V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
newee
V2EX  ›  程序员

经常在网络上下载东西,如何保证下载的文件安全?

  •  
  •   newee · 58 天前 · 2532 次点击
    这是一个创建于 58 天前的主题,其中的信息可能已经有所发展或是发生改变。
    24 条回复    2021-02-23 13:13:12 +08:00
    systemcall
        1
    systemcall   58 天前
    东西都跑在洋垃圾 ESXi 上面,笔记本只拿来当瘦客户机,就可以保证了
    SenLief
        2
    SenLief   58 天前
    sandbox
    hxndg
        3
    hxndg   58 天前
    Nmmmm,我们一般是提供一个散列值。
    沙盒一般是最彻底的吧
    Tink
        4
    Tink   58 天前
    hash
    Ranying
        5
    Ranying   58 天前
    只能保证自己电脑安全
    newee
        6
    newee   58 天前
    @systemcall 哦哦 这样 可惜手上没有什么闲置的设备 估计以后可以搞一个专门的下载机器
    @SenLief @hxndg @Tink 准备去研究一下你们说的
    @Ranying 哈哈 不错 汉语十级
    anthow
        7
    anthow   58 天前
    要相信爱
    bthulu
        8
    bthulu   58 天前
    虚拟机, 下前先保存检查点
    delpo
        9
    delpo   58 天前 via Android
    事实上没有绝对的安全,即使有 hash,也不能保证网站没有被黑,前段时间的 solarwinds 的供应链攻击就已经说明了这一点,所以敏感程序还是开单独的虚拟机运行比较保险
    Zeonjl
        10
    Zeonjl   58 天前 via iPhone
    小坏的东西一般都在下载完后被扫描出来了,厉害的...所以,你专门搞个下载机最终要用的还是要放到常用机的华,那真的方便吗?
    hxndg
        11
    hxndg   58 天前
    @delpo

    但是相比较而言,散列是最简单的保险方式了。
    毕竟如果真出现了攻破 PKI 体系的人。。。。。嗯,估计也得是 CIA,FBI 之类的了。
    love
        12
    love   58 天前 via Android
    左转 linux,都是库里的软件,安全性有保障
    no1xsyzy
        13
    no1xsyzy   58 天前
    @hxndg @delpo
    攻击网站修改网站上显示的散列值不需要攻破 PKI 体系,只需要能修改页面就行。
    何况 npm 和 PyPI 还有 gems 不也成天有取个很类似的名字碰瓷的恶意软件吗?(等着谁打错一个字母就下了个恶意软件啦)前段时间 CPAN 还整个被搞了。
    还是得靠 Trusted Net,线下交换信任链初态,但也防不住供应链攻击( quine 还记得是拿来论证什么的吗? :(
    如果 Intel 写了个后门,全世界都是暴露的。
    no1xsyzy
        14
    no1xsyzy   58 天前
    @love 你又忘了 Ubuntu 官方库里有个伪装成游戏的挖矿软件的事儿……
    3dwelcome
        15
    3dwelcome   58 天前
    第一看 EXE 签名,这个一般没办法伪造。
    第二就是用 sandbox 或者虚拟机里安装使用。
    现在 win10 的自动防护已经很强大了,当然小心驶得万年船,谁知道下载下来不知名软件,会有什么后门。
    markgor
        16
    markgor   58 天前
    保证不了。
    虚拟机 /隔离法:运行下载的文件<----除非你虚拟机常开,否则每次下载都等待个漫长的下载过程。
    MD5/HASH 验证法:根据下载软件的 HASH 判断,但 MD5 碰撞和保证页面的 MD5 值是否被篡改谁能保证?
    肉眼判断法:靠经验判断(下载源、文件预期大小实际大小)速度是快,但需要一定的经验累积,偶尔也会看走眼。
    官网 /仓库:投毒事件又不是没发生过。
    所以没谁敢保证。
    与其保证下载的文件安全,还不如对现有的文件进行备份,裸机狂奔。
    hxndg
        17
    hxndg   58 天前
    @no1xsyzy
    Nmmmm,我实际上没说修改散列值需要攻破 PKI 体系,我只是针对他说的绝对安全。
    我们自己模拟过 SSLI 中间人攻击 /监控,最后发现日常监控普通用户这种,直接钓鱼就足够简单粗暴了。。。。。
    类似我们设计的 session 一般也是 hmac+aes 一层就完了。
    只能说基本都是“普通安全”了。

    我们当时设计商用密码网关的时候照着国标做的也只是要求必须没有敏感信息明文放机器上这种。
    至于 CA 级别安全我们实际上没太当回事当时。。。。。
    我们自己倒是改了一堆 OPENSSL 的代码实现了不标准 CA 的功能。。。。
    billgaunt
        18
    billgaunt   58 天前
    1,看文件格式
    2,官网下载
    3,比较 hash
    4,沙盒虚拟机
    除了 4,没有安全的方法。大概率没问题就行了。
    重要的东西多处实时备份,大不了重装。
    newmlp
        19
    newmlp   58 天前
    安全又便捷的当然是虚拟机啦,当然,虚拟机也不是 100%安全,也有可能突破虚拟机直接干到宿主机
    DOLLOR
        20
    DOLLOR   58 天前
    只去可信赖的网站下载软件。
    先在沙盒、虚拟机里试用。
    no1xsyzy
        21
    no1xsyzy   58 天前
    @hxndg 那就是语文破碎,这哪来的“毕竟”……
    散列( hash )之上也可以搞点 PGP 签名
    绝对安全永远是幻觉

    不过目前的散列有一个问题,就是摘要值的分发过程和软件本身的分发过程是几乎完全一致的……
    很多时候一个 mirror 里就直接并排放着 % 和 %.*sum,太混沌了。目前我都是挑两个不同的 mirror 分别下载 % 和 %.*sum (一般下载 sum 或者 asc 的都是官方源或者最接近官方的 mirror )

    顺便,我的观点是,真要有共济会,我宁愿蒙在鼓里。
    如果我发现了共济会做了同步隐写,那我人要糟了。
    dzyou2007
        22
    dzyou2007   57 天前 via Android
    所有的安全都是相对而言。没有可以绝对“保证”的安全。
    zzzmh
        23
    zzzmh   56 天前
    用 linux ?
    newee
        24
    newee   55 天前
    感谢各位大佬的热心帮助
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   967 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 21:39 · PVG 05:39 · LAX 14:39 · JFK 17:39
    ♥ Do have faith in what you're doing.