¿Por qué la descarga de Java solo se ofrece a través de HTTP, no HTTPS? [cerrado]

Question

¿Por qué la descarga de Java solo se ofrece a través de HTTP, no HTTPS? [cerrado]

#1 de rjdkolb (2 votos)

1

Estoy buscando obtener el nuevo paquete de Java en enlace

Sin embargo, no puedo abrir esa página usando https , lo que parece dejar abierta una gran oportunidad para las "descargas automáticas" para MITM al inyectar contenido malicioso en la secuencia de descargas, por ejemplo. Sin mencionar el envenenamiento de DNS.

Incluso si pudiera encontrar algunos hashes MD5 en ese sitio, podrían ser manipulados.

¿Por qué Oracle no protege la descarga de sus activos? ¿O no entiendo por completo algo acerca de las descargas seguras?

tls man-in-the-middle java

pregunta Marcel 13.06.2017 - 08:17

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls man-in-the-middle java

¿Qué significa "alcance" en CVSS v3? ¿Cómo puedo protegerme de alguien que tome mi número de teléfono móvil?

score 2 · Accepted Answer

Esta no es una excusa para que Oracle no sirva sus descargas a través de https, pero hay hash SHA 256 y MD5 (yuck) en la página de descarga. El enlace es https.

Esto se basa en que el usuario descargue la imagen para verificar el sha256, que lamentablemente pocas personas lo hacen.

Al hacer clic en el enlace 'suma de comprobación' a continuación, encontrará un enlace como este:

enlace