Mengunduh Microsoft Security Essentials melalui HTTPS

9

Saya ingin mengunduh Microsoft Security Essentials di PC rumahan Windows 7 saya yang baru. Situs resmi yang disajikan kepada saya adalah http://windows.microsoft.com/de-CH/windows/products/security-essentials , karena saya berlokasi di Swiss. Tautan ke paket yang sebenarnya adalah:

http://go.microsoft.com/fwlink/?LinkID=231276

Unduhan tidak diamankan dengan HTTPS. Mengapa? Bukankah ini hal pertama yang harus dilakukan Microsoft? Mereka bahkan dapat mengirimkan sertifikat dengan OS untuk membuatnya benar-benar aman.

Marcel
sumber

Jawaban:

15

Ini HTTP biasa karena semua perangkat lunak Microsoft tetap ditandatangani secara digital; tanda tangan tertanam dalam .exefile dan diverifikasi oleh Windows pada saat peluncuran. (Sepertinya saya ingat bahwa ini adalah persyaratan untuk semua file yang diposting di Pusat Unduhan mereka.)

Tidak seperti HTTPS, menandatangani unduhan yang sebenarnya juga berarti Anda dapat memeriksa tanda tangan di mana-mana (seperti disalin dari CD atau teman).

Peringatan keamanan Detail tanda tangan

pengguna1686
sumber
Terima kasih telah menjelaskan ini kepada saya. Saya sekarang merasa jauh lebih nyaman.
Marcel
Tidakkah Anda membuat kesalahan dengan berasumsi bahwa jika Anda telah diserang MITM, Anda masih mengunduh perangkat lunak Microsoft? Ini sebenarnya tempat yang manis untuk membangun botnet, seperti yang saya lihat.
Steinbitglis
6

Ditransmisikan melalui SSL tidak membuat unduhan lebih aman dengan cara Anda berpikir. SSL hanya menyembunyikan data yang Anda kirim dan terima. Jadi misalnya, jika Anda mengirim nomor kartu kredit atau login melalui internet, koneksi HTTPS akan mencegah pengintip mengetahui apa isi data yang Anda kirimkan.

Mengirim file tetap dari sumber terenkripsi hanya akan, paling tidak, sedikit lebih baik karena isi dari apa yang Anda terima sudah bersifat publik. Bahkan jika itu di HTTPS, jika seseorang memiliki data di mana Anda mengirim / menerima ke / dari, mereka masih bisa menyimpulkan apa yang Anda unduh.

Jeff F.
sumber
4
Tidak sepenuhnya benar. SSL juga memastikan bahwa server yang Anda sambungkan telah diverifikasi, oleh beberapa Otoritas Sertifikat yang Anda percayai, untuk menjadi seperti yang mereka katakan (misalkan microsoft.com misalnya). Berarti Anda bisa relatif yakin bahwa Anda sebenarnya terhubung ke server Microsoft, bukan orang jahat yang melakukan serangan MITM.
heavyd
1
@jeff F.: Saya nyaman dengan siapa pun mengetahui bahwa saya mengunduh paket (Saya juga mengiklankan bahwa di sini di superuser :-)) Tapi saya ingin memastikan, bahwa saya benar-benar menerima apa yang saya cari, bukan sesuatu lain.
Marcel
1
@ Marscel heavyd benar tentang serangan MITM, tetapi jenis serangan itu tentu saja memerlukan akses tambahan.
Jeff F.
5

Microsoft tidak menggunakan HTTPS karena Anda sebenarnya tidak mengunduh file dari server Microsoft. File-file dikirim menggunakan server yang tidak dimiliki atau dikendalikan oleh Microsoft.

Tautan pengunduhan yang Anda poskan hanyalah tautan pengalihan, yang akhirnya diselesaikan oleh mesin saya

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe 

Jika Anda bermain dengan url dan menjadikannya HTTPS, Anda mendapatkan kesalahan sertifikat. Pesan di Chrome mengatakan:

Anda mencoba menjangkau mse.dlservice.microsoft.com, tetapi Anda malah mencapai server yang mengidentifikasi dirinya sebagai a248.e.akamai.net.

Microsoft, seperti banyak perusahaan lain, menggunakan Content Delivery Networks (CDNs) untuk mengirimkan file-nya menggunakan server yang secara geografis dekat dengan penggunanya. Dalam hal ini Akamai adalah CDN yang melayani unduhan Microsoft.

astaga
sumber
jika url membaca microsoft.com, bagaimana asalnya dari sumber lain?
Moab
@ Moab, Microsoft menunjuk ke server Akamai dalam entri DNS mereka. Ketika Anda mencari entri DNS tertentu itu berisi entri CNAME ke server Akamai, di antara entri lainnya.
Lyd,
4

Tidak perlu mengunduh melalui HTTPS. Semua perangkat lunak di pusat unduhannya ditandatangani oleh Microsoft dan disahkan selama instalasi.

Wessel
sumber