Ich würde nicht glauben, dass HTTPS beide davon erwischen würde. AFAIK HTTPS bietet keinen zusätzlichen Schutz vor Korruption über TCP.
Ich bin kein Sicherheitsexperte, aber ich weiß, dass TLS (HTTPS) diese beiden Dinge tut:
- Vergewissert sich, dass der Server, zu dem Sie eine Verbindung herstellen, derjenige ist, von dem er sagt, dass er es ist.
Wenn Sie beispielsweise https://microsoft.com eingeben und Ihr Datenverkehr stattdessen ohne Ihr Wissen ( DNS-Spoofing ) an https://badguys.com gesendet wird, wird ein Zertifikatfehler angezeigt. Sicher, die bösen Jungs könnten auf https://badguys.com ein gefälschtes Zertifikat erstellen, das behauptet, https://microsoft.com zu sein, aber es wird nicht von einer gültigen Zertifizierungsstelle signiert . - Verschlüsselt den Verkehr so, dass er nicht von einem Man-in-the-Middle-Angriff (MITM) gelesen oder geändert werden kann . In diesem Szenario kann jemand Ihren gesamten Netzwerkverkehr sehen. Wenn Sie TLS nicht verwendet haben, könnten sie eine
GET
Anfrage erkennen und Ihnen falsche Daten anstelle der realen Daten vom Webserver senden.
Zurück zum Thema Downloads, viele Websites verteilen ihre umfangreichen Downloads auf Spiegeln. Wenn der Spiegel gefährdet ist, kann die Datei durch eine schädliche Version ersetzt werden. Selbst wenn der Spiegel TLS verwendet, wenn er gehackt oder der Spiegelliste falsch hinzugefügt wurde, können Sie eine schädliche Version von einer HTTPS-Site herunterladen. Und wenn dies passiert, werden sie natürlich die Prüfsumme auf dem Spiegel aktualisieren.
Aus diesem Grund sollten Sie niemals einen Download anhand einer Prüfsumme eines Spiegels verifizieren, sondern nur die Prüfsumme von der ursprünglichen Website (gemäß dieser Frage ) verwenden.