Comments 11
Да, все побежали обновлять 7zip, включая меня. http://www.7-zip.org/
А там нет ни эцп, ни хэш для сравнения, так можно большую бот сеть сделать если вовремя подменить файл, когда о нем все говорят.
А там нет ни эцп, ни хэш для сравнения, так можно большую бот сеть сделать если вовремя подменить файл, когда о нем все говорят.
Я правильно понимаю, что хэш поможет только в том случае, если злоумышленники получили доступ лишь к смене файла для загрузки? Ведь если есть полный доступ к системе, можно без проблем поменять и файл, и хэш на сайте. Это даже создаст иллюзию безопасности (что, на мой взгляд, ещё хуже её очевидного отсутствия).
Так и есть, мало кто его запомнит или зайдет на сайт еще раз через не продолжительное время и возможно заметит подмену.
Поэтому центральный репозиторий с эцп — самое то. Как практически во всех линуксах.
Хэш на той же странице — олдскульный метод защиты от нетаргетированных атак. Например, если трафик перехватывается и _во все_ .exe внедряется зловред. Или на компьютере пользователя вирус заражает файл и при этом не имеет возможности маскировать факт заражения.
Не поможет такая защита в случае взлома сайта с дистрибьютивом (за последний год не менее трёх таких новостей припоминается), в случае очень хитрой таргетированной MItM атаки (когда подменяется и дистрибьютив и страница с хэшем) и в случае, если вирус маскирует заражение, выдавая для проверки незаражённый файл.
Во времена бесплатных TLS-сертификатов, олдскульные авторы могли бы и потратить 15 минут на переход на HTTPS. Понятно, что авторы freeware никому ничем не обязаны, и спасибо им за то, что есть, но всё же.
К счастью, на странице 7zip есть ссылка на SourceForge, где дистрибьютив по HTTPS можно скачать.
Не поможет такая защита в случае взлома сайта с дистрибьютивом (за последний год не менее трёх таких новостей припоминается), в случае очень хитрой таргетированной MItM атаки (когда подменяется и дистрибьютив и страница с хэшем) и в случае, если вирус маскирует заражение, выдавая для проверки незаражённый файл.
Во времена бесплатных TLS-сертификатов, олдскульные авторы могли бы и потратить 15 минут на переход на HTTPS. Понятно, что авторы freeware никому ничем не обязаны, и спасибо им за то, что есть, но всё же.
К счастью, на странице 7zip есть ссылка на SourceForge, где дистрибьютив по HTTPS можно скачать.
Непонятно, зачем совсем удалять Wi-Fi Sense, если эту функцию любой желающий может отключить в настройках? Кто-то же одобрил её внедрение, были потрачено время на разработку.
По умолчанию Windows автоматически делится такой информацией с вашими контактами в Outlook и Skype
Пресвятая селедка!..
Даже не спрашивает пользователя?
Хорошо ли это?
Спрашивает при установке и есть возможность отключить в настройках. То, что пользователи не делают это — не проблема тех, кто эту функцию использует активно
Я не знаю, как у остальных, но у меня при первом подключении к любой сети спрашивает, причем галочка снята по умолчанию (хотя в настройках включено).
Sign up to leave a comment.
Security Week 20: случайные числа, уязвимость в 7-Zip, Microsoft выключает WiFi Sense