这是一个创建于 1424 天前的主题,其中的信息可能已经有所发展或是发生改变。
情况是这样的:
昨天我在 FileZilla 官网( https://filezilla-project.org/download.php?show_all=1 )下载了 win64 的 .exe 安装包( Chrome 浏览器下载),下载完之后也没多想就直接下一步、下一步给安装上了,软件可以正常使用,但是 Windows 安全中心老是提示有风险(安装路径里面的执行文件和 .exe 安装包都提示)。
然后我就跑去官网重新下载了一遍(两个文件名当然也是一样的),分别校验 SHA-512 值,和官网提供的对比,结果发现昨天下载的对不上,今天下载的是一致的(两个文件文件名、版本号都是一致的)。
我还能够看到 Chrome 浏览器昨天的下载历史记录。
这是不是说明通常的热门软件安装包,在下载时都有可能被掉包?
(有时候懒,侥幸心理就没有校验,不过国内的下载站应该是从来不提供校验值的)
昨天我在 FileZilla 官网( https://filezilla-project.org/download.php?show_all=1 )下载了 win64 的 .exe 安装包( Chrome 浏览器下载),下载完之后也没多想就直接下一步、下一步给安装上了,软件可以正常使用,但是 Windows 安全中心老是提示有风险(安装路径里面的执行文件和 .exe 安装包都提示)。
然后我就跑去官网重新下载了一遍(两个文件名当然也是一样的),分别校验 SHA-512 值,和官网提供的对比,结果发现昨天下载的对不上,今天下载的是一致的(两个文件文件名、版本号都是一致的)。
我还能够看到 Chrome 浏览器昨天的下载历史记录。
这是不是说明通常的热门软件安装包,在下载时都有可能被掉包?
(有时候懒,侥幸心理就没有校验,不过国内的下载站应该是从来不提供校验值的)
 |
1
oott123 2020-12-23 17:26:27 +08:00
听起来不太可能,方便的话最好上传一下你昨天下载的安装包的样本。FileZilla 的安装包是有数字签名的。
|
 |
2
he110comex OP @oott123 我用 Windows 自带的安全中心全盘扫了一遍,提示风险的给删了,那个包现在没有了
我猜想很多软件会提供 校验值,是不是从侧面印证了,下载的安装包可能会原始包不一致(有掉包的可能)? 如果不存在不一致,很多网站提供校验值的目的是什么? 1 、下载工具出现下载错误(例如迅雷就会自动替换成自己服务器上的文件,以前出现过不一致的情况)? 2 、下载过程中链接被替换? 3 、官网提供的文件被掉包? |
 |
3
also24 2020-12-23 17:57:53 +08:00
@he110comex #2
1 、用户的浏览器 /下载工具 /宽带相对来说未必可信,存在作恶的可能 2 、许多软件为了方便下载,会主动加上 CDN 服务,或者分流站、镜像站,这些地方的内容存在被恶意替换的可能。 3 、除了官方授意的分流,还有第三方软件商店、下载站、BT 等途径,存在不受官方管控的分发方式。 4 、虽然概率极小,但是网络传输过程中仍然存在传输了一个『破损文件』的概率。 综上,需要提供一个简单直接的手段来让用户进行验证。 |
|
4
oott123 2020-12-23 18:25:29 +08:00 via Android
Windows 安全中心如果说的是 Defender 的话,应该是可以反删除的,可以找找隔离区。
在如今 https 普及的大背景下,已经很难在链路上发生普通的安装包被劫持掉包的事件了——也就是说一般是用户侧浏览器或者内容提供商(和它的合作分发者)这两者之一出了问题。 |
 |
5
ljsh093 2020-12-23 18:56:24 +08:00 via iPhone
https 下很难调包吧
|
 |
6
Whalko 2020-12-23 19:04:24 +08:00
你的问题,刚刚下了一个,用 certutil,100% hash 。
我的链接是: https://dl2.cdn.filezilla-project.org/client/FileZilla_3.51.0_win64-setup.exe?h=鉴权用&x=鉴权用 |
Select Language