Pourquoi Google Chrome ne parvient-il pas à fournir une somme de contrôle?

Bien, je suis peut-être un peu peu instruit sur ce sujet, mais je suis vraiment curieux de savoir pourquoi Google ne fournit pas de checksum avec une signature gpg avec le téléchargement de Google Chrome. En fait, je n'ai même jamais vu de checksum sur Google.com.

Je comprends que le téléchargement s'effectue via une connexion HTTPS, mais corrigez-moi si je me trompe, il serait toujours possible d'injecter un téléchargement malveillant, n'est-ce pas? J'ai lu quelque part qu'il a été découvert que les noeuds de sortie des réseaux privés virtuels avaient injecté des exécutables .

Récemment, le site Web de Linux Mint a été piraté en raison d’une configuration Wordpress défectueuse, et l’ ISO de Linux Mint a été remplacé par un fichier contenant une porte dérobée pour l’essaim de DDOS .

Les mises à jour Windows, Apple et Ubuntu ont toutes la signature et la vérification des paquets.

Mais Google de toutes les entreprises n'a même pas une somme de contrôle sur leur page de téléchargement.

Pourquoi est-ce? Existe-t-il vraiment un risque que les utilisateurs finaux téléchargent Chrome?

Merci =)

Les programmes d’installation Windows sont signés à l’aide de Authenticode (X.509), qui est vérifié de manière native par Windows lui-même. Les mises à jour automatiques (fournies avec Omaha) sont également signées avec X.509.

Les référentiels Linux sont signés à l’aide de GPG - lorsque vous téléchargez pour la première fois le google-chrome-current.debprotocole HTTPS, il ajoute automatiquement le référentiel de mises à jour à sources.list et installe sa clé de signature dans la configuration de votre apt (voir /opt/google/chrome/cron/).

(Je ne dirais pas que c'est très grave. Considérez ceci: si vous pensez qu'un attaquant peut injecter un faux téléchargement ... Pourquoi ne pourrait-il pas injecter de faux "checksums"? Si vous ne pouvez pas vous fier au fait que vous avez téléchargé le droit .debdepuis https : //google.com , vous ne pouviez pas non plus croire que vous obteniez les bonnes clés PGP auprès de https://google.com .)

Je comprends que le téléchargement s'effectue via une connexion HTTPS, mais corrigez-moi si je me trompe, il serait toujours possible d'injecter un téléchargement malveillant, n'est-ce pas?

Généralement non C'est ... un peu ce que HTTPS est censé empêcher.

Il y a deux possibilités cependant:

• Si vous commencez avec http://www.google.com/chromeet attendez-vous à être automatiquement redirigé vers HTTPS, un attaquant peut supprimer cette redirection et vous forcer à rester sur la version HTTP.

  Pour éviter cela, assurez-vous de ne consulter que les pages de téléchargement via HTTPS; Il est possible que vous utilisiez une configuration Tor pour bloquer entièrement HTTP (TCP / 80). (Je sais que Tor a une liste blanche de ports pour les noeuds de sortie, mais il serait certainement utile d’en avoir une aussi pour les clients ...)

• Si vous ouvrez un site Web HTTPS mais que l'attaquant intercepte votre connexion (MITM), le navigateur vous avertira d'une erreur de certificat (l'attaquant ne pouvant pas obtenir un "vrai" certificat pour google.com), mais beaucoup de gens cliquent aveuglément sur ceux-ci. avertissements sans même regarder.

  Pour éviter cela, ne contournez pas les avertissements de sécurité du navigateur.

Les plus gros navigateurs (même IE, je pense?) Viennent maintenant google.comdans leurs listes de "préchargement HSTS", qui obligent le navigateur à toujours utiliser HTTPS et empêchent l'utilisateur de contourner les erreurs de certificat. Donc, il devrait se protéger contre de telles erreurs.