Windows Update Catalog przechodzi na HTTPS. Mamy 2022 rok. W porę

Witryna “Wykaz usługi Microsoft Update”, znana powszechnie jako Windows Update Catalog, wreszcie zaczęła stosować łączność z wykorzystaniem protokołu TLS. Dotychczas pobieranie pakietów aktualizacji i sterowników przez Wykaz odbywało się bez szyfrowania.

Microsoft Update Catalog to bardzo dziwna strona. Ma bardzo słabą wyszukiwarkę, jest powolna, uniemożliwia zaawansowane przeglądanie zasobów i stosuje nieprzewidywalne nazwy plików. Część tych cech ma zapewne na celu utrudnienie masowego pobierania treści (scrubbing). Sprzyjałoby ono tworzeniu nieautoryzowanych, potencjalnie niebezpiecznych “klonów” Windows Update. Ponadto, wychodziłyby na jaw aktualizacje dla jeszcze nieogłoszonych dziur lub dla produktów formalnie pozbawionych już obsługi technicznej.

Ale dziwactw w Wykazie było więcej. Strona ta dopiero w 2016 przestała stosować kontrolki ActiveX jako narzędzia pobierania. Miało to miejsce wiele lat po usunięciu obsługi ActiveX z wersji Metro Internet Explorera i ponad rok po premierze przeglądarki Edge, która nigdy ich nie obsługiwała.

Kiedy z HTTPS, a kiedy nie?

Ta osobliwa strona oferowała aktualizacje przez HTTPS i jak donosi Deskmodder, zmieniło się to z początkiem miesiąca. Dzięki temu nowe przeglądarki internetowe (Firefox, Chrome i Edge) przestaną “krzyczeć” i sugerować usunięcie pobieranego pliku. Pliki pobierane przez czyste HTTP nie zapewniają bowiem integralności: w przypadku niezaufanych sieci, mogłyby zostać podmienione “w locie”.

Wykaz Windows Update zapewniał bezpieczeństwo w sposób bardzo pośredni: zamieszczając sumy kontrolne w nazwach plików z aktualizacjami. Było to niezbędne minimum, ale bez wątpienia poniżej progu przyzwoitości. Od teraz całą łączność pokrywa TLS, przez co integralność jest zapewniana z definicji.

Skoro Wykaz działał czystym tekstem, to jak działał sam Windows Update? Otóż… również korzystał z czystego HTTP. Ale sprawa nie jest taka oczywista. Klientem pobierającym aktualizacje z Windows Update jest BITS: Usługa inteligentnego transferu w tle. Odpowiada on za samo “dźwiganie ciężarów”, czyli pobieranie dużych plików z aktualizacjami.

BITS

Ale zanim BITS wie, co pobrać, system pobiera paczkę z informacjami o aktualizacjach, zwaną czasem “WSUS Scan Cabinet”. Pobiera ją przez HTTPS. Jej zawartość to podpisany wykaz sum kontrolnych i certyfikaty. Na tej podstawie BITS sprawdza potem czy to, co pobrał przez czyste HTTP jest poprawne i na pewno pochodzi z Redmond.

Rosnąca liczba elementów pobieranych przez BITS “idzie” przez HTTPS. OneDrive i Mozilla Firefox stosuje HTTPS. Chrome i Edge stosują mieszankę. Office 365 mocno opiera się na plikach CAB z certyfikatami i to najwyraźniej tym, a nie protokołem HTTPS, zapewnia integralność. Inną historią jest też funkcja Optymalizacji Dostarczania, czyli “peer-to-peer” dla aktualizacji. Niemniej, to że nie całość komunikacji przebiega przez HTTPS jest zabawne, zwłaszcza w kwestii wytycznych dla WSUS.

Podziel się postem :)

Najnowsze:

Oprogramowanie

Windows 11 zaczyna mieć sens. Microsoft Copilot przypadnie Wam do gustu

Microsoft unifikuje większość swoich czatbotów, tworząc tym samym jedną wielką hostowaną w chmurze aplikację. Która wie co trzeba o każdym ze swoich użytkowników i jest zawsze pod ręką – niezależnie od aktualnie otwartej aplikacji czy urządzenia.

Oprogramowanie

Google wprowadził szereg nowości w Bard

Google ulepsza Barda, czyli eksperyment polegający na wykorzystaniu generatywnej AI. Użytkownicy mogą poprosić Barda o wykonanie różnych zadań, takich jak utworzenie dokumentu z planem podróży, przygotowanie reklamy lub pomoc w wyjaśnieniu skomplikowanego terminu naukowego.

Oprogramowanie

Paint w Windows 11 obsłuży warstwy. Microsoft rozwija program

Paint na przestrzeni lat stawał się coraz bardziej zapomnianym programem. Jednak wraz z premierą Windows 11 firma Microsoft tchnęła w niego nowe życie. Dziś jest to już bardzo funkcjonalne narzędzie, a kolejne nowinki pojawią się już niebawem. We wrześniu 2023 r. zapowiedziano trzy cenne dodatki.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *