Download do Microsoft Security Essentials via HTTPS

9

Quero fazer o download do Microsoft Security Essentials no meu novo PC com Windows 7. O site oficial que me é apresentado é http://windows.microsoft.com/de-CH/windows/products/security-essentials , pois estou localizado na Suíça. O link para o pacote real é:

http://go.microsoft.com/fwlink/?LinkID=231276

O download não é protegido com HTTPS. Por quê? Isso não seria a primeira coisa que a Microsoft deveria fazer? Eles poderiam até entregar o certificado já com o sistema operacional para torná-lo realmente seguro.

windows-7 security download https Marcel
fonte

Respostas:

15

É HTTP simples, porque todo o software da Microsoft é assinado digitalmente; a assinatura é incorporada no .exearquivo e verificada pelo Windows no lançamento. (Lembro-me de que este é um requisito para todos os arquivos postados no Centro de Download.)

Ao contrário do HTTPS, assinar o download real também significa que você pode verificar a assinatura em qualquer lugar (como copiado de um CD ou de um amigo).

Aviso de segurança Detalhes da assinatura

user1686
fonte
Obrigado por esclarecer isso para mim. Agora me sinto muito mais confortável.
Marcel
Você não está cometendo o erro de supor que, se você foi atacado pelo MITM, ainda está baixando o software da Microsoft? Na verdade, é um local ideal para construir algum tipo de botnet, do jeito que eu o vejo.
Steinbitglis
6

Ser transmitido por SSL não torna o download mais seguro da maneira que você pensa. O SSL simplesmente oculta os dados que você está enviando e recebendo. Por exemplo, se você estiver enviando um número de cartão de crédito ou fizer login pela Internet, uma conexão HTTPS impediria qualquer espectador de saber o conteúdo dos dados que você enviou.

A transmissão de um arquivo fixo de uma fonte criptografada seria apenas, na melhor das hipóteses, marginalmente melhor, já que o conteúdo do que você está recebendo já é público. Mesmo se estivesse no HTTPS, se alguém tivesse os dados de onde você estava transmitindo / recebendo de / para, provavelmente ainda poderia deduzir o que você está baixando.

Jeff F.
fonte
4
Não é inteiramente verdade. O SSL também garante que o servidor ao qual você está se conectando tenha sido verificado, por alguma Autoridade de Certificação em que você confia, para ser quem eles dizem que são (por exemplo, microsoft.com). Ou seja, você pode estar relativamente confiante de que está realmente conectado aos servidores da Microsoft, e não um bandido que está realizando um ataque MITM.
heavyd
1
@jeff F.: Estou confortável com quem sabe que estou baixando o pacote (também estou anunciando isso aqui no superusuário :-)) Mas quero ter certeza de que realmente recebo o que estava procurando, não algo outro.
Marcel
1
O @Marcel heavyd está correto sobre o ataque MITM, mas esse tipo de ataque requer acesso adicional, é claro.
Jeff F.
5

A Microsoft não usa HTTPS porque você não está realmente baixando o arquivo dos servidores da Microsoft. Os arquivos são entregues usando um servidor que a Microsoft não possui ou controla.

O link de download que você postou é apenas um link de redirecionamento, que na minha máquina acabou resolvendo para 

http://mse.dlservice.microsoft.com/download/A/3/8/A38FFBF2-1122-48B4-AF60-E44F6DC28BD8/enus/x86/mseinstall.exe

Se você jogar com o URL e torná-lo HTTPS, receberá um erro de certificado. A mensagem no Chrome diz:

Você tentou acessar mse.dlservice.microsoft.com, mas na verdade chegou a um servidor que se identificava como a248.e.akamai.net.

A Microsoft, como muitas outras empresas, usa CDNs (Content Delivery Networks) para entregar seus arquivos usando um servidor geograficamente próximo de seus usuários. Nesse caso, a Akamai é a CDN que serve os downloads da Microsoft.

pesado
fonte
se o URL lê microsoft.com, como é proveniente de outra fonte?
Moab
@Moab, a Microsoft está apontando para os servidores Akamai em suas entradas DNS. Quando você pesquisa a entrada DNS específica, ela contém uma entrada CNAME para os servidores Akamai, entre outras entradas.
heavyd
4

Não é necessário fazer o download por HTTPS. Todo o software em seu centro de download é assinado pela Microsoft e autenticado durante a instalação.

Wessel
fonte