0
私たちは、クライアントのマシンにインストールされるコンソールアプリケーションを作成しています。アプリで使用されるXMLファイルを更新することができます。 ファイルが私たちのサーバーから安全にダウンロードされるようにするにはどうしたらいいですか?ウェブサイトから最新のXMLファイルを安全にダウンロードするには?
私はアプリが最新のバージョン番号を取得するためにAPIを呼び出すと仮定します。それよりも新しい場合、指定されたURLからこのXMLファイルをダウンロードします。しかし、これは中間の攻撃などで人に脆弱にするものではありませんか?私は、悪意のあるファイル(悪質なexeファイルなど)をダウンロードすることについて、私たちのアプリケーションが責任を負わないことを保証したいと思います。
ご了承ください。
ありがとうございます - ファイルが変更されていないことを確認します。しかし、それは悪意のあるファイルがダウンロードされるのを止めるものではありませんか? HTTPS経由でダウンロードしても問題ありませんか? それから、唯一の脆弱性は、私たちのサーバーをDNS攻撃で偽装していることでしょうか? – Marcus
@IgorK:ハッシュが一致しない場合は、ファイルを拒否して削除するだけで問題はありません。 HTTPS(署名付き証明書付き)は、DNSおよびMITMの問題を防ぎますが、攻撃者が他の方法でサーバー上のファイルを変更することは防ぎません。 – SLaks
@SLaksハッシュをチェックするためにファイルをダウンロードする必要はありませんか?私はいくつかのウイルスがシステム上にあるとすぐに自動的に実行できると思ったのですが? – Marcus