Windows Update Catalog przechodzi na HTTPS. Mamy 2022 rok. W porę

Witryna “Wykaz usługi Microsoft Update”, znana powszechnie jako Windows Update Catalog, wreszcie zaczęła stosować łączność z wykorzystaniem protokołu TLS. Dotychczas pobieranie pakietów aktualizacji i sterowników przez Wykaz odbywało się bez szyfrowania.

Microsoft Update Catalog to bardzo dziwna strona. Ma bardzo słabą wyszukiwarkę, jest powolna, uniemożliwia zaawansowane przeglądanie zasobów i stosuje nieprzewidywalne nazwy plików. Część tych cech ma zapewne na celu utrudnienie masowego pobierania treści (scrubbing). Sprzyjałoby ono tworzeniu nieautoryzowanych, potencjalnie niebezpiecznych “klonów” Windows Update. Ponadto, wychodziłyby na jaw aktualizacje dla jeszcze nieogłoszonych dziur lub dla produktów formalnie pozbawionych już obsługi technicznej.

Ale dziwactw w Wykazie było więcej. Strona ta dopiero w 2016 przestała stosować kontrolki ActiveX jako narzędzia pobierania. Miało to miejsce wiele lat po usunięciu obsługi ActiveX z wersji Metro Internet Explorera i ponad rok po premierze przeglądarki Edge, która nigdy ich nie obsługiwała.

Kiedy z HTTPS, a kiedy nie?

Ta osobliwa strona oferowała aktualizacje przez HTTPS i jak donosi Deskmodder, zmieniło się to z początkiem miesiąca. Dzięki temu nowe przeglądarki internetowe (Firefox, Chrome i Edge) przestaną “krzyczeć” i sugerować usunięcie pobieranego pliku. Pliki pobierane przez czyste HTTP nie zapewniają bowiem integralności: w przypadku niezaufanych sieci, mogłyby zostać podmienione “w locie”.

Wykaz Windows Update zapewniał bezpieczeństwo w sposób bardzo pośredni: zamieszczając sumy kontrolne w nazwach plików z aktualizacjami. Było to niezbędne minimum, ale bez wątpienia poniżej progu przyzwoitości. Od teraz całą łączność pokrywa TLS, przez co integralność jest zapewniana z definicji.

Skoro Wykaz działał czystym tekstem, to jak działał sam Windows Update? Otóż… również korzystał z czystego HTTP. Ale sprawa nie jest taka oczywista. Klientem pobierającym aktualizacje z Windows Update jest BITS: Usługa inteligentnego transferu w tle. Odpowiada on za samo “dźwiganie ciężarów”, czyli pobieranie dużych plików z aktualizacjami.

BITS

Ale zanim BITS wie, co pobrać, system pobiera paczkę z informacjami o aktualizacjach, zwaną czasem “WSUS Scan Cabinet”. Pobiera ją przez HTTPS. Jej zawartość to podpisany wykaz sum kontrolnych i certyfikaty. Na tej podstawie BITS sprawdza potem czy to, co pobrał przez czyste HTTP jest poprawne i na pewno pochodzi z Redmond.

Rosnąca liczba elementów pobieranych przez BITS “idzie” przez HTTPS. OneDrive i Mozilla Firefox stosuje HTTPS. Chrome i Edge stosują mieszankę. Office 365 mocno opiera się na plikach CAB z certyfikatami i to najwyraźniej tym, a nie protokołem HTTPS, zapewnia integralność. Inną historią jest też funkcja Optymalizacji Dostarczania, czyli “peer-to-peer” dla aktualizacji. Niemniej, to że nie całość komunikacji przebiega przez HTTPS jest zabawne, zwłaszcza w kwestii wytycznych dla WSUS.

Tagi:

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Kolejna fala oszustw ,,na PGE”

SMS od PGE z informacją o zaplanowanym odłączeniu energii elektrycznej to popularna metoda cyberprzestępców. Oszuści, podszywając się pod Polską Grupę Energetyczną, chcą podstępem pozyskać nasze dane. Cel jest jeden.

Militaria

Alrosa – symbol rosyjskiej floty wraca na morze

Jedyny w swoim rodzaju rosyjski okręt podwodny o nazwie “Alrosa” powrócił na morze. Po modernizacji i zainstalowaniu nowego uzbrojenia ma być głównym elementem floty biorącej udział w agresji na Ukrainę. Rosjanie chwalą się, że jest w stanie zastąpić sześć okrętów. Dlaczego jest tak wyjątkowy?

Bezpieczeństwo

Blisko 66 000 złotych straciła 55- letnia mieszkanka Staszowa w wyniku oszustwa

Blisko 66 000 złotych straciła 55- letnia mieszkanka Staszowa w wyniku oszustwa. Kobieta była przekonana, że odebrała połączenie od pracownika banku, a kolejno od stołecznego policjanta. Otworzyła przesłany za pomocą komunikatora link, i to wystarczyło, aby w efekcie końcowym oszuści wypłacili z jej rachunku bankowego zgromadzone środki oraz zaciągnęli pożyczkę.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.