#authorization
#авторизация
Вопрос:
У меня есть приложение Lazarus (очень похожее на Delphi), которое загружает несколько файлов изhttps://example.com/UpdateFolder. И мне было интересно, можно ли что-нибудь сделать, чтобы приложение знало, что оно загружает файлы с правильного веб-сайта? Потому что, если я прав, у хакера есть способ заставить приложение перейти на другой веб-сайт и загрузить неправильные файлы, и я думаю, что это каким-то образом делается путем редактирования файла system32 / driver / etc / hosts. Я был бы признателен за любые предложения
Ответ №1:
Это полностью зависит от вашего приложения, которое загружает файлы. Если оно способно обрабатывать SSL, вам не о чем беспокоиться AFAIK, поскольку для установления соединения вам нужен доверенный сертификат, который будет сложно подделать с помощью редактирования файла хоста Windows.
В качестве альтернативы, и именно поэтому у нас на первом месте стоят доменные имена — в крайнем случае, вы могли бы жестко запрограммировать IP-адрес сервера, на котором хранятся обновления, и выполнить трассировку, чтобы убедиться, что IP-адрес веб-сайта, к которому подключается ваше приложение, совпадает с тем, который есть у вас в файле.
Однако это очень затрудняет изменение этого IP-адреса, поскольку в этом случае вам необходимо выполнить новое обновление всего вашего приложения (или ответственной библиотеки dll) только для этого, и значительно усложняет обслуживание процесса…