如何安全下載軟體...

由於從網路上下載軟體回自己電腦跑是種「引狼入室」的行為,如何用合理的方式驗證下載回來的軟體,會是對資安敏感的人的重要課題。

然後就看到一篇純粹抱怨文,以 PuTTY 為例,要肯定確定抓到的軟體是沒被「加料」過的卻是困難重重:「Downloading Software Safely Is Nearly Impossible」。

PuTTY 算是資訊安全類的軟體,但卻發現難以找到合理的方式確認 XDDD

首先是要先判斷「哪個站台是正確的官方站台」時,卻發現 putty.org 這個網域不是原作者 Simon Tatham 擁有,而即使是公認的官方網站 www.chiark.greenend.org.uk 的 greenend.org.uk 這個網域,也不是原作者擁有。

然後 www.chiark.greenend.org.uk 沒有提供 HTTPS,所以下載下來後還要想辦法確認沒被動手繳過。而作者的 RSA public key 放在 earth.li 網域上,同樣的這也不是作者擁有的網域,而且也遇到同樣問題:public key 的下載也不支援 HTTPS。

然後去 MIT 上的 PGP key server 翻也沒翻到,然後文章作者就崩潰自暴自棄直接執行下去了 XDDD

PuTTY 的這一串過程好像從以前就沒改善... XD

This entry was posted in Computer, Murmuring, Network, Security, WWW and tagged , , , . Bookmark the permalink.

6 Responses to 如何安全下載軟體...

  1. Roy says:

    PuTTY自己編譯不好嗎? XD

  2. Dennis Cheung says:

    自己編譯也一樣要想辦法確認 source code 沒被動手繳過... 或自己全部 code audit 一次

  3. Roy says:

    真的這樣的話還不如自己寫啊 XD

  4. Jack says:

    雜湊函數確認過就好了啊?
    還是我忽略了什麼?

  5. Gea-Suan Lin says:

    因為你的 hash value 可能也被改過...

  6. Pingback: 用 mRemoteNG 取代 PuTTY | Gea-Suan Lin's BLOG

Leave a Reply

Your email address will not be published. Required fields are marked *