Flash安装程序是否使用加密下载？

Question

许多流行的应用程序使用客户下载程序，而不是允许用户直接从Adobe下载安装二进制文件，或者直接从OEM中下载安装二进制文件。例如，以下是Flash安装程序的工作：

这里的安全风险是显而易见的:如果下载是以纯文本进行的，那么它就容易受到中间人的攻击。控制我和Adobe之间的任何路由器的黑客，包括对我的电缆调制解调器的控制，都可以锁定和拦截更新，并提供他们自己修改的二进制文件。

如果我使用从Adobe下载的web HTTPS，那么我仍然可以受到MIM攻击的危害，但在这种情况下，我可以知道存在毒药，因为MIM给出的虚假证书与Adobe的HTTPS证书不匹配。

但是，当我使用自定义Adobe安装程序(如上面所示)时，我无法知道正在交换哪些证书。据我所知，二进制文件是以纯文本形式传输的，这显然是高度不安全的。

这个安装程序值得信任吗？

Answer 1

这个安装程序值得信任吗？

不是吗？正如您所说，您无法信任它下载的内容--即使它确实对下载进行加密和加密验证，您也不知道您正在下载的内容是否是您想要的。所以这个问题和“我能相信从任何地方下载的软件吗？”是一样的，很可能是“不行”。

不管怎么说，就像您说的那样，您无法查看内部并判断它是否在执行加密操作，如果是的话，是否正确(即根据内置密钥验证服务器的真实性，希望这些密钥是不被篡改的，因为您已经从您信任的地方下载了下载程序)。因此，即使仅仅捕获通信量(例如使用wireshark) (这是微不足道的)，也只允许您确认非加密(如果是这样的话)，而不是实现的正确性。

所以，简短的回答是:不。

编辑还:那是Windows窗口装饰吗？！