パスワードを忘れた? アカウント作成
15616629 story
暗号

Microsoft Update カタログのダウンロードリンク、HTTPS に変更される 18

ストーリー by headless
変更 部門より
Microsoft が Microsoft Update カタログのダウンロードリンクを HTTPS に変更した (Ghacks の記事Deskmodder.de の記事Borns IT- und Windows-Blog の記事)。

Microsoft Update カタログの Web サイト自体は以前から HTTPS で提供されていたが、生成されるダウンロードリンクが HTTP だったため、多くの環境でブラウザーにブロックされてファイルがダウンロードできない状況になっていた。今回の変更に伴ってダウンロードリンクのドメインがこれまでの「download.windowsupdate.com」から「catalog.s.download.windowsupdate.com」に変わったが、旧リンクからのダウンロードも可能なようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年04月03日 16時43分 (#4226372)

    Microsoft Update カタログはSHA-1廃止の例外扱いになっていて、いまだにWindows XP時代の更新プログラムも提供されているみたいだからね

  • by Anonymous Coward on 2022年04月03日 17時06分 (#4226376)

    皆さんは普段から何かしらのソフトウェア(WindowsやGNU/Linuxのインストール用イメージ、各種アプリケーションのソースコードやビルド済みバイナリなど)をダウンロードして使っていることかと思いますが、その際にダウンロードしたファイルが改竄されていないかを確認していますか?

    これにはいくつか宗派があると思いますが、ポイントとなるのはこのへんですかね?
    - HTTP/HTTPS
    - 公式のサーバーか否か
    - ハッシュ値の確認
    - 電子署名の確認

    「何もやっていない」という人もいれば、「公式のサイトからhttpsでダウンロードしていればOK」という人もいるでしょうし、「一応ハッシュ値をSHA256SUMSとかの値と比較する」「電子署名を必ず確認する」といった人もいるでしょう。皆さんの意見をお聞かせください。

    • by Anonymous Coward

      インストールイメージで良くあるisoは電子署名をそのままだと付けられないのが難点。
      破損チェックも含めてファイルサイズとハッシュ値チェックはしてる。
      気休めだけどハッシュ値は別サーバから持ってきて比較してる。
      ハッシュ値や電子署名をチェックしてるので、ダウンロードはhttpやftpでもいっかって感じ。

      Linuxなら、aptとかのパッケージマネージャーが勝手に電子署名チェックしてるとかじゃないかな。

    • by Anonymous Coward

      基本的に何もしない派。理論的に侵害はありえるし、実際に侵害された事例はいくかあるけど、「改ざんを確認していれば防げた」という事例は寡聞にして知らないので。
      Windowsバイナリのハッシュ値が提供されていることはほとんどないし、個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。
      社内数十人以上で使うパッケージなら一応ハッシュ値の比較を試みることはあるけど、それは改ざんの有無を確認するためではなく、ダウンロードが成功しているか確認するため。

      • by Anonymous Coward

        ESDファイルは、署名の確認が容易でないので、ハッシュで確認するのが普通。ちゃんとFileDigestってのが通知されてる。
        ただし、そのSOAPの通信はただのTLSなので、せいぜいTLSの証明書を確認するしかない。

      • by Anonymous Coward

        > 個人開発者のコードサイニング証明書取得のハードルは高いし。最初から署名されていなかったのか、改ざんで署名が剥がれたのか区別できないし。

        Windowsで署名が正しく検証されればファイルのプロパティのデジタル署名に「このデジタル署名は問題ありません。」と表示されるところ、署名されたファイルが改変されていれば「このデジタル署名は有効ではありません。」と表示されるぞ。
        無署名とファイル改変での署名検証失敗はちゃんと区別される。

        • by Anonymous Coward

          攻撃者がご丁寧に元のデジタル署名プロパティを残していてくれれば、ね。
          バイナリ改ざんするスキルのある攻撃者なら無効なデジタル署名は削除するだろうし、
          スキルのない攻撃者なら無署名の攻撃ツールに丸々差し替えるだけなんで、
          「このデジタル署名は有効ではありません。」と表示される想定はほぼありえないですね。

          • by Anonymous Coward

            なので一般的には改ざん確認の手間がセキュリティ効果に見合わないんだよねぇ
            デジタル署名のあるバイナリしか実行しないポリシーなら話は変わってくるけど

        • by Anonymous Coward

          署名検証失敗したファイルのプロパティにデジタル署名タブは表示されねえけど

          • by Anonymous Coward

            ん? いや、それは表示されるよ。手元でも確認してる。

    • by Anonymous Coward

      決定的に重要なものは、電子署名 > ハッシュ値 > 出所、とみてる。CDNの場合、httpでも問題にしない。
      どうでもいいものはノーガード。ただし、OSインスタンスごと定期的に使い捨て。

  • by Anonymous Coward on 2022年04月04日 0時37分 (#4226501)
    download.windowsupdate.comのIPアドレスをnslookupコマンドで調べてIPアドレスをwhoisコマンドで引いたらマイクロソフトじゃない会社のIPアドレスだったんだけどこれって皆同じ?
    • by Anonymous Coward

      AkamaiとかAzureのCDNでしょ。
      別のプロパイダなら別のIPアドレスになるだろうね。

    • by Anonymous Coward

      接続中の回線(DNSサーバ)によって変わるみたいだから何とも

      >nslookup download.windowsupdate.com 8.8.8.8
      サーバー: dns.google
      Address: 8.8.8.8

      権限のない回答:
      名前: c-0001.c-msedge.net
      Addresses: 2a01:111:2003::50
                          13.107.4.50
      Aliases: download.windowsupdate.com
                          wu-fg-shim.trafficmanager.net
                          au.c-0001.c-msedge.net

  • by Anonymous Coward on 2022年04月04日 22時25分 (#4226934)

    proxyでキャッシュさせて社内トラフィックを抑えていたのに・・・
    WSUS入れなあかんか

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...