アカウント名:
パスワード:
皆さんは普段から何かしらのソフトウェア(WindowsやGNU/Linuxのインストール用イメージ、各種アプリケーションのソースコードやビルド済みバイナリなど)をダウンロードして使っていることかと思いますが、その際にダウンロードしたファイルが改竄されていないかを確認していますか?
これにはいくつか宗派があると思いますが、ポイントとなるのはこのへんですかね?- HTTP/HTTPS- 公式のサーバーか否か- ハッシュ値の確認- 電子署名の確認
「何もやっていない」という人もいれば、「公式のサイトからhttpsでダウンロードしていればOK」という人もいるでしょうし、「一応ハッシュ値をSHA256SUMSとかの値と比較する」「電子署名を必ず確認する」といった人もいるでしょう。皆さんの意見をお聞かせください。
基本的に何もしない派。理論的に侵害はありえるし、実際に侵害された事例はいくかあるけど、「改ざんを確認していれば防げた」という事例は寡聞にして知らないので。Windowsバイナリのハッシュ値が提供されていることはほとんどないし、個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。社内数十人以上で使うパッケージなら一応ハッシュ値の比較を試みることはあるけど、それは改ざんの有無を確認するためではなく、ダウンロードが成功しているか確認するため。
> 個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。
Windowsで署名が正しく検証されればファイルのプロパティのデジタル署名に「このデジタル署名は問題ありません。」と表示されるところ、署名されたファイルが改変されていれば「このデジタル署名は有効ではありません。」と表示されるぞ。無署名とファイル改変での署名検証失敗はちゃんと区別される。
署名検証失敗したファイルのプロパティにデジタル署名タブは表示されねえけど
ん? いや、それは表示されるよ。手元でも確認してる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
スラドに聞け!ソフトウェアのintegrity (スコア:0)
皆さんは普段から何かしらのソフトウェア(WindowsやGNU/Linuxのインストール用イメージ、各種アプリケーションのソースコードやビルド済みバイナリなど)をダウンロードして使っていることかと思いますが、その際にダウンロードしたファイルが改竄されていないかを確認していますか?
これにはいくつか宗派があると思いますが、ポイントとなるのはこのへんですかね?
- HTTP/HTTPS
- 公式のサーバーか否か
- ハッシュ値の確認
- 電子署名の確認
「何もやっていない」という人もいれば、「公式のサイトからhttpsでダウンロードしていればOK」という人もいるでしょうし、「一応ハッシュ値をSHA256SUMSとかの値と比較する」「電子署名を必ず確認する」といった人もいるでしょう。皆さんの意見をお聞かせください。
Re: (スコア:0)
基本的に何もしない派。理論的に侵害はありえるし、実際に侵害された事例はいくかあるけど、「改ざんを確認していれば防げた」という事例は寡聞にして知らないので。
Windowsバイナリのハッシュ値が提供されていることはほとんどないし、個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。
社内数十人以上で使うパッケージなら一応ハッシュ値の比較を試みることはあるけど、それは改ざんの有無を確認するためではなく、ダウンロードが成功しているか確認するため。
Re: (スコア:0)
> 個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。
Windowsで署名が正しく検証されればファイルのプロパティのデジタル署名に「このデジタル署名は問題ありません。」と表示されるところ、署名されたファイルが改変されていれば「このデジタル署名は有効ではありません。」と表示されるぞ。
無署名とファイル改変での署名検証失敗はちゃんと区別される。
Re: (スコア:0)
署名検証失敗したファイルのプロパティにデジタル署名タブは表示されねえけど
Re:スラドに聞け!ソフトウェアのintegrity (スコア:0)
ん? いや、それは表示されるよ。手元でも確認してる。