Herunterladen von Microsoft Security Essentials über HTTPS

9

Ich möchte Microsoft Security Essentials auf meinen brandneuen Windows 7-Heim-PC herunterladen. Die offizielle Website, die mir präsentiert wird, ist http://windows.microsoft.com/de-CH/windows/products/security-essentials , da ich in der Schweiz bin. Der Link zum eigentlichen Paket lautet dann:

http://go.microsoft.com/fwlink/?LinkID=231276

Der Download ist nicht mit HTTPS gesichert. Warum? Wäre dies nicht das erste, was Microsoft tun sollte? Sie könnten das Zertifikat sogar bereits mit dem Betriebssystem ausliefern, um es wirklich sicher zu machen.

Marcel
quelle

Antworten:

15

Es ist einfaches HTTP, da die gesamte Microsoft-Software ohnehin digital signiert ist. Die Signatur wird in die .exeDatei eingebettet und beim Start von Windows überprüft. (Ich erinnere mich anscheinend, dass dies eine Voraussetzung für alle Dateien ist, die in ihrem Download Center veröffentlicht wurden.)

Im Gegensatz zu HTTPS bedeutet das Signieren des tatsächlichen Downloads auch, dass Sie die Signatur überall überprüfen können (z. B. von einer CD oder einem Freund kopiert).

Sicherheitswarnung Unterschriften Details

user1686
quelle
Vielen Dank, dass Sie mir das klargestellt haben. Ich fühle mich jetzt viel wohler.
Marcel
Machen Sie nicht den Fehler anzunehmen, dass Sie bei einem MITM-Angriff immer noch Microsoft-Software herunterladen? Es ist eigentlich ein Sweet Spot für den Aufbau eines Botnetzes, so wie ich es sehe.
Steinbitglis
6

Die Übertragung über SSL macht den Download nicht sicherer, als Sie denken. SSL verbirgt einfach die Daten, die Sie senden und empfangen. Wenn Sie beispielsweise eine Kreditkartennummer senden oder sich über das Internet anmelden, verhindert eine HTTPS-Verbindung, dass ein Peeper weiß, was der Inhalt der von Ihnen gesendeten Daten enthält.

Das Übertragen einer festen Datei von einer verschlüsselten Quelle wäre bestenfalls geringfügig besser, da der Inhalt dessen, was Sie empfangen, bereits öffentlich ist. Selbst wenn es sich um HTTPS handelte und jemand die Daten darüber hatte, wohin Sie gesendet / empfangen haben, könnte er wahrscheinlich dennoch ableiten, was Sie herunterladen.

Jeff F.
quelle
4
Nicht ganz richtig. SSL stellt außerdem sicher, dass der Server, zu dem Sie eine Verbindung herstellen, von einer Zertifizierungsstelle, der Sie vertrauen, überprüft wurde, wer sie sind (z. B. microsoft.com). Das heißt, Sie können relativ sicher sein, dass Sie tatsächlich eine Verbindung zu den Servern von Microsoft herstellen und nicht zu einem Bösewicht, der einen MITM-Angriff ausführt.
Heavyyd
1
@jeff F .: Ich fühle mich wohl mit jedem, der weiß, dass ich das Paket herunterlade (ich mache das auch hier im Superuser bekannt :-)). Aber ich möchte sicher sein, dass ich tatsächlich das bekomme, wonach ich gesucht habe, nicht etwas sonst.
Marcel
1
@Marcel heavyyd ist in Bezug auf den MITM-Angriff korrekt, aber diese Art von Angriff erfordert natürlich zusätzlichen Zugriff.
Jeff F.
5

Microsoft verwendet kein HTTPS, da Sie die Datei nicht von den Servern von Microsoft herunterladen. Die Dateien werden auf einem Server geliefert, den Microsoft nicht besitzt oder kontrolliert.

Der von Ihnen gepostete Download-Link ist nur ein Weiterleitungslink, der auf meinem Computer schließlich aufgelöst wurde

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe 

Wenn Sie mit der URL spielen und sie zu HTTPS machen, wird ein Zertifikatfehler angezeigt. Die Nachricht in Chrome lautet:

Sie haben versucht, mse.dlservice.microsoft.com zu erreichen, aber stattdessen haben Sie tatsächlich einen Server erreicht, der sich als a248.e.akamai.net identifiziert.

Microsoft verwendet wie viele andere Unternehmen Content Delivery Networks (CDNs), um seine Dateien mithilfe eines Servers bereitzustellen, der sich geografisch in der Nähe seiner Benutzer befindet. In diesem Fall ist Akamai das CDN, das die Downloads von Microsoft bereitstellt.

schwer
quelle
Wenn die URL microsoft.com lautet, wie kommt sie von einer anderen Quelle?
Moab
@Moab, Microsoft verweist in seinen DNS-Einträgen auf die Akamai-Server. Wenn Sie nach einem bestimmten DNS-Eintrag suchen, enthält dieser unter anderem einen CNAME-Eintrag für die Akamai-Server.
Heavyyd
4

Das Herunterladen über HTTPS ist nicht erforderlich. Die gesamte Software in ihrem Download Center wird von Microsoft signiert und während der Installation authentifiziert.

Wessel
quelle
-1

Wenn Sie Firefox oder Chrome installiert haben, können Sie versuchen, mit diesem HTTPS Everywhere-Plug-In für diese Browser von Microsoft herunterzuladen. https://www.eff.org/https-everywhere

j_bombay
quelle