it-swarm-ja.com

HTTPS経由でMicrosoftSecurityEssentialsをダウンロードする

新しいWindows7ホームPCにMicrosoftSecurityEssentialsをダウンロードしたい。私に提示された公式サイトは http://windows.Microsoft.com/de-CH/windows/products/security-essentials で、私はスイスにいます。実際のパッケージへのリンクは次のとおりです。

http://go.Microsoft.com/fwlink/?LinkID=231276

ダウンロードはHTTPSで保護されていません。どうして?これはマイクロソフトが最初にすべきことではないでしょうか?すでにOSに証明書を配信して、本当に安全にすることもできます。

9
Marcel

とにかくすべてのMicrosoftソフトウェアがデジタル署名されているため、これはプレーンHTTPです。署名は.exeファイルに埋め込まれ、起動時にWindowsによって検証されます。 (これはダウンロードセンターに投稿されたすべてのファイルの要件であることを覚えているようです。)

HTTPSとは異なり、実際のダウンロードに署名することは、どこでも署名を確認できることも意味します(CDや友人からコピーした場合など)。

Security warningSignature details

15
user1686

SSLを介して送信されても​​、考えている方法でダウンロードがより安全になるわけではありません。 SSLは、送受信しているデータを非表示にするだけです。したがって、たとえば、クレジットカード番号を送信したり、インターネット経由でログインしたりする場合、HTTPS接続により、送信したデータの内容を覗き見者が知ることができなくなります。

暗号化されたソースから固定ファイルを送信することは、受信している内容がすでに公開されているため、せいぜいわずかに優れているだけです。 HTTPS上にある場合でも、誰かがあなたが送受信している場所のデータを持っていれば、あなたがダウンロードしているものを推測する可能性があります。

6
Jeff F.

実際にMicrosoftのサーバーからファイルをダウンロードしていないため、MicrosoftはHTTPSを使用しません。ファイルは、Microsoftが所有または管理していないサーバーを使用して配信されます。

あなたが投稿したダウンロードリンクは単なるリダイレクトリンクであり、私のマシンでは最終的に

http://mse.dlservice.Microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe 

URLを操作してHTTPSにすると、証明書エラーが発生します。 Chromeのメッセージ:

Mse.dlservice.Microsoft.comにアクセスしようとしましたが、実際には、自分自身をa248.e.akamai.netとして識別するサーバーにアクセスしました。

Microsoftは、他の多くの企業と同様に、コンテンツ配信ネットワーク(CDN)を使用して、地理的にユーザーに近いサーバーを使用してファイルを配信しています。この場合、AkamaiはMicrosoftのダウンロードを提供しているCDNです。

5
heavyd

HTTPS経由でダウンロードする必要はありません。ダウンロードセンターのすべてのソフトウェアは、Microsoftによって署名され、インストール中に認証されます。

4
Wessel