Download di Microsoft Security Essentials tramite HTTPS

9

Voglio scaricare Microsoft Security Essentials sul mio nuovo PC Windows 7. Il sito ufficiale presentato a me è http://windows.microsoft.com/de-CH/windows/products/security-essentials , visto che mi trovo in Svizzera. Il link al pacchetto reale è quindi:

http://go.microsoft.com/fwlink/?LinkID=231276

Il download non è protetto con HTTPS. Perché? Non sarebbe questa la prima cosa che Microsoft dovrebbe fare? Potrebbero persino consegnare il certificato già con il sistema operativo per renderlo veramente sicuro.

windows-7  security  download  https 
Marcel
fonte

Risposte:

15

È semplice HTTP perché tutto il software Microsoft è comunque firmato digitalmente; la firma è incorporata nel .exe file e verificato da Windows all'avvio. (Mi sembra di ricordare che questo è un requisito per tutti i file pubblicati nel loro Centro download.)

A differenza di HTTPS, firmare il download effettivo significa anche poter controllare la firma ovunque (ad esempio copiata da un CD o da un amico).

Security warning Signature details

grawity
fonte
Grazie per aver chiarito questo a me. Ora mi sento molto più a mio agio.
Marcel
Non stai commettendo l'errore di pensare che se sei stato attaccato dal MITM, stai ancora scaricando software Microsoft? In realtà è un buon punto per costruire una botnet di qualche tipo, per come la vedo io.
Steinbitglis
6

Essere trasmessi su SSL non rende il download più sicuro nel modo in cui stai pensando. SSL nasconde semplicemente i dati che stai inviando e ricevendo. Ad esempio, se invii un numero di carta di credito o effettui il login su Internet, una connessione HTTPS impedirebbe a qualsiasi utente di sapere quale contenuto dei dati inviati.

La trasmissione di un file fisso da una fonte crittografata sarebbe, nella migliore delle ipotesi, solo marginalmente migliore poiché il contenuto di ciò che si sta ricevendo è già pubblico. Anche se fosse su HTTPS, se qualcuno avesse i dati di dove stavi trasmettendo / ricevendo da / per, potrebbero ancora probabilmente dedurre ciò che stai scaricando.

Jeff F.
fonte
4
Non completamente vero. SSL garantisce inoltre che il server a cui ci si sta collegando sia stato verificato, da parte di un'autorità di certificazione di cui si ha fiducia, per essere quello che dicono di essere (ad esempio microsoft.com per esempio). Ciò significa che puoi essere relativamente sicuro di essere effettivamente collegato ai server di Microsoft, non di un cattivo ragazzo che esegue un attacco MITM.
heavyd
@ Heavyd: Grazie per aver menzionato il MITM.
Marcel
1
@jeff F.: Mi sento a mio agio con chiunque sappia che sto scaricando il pacchetto (ho anche fatto pubblicità qui in superuser :-)) Ma voglio essere sicuro, che effettivamente ricevo quello che stavo cercando, non qualcosa altro.
Marcel
1
@Marcel heavyd ha ragione sull'attacco MITM, ma quel tipo di attacco richiede ovviamente un accesso aggiuntivo.
Jeff F.
5

Microsoft non usa HTTPS perché in realtà non stai scaricando il file dai server Microsoft. I file vengono consegnati tramite server che Microsoft non possiede o controlla.

Il link di download che hai pubblicato è solo un link di reindirizzamento, che alla mia macchina alla fine ha risolto 

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe

Se giochi con l'url e lo fai HTTPS ottieni un errore di certificato. Il messaggio in Chrome dice:

Hai tentato di raggiungere mse.dlservice.microsoft.com, ma invece hai effettivamente raggiunto un server che si identifica come a248.e.akamai.net.

Microsoft, come molte altre aziende, utilizza Content Delivery Network (CDN) per consegnare i propri file utilizzando server che sono geograficamente vicini ai propri utenti. In questo caso, Akamai è il CDN che serve i download di Microsoft.

heavyd
fonte
se l'url legge microsoft.com, come viene da un'altra fonte?
Moab
@Moab, Microsoft sta indicando i server Akamai nelle loro voci DNS. Quando si cerca la particolare voce DNS contiene una voce CNAME ai server Akamai, tra le altre voci.
heavyd
4

Non è necessario scaricare su HTTPS. Tutto il software sul loro centro download è firmato da Microsoft e autenticato durante l'installazione.

Wessel
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.