Si un package téléchargé est vérifié, est-il sécurisé?

J'essaie d'installer le JDK Java. le page de téléchargement n'utilise pas HTTPS. J'ai téléchargé le .dmg déposer quand même; Lorsque je l'ouvre, le Finder passe un certain temps à la vérifier, puis j'ai la possibilité de l'installer.

Comment puis-je savoir s'il est sécuritaire d'installer?

macos install 3rd-party

— z0r
source

Je ne ferais pas confiance à l'étape Vérifier ... dans le Finder, car je ne suis pas sûre que la vérification de la sécurité est réellement effectuée (au lieu de cela, je pense que cela vérifie simplement que le fichier n'a pas été corrompu). Cependant, vous pouvez vérifier l’intégrité du fichier avec ces sommes de contrôle servi sur HTTPS. (Lié à la page d'installation et sera obsolète avec les nouvelles versions). Pour vérifier, tapez shasum -a 256 Dans une nouvelle fenêtre de Terminal, faites glisser le fichier DMG dans, puis appuyez sur Retour dans Terminal. Vous devriez obtenir la même séquence que celle correspondante sur la page liée.

— 0942v8653

Merci @ 0942v8653! Je n'ai pas vu ce lien vers les sommes de contrôle - et je n'aurais pas pensé qu'il serait transmis via HTTPS.

— z0r

Tu ne sais pas.

Le chercheur vérifie simplement que l'image disque est une image disque valide.

Pour vérifier que ce que vous avez téléchargé correspond à ce qui est sur le serveur, vous devez vérifier davantage. Une méthode courante consiste à calculer un hachage sur les données téléchargées et à le comparer à un hachage publié par le site Internet.

Alors, comment savez-vous que l'application que vous avez téléchargée ne formate pas votre disque? Encore une fois, vous ne devez pas juger si l'éditeur est suffisamment digne de confiance.

Si vous êtes allé à la page d'Oracle directement ou via un lien provenant d'une source fiable, alors ok mais s'il s'agit d'un lien provenant d'un courrier de quelqu'un qui ne vous a jamais envoyé de courrier auparavant, ce n'est probablement pas une bonne idée.

— Mark
source