我想在我全新的 Windows 7 家用电脑上下载 Microsoft Security Essentials。我所看到的官方网站是http://windows.microsoft.com/de-CH/windows/products/security-essentials,因为我位于瑞士。那么实际包的链接是:
http://go.microsoft.com/fwlink/?LinkID=231276
下载未使用 HTTPS 进行保护。为什么?这难道不是微软应该做的第一件事吗?他们甚至可以随操作系统一起提供证书,以使其真正安全。
答案1
它是纯 HTTP,因为所有 Microsoft 软件都经过数字签名;签名嵌入在文件中.exe并在启动时由 Windows 进行验证。(我似乎记得这是他们下载中心发布的所有文件的要求。)
与 HTTPS 不同,对实际下载进行签名还意味着您可以在任何地方检查签名(例如从 CD 或朋友那里复制)。
答案2
通过 SSL 传输并不像您想象的那样使下载更安全。SSL 只是隐藏了您发送和接收的数据。例如,如果您通过互联网发送信用卡号或登录名,HTTPS 连接将阻止任何窥探者知道您发送的数据包含哪些内容。
从加密源传输固定文件最多只能稍微好一点,因为你接收的内容已经公开。即使它是在 HTTPS 上,如果有人知道你发送/接收的位置数据,他们仍然可能推断出你正在下载什么。
答案3
Microsoft 不使用 HTTPS,因为您实际上并非从 Microsoft 的服务器下载文件。文件是通过 Microsoft 不拥有或控制的服务器传送的。
您发布的下载链接只是一个重定向链接,在我的计算机上最终解析为
http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe
如果您使用该 URL 并将其设为 HTTPS,则会收到证书错误。Chrome 中的消息显示:
您尝试访问 mse.dlservice.microsoft.com,但实际上您访问的服务器却标识为 a248.e.akamai.net。
微软和许多其他公司一样,使用内容分发网络 (CDN) 来通过地理位置靠近用户的服务器分发文件。在本例中,Akamai 就是为微软提供下载服务的 CDN。
答案4
如果您安装了 Firefox 或 Chrome,您可以尝试使用适用于这些浏览器的 HTTPS Everywhere 插件从 Microsoft 下载。https://www.eff.org/https-everywhere