文件下载的一些安全小细节

最近事情多，没办法，创业，偶尔“灰袍”里分享分享，比起写文章来说确实不那么费力。

不用问我创业还想做什么，反正如果是普通的事，我也不会创业。在网络安全上，独树一帜潇洒自在比起被套路捆绑重要得多。不用期待我们能如何，你只需知道，比如这个懒号，会是我们发声的一个重要通道。

最近这个世界出了不少事，我也学到了个和公信力危机有关的词“塔西佗陷阱”。虽然我对整体发展是乐观的，但是，这是群体规律，是的，在进化，会乐观，但如果事件发生在个体身上，这个个体就不会这样冷静了，不冷静后，你觉得什么不会发生？

好了，这里随便跑点题，现在进入正题吧。

---

给大家简单分享点小细节安全经验，关于文件下载的。

我下载一个文件，尤其当这个文件是个安装程序，无论是 Win 上的还是 Mac 上的，我都特别特别谨慎这个安装程序到底靠不靠谱，对我来说我是职业选手，我的判断手法很多，但对于普通人来说那可不是件轻松的事。于是，对于大家来说，我们会建议下载这些文件，一定要首选官方，然后是靠谱的第三方源，比如某些安全软件的软件下载中心。

下面这几个小细节大家特别注意下。

1、全程 https

什么是全程？首先你打开的官方网页是 https，然后点击下载后，下载地址必须也是 https，这才是全程 https。

有的下载忽视了这点，如果下载地址不是 https，我会担心被坏人中间人劫持，这里至少两种技巧可以实施这种中间人劫持攻击，一种是 DNS 劫持，一种是 Backdoor Factory 这种技巧。

如果下载地址所在的网页也不是 https，那甚至可以直接在“下载地址所在的网页”响应输出的时候把下载地址完全替换掉，很难被察觉。

2、文件篡改校验

良心的下载，一般会至少给出目标文件的 MD5，更好点的是 SHA256，那是因为目前 256 这个加密级别还未被如碰撞破解成功过。

有了这几个哈希值，校验就简单了，见我之前这篇文章：我是如何 Python 一句话校验软件哈希值的。

这里需要特别提下更被推荐的校验技巧：GPG 签名校验。

你可能会在有的下载里看到附带一个 .sig 文件，那么如果你之前准备过 GPG 环境，校验很简单，一行命令：

gpg --verify xxx.zip.sig zzz.zip

看输出信息就可以判断是否通过签名校验。

GPG 我之前文章也提过，比如这篇：期待下 Google 在推进的 E2EMail 项目，当然我估计很多人还是不懂，那么，如果想入门可以看这篇：

GPG入门教程
http://www.ruanyifeng.com/blog/2013/07/gpg.html

其实，我还会根据这些点来辅助判断目标厂商是否真的懂安全或用户隐私。

到这的话，文件下载就靠谱了？嗯...至少靠谱一个等级了。还有没有改进空间？当然有了，不过不展开了。

那么，如果你要说把目标网站黑掉，在里面直接替换，包括校验的那些“参数”都给替换了，可以吧？当然了，这又不是没发生，可以说这是个挺普遍的深度攻击了。遇到这个情况怎么办？其实，真不知道怎么个办好。

最近几年，供应链攻击越来越火，那些玩 APT 攻击的，耐心有的是，不一定要直接黑掉你，可以黑和你有关的“供应链”呀，比如你总会下载些安装程序吧？你总会做升级操作吧？自己电脑或服务器里躺了几个后门都不知道了吧？

那么后续到底该怎么办？

好吧，这篇文章已经完成了使命，后续的事，我有空了再补上一篇。

人生苦短，多学点技巧至少可以保护自己和身边的人。

-----------------

微信公众号「Lazy-Thought」

几个黑客在维护，都很懒，都想改变点什么