1
systemcall 2021-02-20 11:14:26 +08:00
东西都跑在洋垃圾 ESXi 上面,笔记本只拿来当瘦客户机,就可以保证了
|
2
SenLief 2021-02-20 11:15:36 +08:00
sandbox
|
3
hxndg 2021-02-20 11:24:26 +08:00
Nmmmm,我们一般是提供一个散列值。
沙盒一般是最彻底的吧 |
4
Tink 2021-02-20 11:24:43 +08:00
hash
|
5
Ranying 2021-02-20 11:28:06 +08:00
只能保证自己电脑安全
|
6
newee OP @systemcall 哦哦 这样 可惜手上没有什么闲置的设备 估计以后可以搞一个专门的下载机器
@SenLief @hxndg @Tink 准备去研究一下你们说的 @Ranying 哈哈 不错 汉语十级 |
7
anthow 2021-02-20 11:38:32 +08:00
要相信爱
|
8
bthulu 2021-02-20 11:40:59 +08:00
虚拟机, 下前先保存检查点
|
9
delpo 2021-02-20 11:45:46 +08:00 via Android
事实上没有绝对的安全,即使有 hash,也不能保证网站没有被黑,前段时间的 solarwinds 的供应链攻击就已经说明了这一点,所以敏感程序还是开单独的虚拟机运行比较保险
|
10
Zeonjl 2021-02-20 11:48:47 +08:00 via iPhone
小坏的东西一般都在下载完后被扫描出来了,厉害的...所以,你专门搞个下载机最终要用的还是要放到常用机的华,那真的方便吗?
|
11
hxndg 2021-02-20 11:51:58 +08:00
|
12
love 2021-02-20 12:06:30 +08:00 via Android
左转 linux,都是库里的软件,安全性有保障
|
13
no1xsyzy 2021-02-20 12:07:39 +08:00
|
15
3dwelcome 2021-02-20 12:14:28 +08:00
第一看 EXE 签名,这个一般没办法伪造。
第二就是用 sandbox 或者虚拟机里安装使用。 现在 win10 的自动防护已经很强大了,当然小心驶得万年船,谁知道下载下来不知名软件,会有什么后门。 |
16
markgor 2021-02-20 13:00:12 +08:00
保证不了。
虚拟机 /隔离法:运行下载的文件<----除非你虚拟机常开,否则每次下载都等待个漫长的下载过程。 MD5/HASH 验证法:根据下载软件的 HASH 判断,但 MD5 碰撞和保证页面的 MD5 值是否被篡改谁能保证? 肉眼判断法:靠经验判断(下载源、文件预期大小实际大小)速度是快,但需要一定的经验累积,偶尔也会看走眼。 官网 /仓库:投毒事件又不是没发生过。 所以没谁敢保证。 与其保证下载的文件安全,还不如对现有的文件进行备份,裸机狂奔。 |
17
hxndg 2021-02-20 14:26:03 +08:00
@no1xsyzy
Nmmmm,我实际上没说修改散列值需要攻破 PKI 体系,我只是针对他说的绝对安全。 我们自己模拟过 SSLI 中间人攻击 /监控,最后发现日常监控普通用户这种,直接钓鱼就足够简单粗暴了。。。。。 类似我们设计的 session 一般也是 hmac+aes 一层就完了。 只能说基本都是“普通安全”了。 我们当时设计商用密码网关的时候照着国标做的也只是要求必须没有敏感信息明文放机器上这种。 至于 CA 级别安全我们实际上没太当回事当时。。。。。 我们自己倒是改了一堆 OPENSSL 的代码实现了不标准 CA 的功能。。。。 |
18
billgaunt 2021-02-20 16:04:55 +08:00
1,看文件格式
2,官网下载 3,比较 hash 4,沙盒虚拟机 除了 4,没有安全的方法。大概率没问题就行了。 重要的东西多处实时备份,大不了重装。 |
19
newmlp 2021-02-20 18:21:04 +08:00
安全又便捷的当然是虚拟机啦,当然,虚拟机也不是 100%安全,也有可能突破虚拟机直接干到宿主机
|
20
DOLLOR 2021-02-20 22:44:24 +08:00
只去可信赖的网站下载软件。
先在沙盒、虚拟机里试用。 |
21
no1xsyzy 2021-02-21 00:04:04 +08:00
@hxndg 那就是语文破碎,这哪来的“毕竟”……
散列( hash )之上也可以搞点 PGP 签名 绝对安全永远是幻觉 不过目前的散列有一个问题,就是摘要值的分发过程和软件本身的分发过程是几乎完全一致的…… 很多时候一个 mirror 里就直接并排放着 % 和 %.*sum,太混沌了。目前我都是挑两个不同的 mirror 分别下载 % 和 %.*sum (一般下载 sum 或者 asc 的都是官方源或者最接近官方的 mirror ) 顺便,我的观点是,真要有共济会,我宁愿蒙在鼓里。 如果我发现了共济会做了同步隐写,那我人要糟了。 |
22
docx 2021-02-21 20:25:10 +08:00 via Android
所有的安全都是相对而言。没有可以绝对“保证”的安全。
|
23
zzzmh 2021-02-22 09:29:30 +08:00
用 linux ?
|
24
newee OP 感谢各位大佬的热心帮助
|