者擁有的網域,而且也遇到同樣問題:public key 的下載也不支援 HTTPS。
然後去 MIT 上的 PGP key server 翻也沒翻到,然後文章作者就崩潰自暴自棄直接執行下去了 XDDD
PuTTY 的這一串過程好像從以前就沒改善... XD
PuTTY自己編譯不好嗎? XD
自己編譯也一樣要想辦法確認 source code 沒被動手繳過... 或自己全部 code audit 一次
真的這樣的話還不如自己寫啊 XD
雜湊函數確認過就好了啊?
還是我忽略了什麼?
因為你的 hash value 可能也被改過...