V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
newee
V2EX  ›  程序员

经常在网络上下载东西,如何保证下载的文件安全?

  •  
  •   newee · 2021-02-20 11:06:26 +08:00 · 3284 次点击
    这是一个创建于 1374 天前的主题,其中的信息可能已经有所发展或是发生改变。
    24 条回复    2021-02-23 13:13:12 +08:00
    systemcall
        1
    systemcall  
       2021-02-20 11:14:26 +08:00
    东西都跑在洋垃圾 ESXi 上面,笔记本只拿来当瘦客户机,就可以保证了
    SenLief
        2
    SenLief  
       2021-02-20 11:15:36 +08:00
    sandbox
    hxndg
        3
    hxndg  
       2021-02-20 11:24:26 +08:00
    Nmmmm,我们一般是提供一个散列值。
    沙盒一般是最彻底的吧
    Tink
        4
    Tink  
       2021-02-20 11:24:43 +08:00
    hash
    Ranying
        5
    Ranying  
       2021-02-20 11:28:06 +08:00
    只能保证自己电脑安全
    newee
        6
    newee  
    OP
       2021-02-20 11:36:00 +08:00
    @systemcall 哦哦 这样 可惜手上没有什么闲置的设备 估计以后可以搞一个专门的下载机器
    @SenLief @hxndg @Tink 准备去研究一下你们说的
    @Ranying 哈哈 不错 汉语十级
    anthow
        7
    anthow  
       2021-02-20 11:38:32 +08:00
    要相信爱
    bthulu
        8
    bthulu  
       2021-02-20 11:40:59 +08:00
    虚拟机, 下前先保存检查点
    delpo
        9
    delpo  
       2021-02-20 11:45:46 +08:00 via Android
    事实上没有绝对的安全,即使有 hash,也不能保证网站没有被黑,前段时间的 solarwinds 的供应链攻击就已经说明了这一点,所以敏感程序还是开单独的虚拟机运行比较保险
    Zeonjl
        10
    Zeonjl  
       2021-02-20 11:48:47 +08:00 via iPhone
    小坏的东西一般都在下载完后被扫描出来了,厉害的...所以,你专门搞个下载机最终要用的还是要放到常用机的华,那真的方便吗?
    hxndg
        11
    hxndg  
       2021-02-20 11:51:58 +08:00
    @delpo

    但是相比较而言,散列是最简单的保险方式了。
    毕竟如果真出现了攻破 PKI 体系的人。。。。。嗯,估计也得是 CIA,FBI 之类的了。
    love
        12
    love  
       2021-02-20 12:06:30 +08:00 via Android
    左转 linux,都是库里的软件,安全性有保障
    no1xsyzy
        13
    no1xsyzy  
       2021-02-20 12:07:39 +08:00
    @hxndg @delpo
    攻击网站修改网站上显示的散列值不需要攻破 PKI 体系,只需要能修改页面就行。
    何况 npm 和 PyPI 还有 gems 不也成天有取个很类似的名字碰瓷的恶意软件吗?(等着谁打错一个字母就下了个恶意软件啦)前段时间 CPAN 还整个被搞了。
    还是得靠 Trusted Net,线下交换信任链初态,但也防不住供应链攻击( quine 还记得是拿来论证什么的吗? :(
    如果 Intel 写了个后门,全世界都是暴露的。
    no1xsyzy
        14
    no1xsyzy  
       2021-02-20 12:08:16 +08:00
    @love 你又忘了 Ubuntu 官方库里有个伪装成游戏的挖矿软件的事儿……
    3dwelcome
        15
    3dwelcome  
       2021-02-20 12:14:28 +08:00
    第一看 EXE 签名,这个一般没办法伪造。
    第二就是用 sandbox 或者虚拟机里安装使用。
    现在 win10 的自动防护已经很强大了,当然小心驶得万年船,谁知道下载下来不知名软件,会有什么后门。
    markgor
        16
    markgor  
       2021-02-20 13:00:12 +08:00
    保证不了。
    虚拟机 /隔离法:运行下载的文件<----除非你虚拟机常开,否则每次下载都等待个漫长的下载过程。
    MD5/HASH 验证法:根据下载软件的 HASH 判断,但 MD5 碰撞和保证页面的 MD5 值是否被篡改谁能保证?
    肉眼判断法:靠经验判断(下载源、文件预期大小实际大小)速度是快,但需要一定的经验累积,偶尔也会看走眼。
    官网 /仓库:投毒事件又不是没发生过。
    所以没谁敢保证。
    与其保证下载的文件安全,还不如对现有的文件进行备份,裸机狂奔。
    hxndg
        17
    hxndg  
       2021-02-20 14:26:03 +08:00
    @no1xsyzy
    Nmmmm,我实际上没说修改散列值需要攻破 PKI 体系,我只是针对他说的绝对安全。
    我们自己模拟过 SSLI 中间人攻击 /监控,最后发现日常监控普通用户这种,直接钓鱼就足够简单粗暴了。。。。。
    类似我们设计的 session 一般也是 hmac+aes 一层就完了。
    只能说基本都是“普通安全”了。

    我们当时设计商用密码网关的时候照着国标做的也只是要求必须没有敏感信息明文放机器上这种。
    至于 CA 级别安全我们实际上没太当回事当时。。。。。
    我们自己倒是改了一堆 OPENSSL 的代码实现了不标准 CA 的功能。。。。
    billgaunt
        18
    billgaunt  
       2021-02-20 16:04:55 +08:00
    1,看文件格式
    2,官网下载
    3,比较 hash
    4,沙盒虚拟机
    除了 4,没有安全的方法。大概率没问题就行了。
    重要的东西多处实时备份,大不了重装。
    newmlp
        19
    newmlp  
       2021-02-20 18:21:04 +08:00
    安全又便捷的当然是虚拟机啦,当然,虚拟机也不是 100%安全,也有可能突破虚拟机直接干到宿主机
    DOLLOR
        20
    DOLLOR  
       2021-02-20 22:44:24 +08:00
    只去可信赖的网站下载软件。
    先在沙盒、虚拟机里试用。
    no1xsyzy
        21
    no1xsyzy  
       2021-02-21 00:04:04 +08:00
    @hxndg 那就是语文破碎,这哪来的“毕竟”……
    散列( hash )之上也可以搞点 PGP 签名
    绝对安全永远是幻觉

    不过目前的散列有一个问题,就是摘要值的分发过程和软件本身的分发过程是几乎完全一致的……
    很多时候一个 mirror 里就直接并排放着 % 和 %.*sum,太混沌了。目前我都是挑两个不同的 mirror 分别下载 % 和 %.*sum (一般下载 sum 或者 asc 的都是官方源或者最接近官方的 mirror )

    顺便,我的观点是,真要有共济会,我宁愿蒙在鼓里。
    如果我发现了共济会做了同步隐写,那我人要糟了。
    docx
        22
    docx  
       2021-02-21 20:25:10 +08:00 via Android
    所有的安全都是相对而言。没有可以绝对“保证”的安全。
    zzzmh
        23
    zzzmh  
       2021-02-22 09:29:30 +08:00
    用 linux ?
    newee
        24
    newee  
    OP
       2021-02-23 13:13:12 +08:00
    感谢各位大佬的热心帮助
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3038 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 14:51 · PVG 22:51 · LAX 06:51 · JFK 09:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.