Как я могу загрузить криптографически подписанную версию Java JDK из Oracle?

225
user53352

При переходе на сайт загрузки Oracle для загрузки JDK для EE загрузка происходит по HTTP (не HTTPS), а исполняемый файл не подписан. Насколько я могу судить, также не опубликовано ни одного хэша SHA1, поэтому у меня нет возможности убедиться, что код не был изменен.

Кто-нибудь знает способ проверить это или Oracle не дал никакого способа убедиться, что это безопасно?

4
Не настроит ли сама проверка на наличие повреждений перед запуском AndrejaKo 13 лет назад 0
Да, но это не вопрос. Я хочу убедиться, что он не был подделан (без троянов, вирусов или другого вредоносного кода) - другими словами, что он на самом деле пришел из Oracle без изменений. В этом смысл хэшей SHA1 и подписанных исполняемых файлов. user53352 13 лет назад 0
Не думаете ли вы, что если злоумышленники смогут изменить исполняемые файлы, они загрузят измененные хеши? Sathya 13 лет назад 0
Если они взломали сайт, то да, если это был человек посередине, нет. Я вполне уверен, что серверы Oracle и Google защищены, но не все ссылки между моим компьютером и ними (мой провайдер иногда перенаправляет меня на рекламные страницы, когда я просматриваю общие сайты, такие как hotmail - создавая их сверху, поэтому я не не доверяю!) Страна, в которой я живу, является большой коммунистической диктатурой, поэтому не исключено, что файл можно будет изменить при транспортировке (хэш SHA1 со страницы SSL гарантирует, что файл, который хотел отправить веб-сайт, был тем, который я получил) ). user53352 13 лет назад 0
Возможная копия [Есть ли способ убедиться, что загруженный файл от Microsoft?] (Https://superuser.com/questions/1253489/is-there-any-way-to-make-sure-that-downloaded- файл-это-из-Microsoft) Burgi 5 лет назад 0

1 ответ на вопрос

1
Riduidel

Очевидно, что эти md5 вещи не видны большинству крупных поставщиков программного обеспечения. Если вы заходите на сайты Oracle, IBM, Microsoft, подписей md5 не будет. Даже для самых дорогих продуктов! Я полагаю, они не так серьезно относятся к этому риску, как вы.

Во всяком случае, кажется, есть обходной путь. Похоже, что Olex предоставляет подписанные загрузки для различных продуктов с открытым исходным кодом / бесплатных программ, и JDK в комплекте!

Похожие вопросы