Przechodząc do strony pobierania Oracle w celu pobrania JDK dla EE, pobieranie odbywa się przez HTTP (nie HTTPS), a plik wykonywalny nie jest podpisany. O ile mi wiadomo, nie opublikowano również skrótów SHA1, więc nie mam sposobu, aby sprawdzić, czy kod nie został zmieniony.
Czy ktoś wie, jak to sprawdzić, czy Oracle nie dało żadnego sposobu, aby upewnić się, że jest to bezpieczne?
Czy konfiguracja nie sprawdziłaby samego uszkodzenia przed uruchomieniem?
—
AndrejaKo
Tak, ale to nie jest pytanie. Chcę się upewnić, że nie został zmieniony (brak trojanów, wirusów lub innego złośliwego kodu) - innymi słowy, że faktycznie pochodzi z Oracle bez zmian. O to chodzi w skrótach SHA1 i podpisanych plikach wykonywalnych.
—
user53352 24.10.10
Nie sądzisz, że gdyby atakujący mogli zmienić pliki wykonywalne, przesłaliby zmienione skróty?
—
Sathyajith Bhat
Jeśli włamali się na stronę internetową, tak - jeśli to człowiek w środku, nie. Jestem przekonany, że serwery Oracle i Google są zabezpieczone, ale nie że każdy link między moim komputerem a nimi jest (mój dostawca czasami przekierowuje mnie na strony reklamowe podczas przeglądania popularnych witryn, takich jak hotmail - umieszczając je w ramce u góry, więc nie „ Ufam!) Kraj, w którym mieszkam, to duża komunistyczna dyktatura, więc nie jest niemożliwe, aby plik mógł zostać zmieniony podczas tranzytu (skrót SHA1 ze strony SSL gwarantowałby, że plik, który chciał wysłać strona internetowa, był tym, który dostałem ).
—
user53352,