当运营商劫持软件升级程序时，我们应该怎么办？

看数字签名...
Code signature 好像得公司才颁发，一般搞不到一样的数字证书

@xfspace 升级程序应该是自动执行的吧，而且一般都继承了高权限。感觉连下载目录都找不到，而且还是静默的。

“而且一般都继承了高权限”
我觉得不会吧，一般是先把文件下载下来，然后管理员身份运行，在这时候用户就会发现即将运行的程序没有数字签名。不过说到底用户不一定会分辨这些，直接允许了。

@xfspace 多数系统都有 CNNIC 的根证书，三大流氓真要作恶，或许可以申请一个假的。。。

以前 repo 没强制 https 的时候，dnf 源就发现被劫持到运营商的服务器了，吓得我赶紧重装了，然后强制 https。说实在的，开源 linux 的包虽然有 gpg 签名验证，但相对商业公司来说，我感觉那个 key 更容易泄露。。。

@ysc3839 很多程序为了"用户体验"都在系统注册了高权限的服务，甚至加了驱动。而且很多程序一打开就要求管理员。这样子下载的程序就会继承服务或者主程序的权限，直接就是管理员。

@pq 这些和运营商的总部没有关系，一般是当地的分公司为了谋利而搞的，总部虽然视而不见，但不至于给分公司帮忙申请证书。
曾经 Firefox 的官网安装包就被替换过。不过 Linux 发行版大多有商业公司提供基础设施，比如 Canonical,RedHat ,Novell

你作为用户，是没办法的，全局 VPN 吧。或者监控网络，发现明文 http 请求 exe,apk 等后缀的，就采用 VPN，其他时候就默认本地宽带

作为软件开发者要解决这个问题还是很容易的，验证一下数字签名，或者自己搞一个签名算法替代系统自带的

https 就能基本解决劫持了吧，软件作者应该背大锅

uwp

想问下，MAC App store 里面的软件更新走的是 https 吗？ mac 自带的软件经常也需要更新的。。

@kiari 肯定是的

@pq 那三大 ?

@pq CNNIC 我知道