1
xfspace 2017-07-06 22:17:56 +08:00 via Android
看数字签名...
Code signature 好像得公司才颁发,一般搞不到一样的数字证书 |
2
taineric OP @xfspace 升级程序应该是自动执行的吧,而且一般都继承了高权限。感觉连下载目录都找不到,而且还是静默的。
|
3
ysc3839 2017-07-06 22:48:44 +08:00 1
“而且一般都继承了高权限”
我觉得不会吧,一般是先把文件下载下来,然后管理员身份运行,在这时候用户就会发现即将运行的程序没有数字签名。不过说到底用户不一定会分辨这些,直接允许了。 |
5
pq 2017-07-06 23:02:39 +08:00
以前 repo 没强制 https 的时候,dnf 源就发现被劫持到运营商的服务器了,吓得我赶紧重装了,然后强制 https。说实在的,开源 linux 的包虽然有 gpg 签名验证,但相对商业公司来说,我感觉那个 key 更容易泄露。。。
|
6
taineric OP @ysc3839 很多程序为了"用户体验"都在系统注册了高权限的服务,甚至加了驱动。而且很多程序一打开就要求管理员。这样子下载的程序就会继承服务或者主程序的权限,直接就是管理员。
|
7
taineric OP @pq 这些和运营商的总部没有关系,一般是当地的分公司为了谋利而搞的,总部虽然视而不见,但不至于给分公司帮忙申请证书。
曾经 Firefox 的官网安装包就被替换过。不过 Linux 发行版大多有商业公司提供基础设施,比如 Canonical,RedHat ,Novell |
8
nfroot 2017-07-06 23:18:20 +08:00
你作为用户,是没办法的,全局 VPN 吧。或者监控网络,发现明文 http 请求 exe,apk 等后缀的,就采用 VPN,其他时候就默认本地宽带
|
9
nfroot 2017-07-06 23:19:17 +08:00 1
作为软件开发者要解决这个问题还是很容易的,验证一下数字签名,或者自己搞一个签名算法替代系统自带的
|
10
zingl 2017-07-07 00:45:09 +08:00
https 就能基本解决劫持了吧,软件作者应该背大锅
|
11
anyele 2017-07-07 00:46:58 +08:00 via Android
uwp
|
12
kiari 2017-07-07 00:54:58 +08:00
想问下,MAC App store 里面的软件更新走的是 https 吗? mac 自带的软件经常也需要更新的。。
|