首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  硬件

为什么像 netgear 和 linksys 这样的大公司,路由器的固件下载还没用 https 加强下安全。。

  •  
  •   kiari · 197 天前 · 2961 次点击
    这是一个创建于 197 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发现很多路由器的公司固件下载的地址都还在使用 http,,难道他们固件被篡改后不会被安装到路由器中吗?

    现在路由器安全更新又很频繁,有时候一个月一次的安全固件就出来了,,

    http 下载东西还真容易被缓存什么的,而且官网又不给出 sha1 或者 sha256 来对比下,,,

    (最后吐槽下 safari 下载 zip 文件会自己自动解压出来,,万一下载到病毒不直接中毒啦,,好在还有关闭选项。。)

    24 回复  |  直到 2019-04-06 08:53:02 +08:00
        1
    lutla   197 天前
    解压 zip 怎么就会中毒了呢?
        2
    mikeguan   197 天前 via Android
    在 openwrt 下载东西,如果是 https 需要安装另外的 ssl 库,路由器空间有限。
        3
    xratzh   197 天前 via Android
    linksys 新固件升级后还可以回滚。那就不需要担心安全
        4
    mgrddsj   197 天前 via Android
    话说,Safari 下载到一个 zip bomb 不就完了?
        5
    ysc3839   197 天前 via Android
    既然是自己的固件,可以自带一个公钥来验证固件的。
        6
    wancaibida   197 天前 via iPhone
    openwrt 源默认也是 http 的 包找不到基本就是这的锅
        7
    zhigang1992   197 天前
    这种东西里面内部做验证了吧,检查是否是 公司的 private key 签名过的。
    就像 ubuntu 的源也是 http 的,微信网络 payload 虽然是明文的但是 payload 做了加密的验证。
    所以被劫持了也没关系
        8
    Les1ie   197 天前 via Android   ♥ 3
        9
    Osk   197 天前
    印象中 openwrt 好像是 http 下载, 但有 signature 检查?
        10
    ryd994   197 天前
    @Les1ie
    @Osk
    包管理不需要 https 是因为包都是带签名的,而系统内置了 CA,所以可以验证签名
    这和固件是两回事,硬件没办法验证固件。
    secure boot 算一种,然而一般的路由器是不可能有这个功能的

    那系统内置的 CA 如何保证呢: https://www.debian.org/CD/verify
    所以其实是公开公钥的,大家可以自行验证

    部分路由器会在上传页验证上传的固件,所以不需要 https。要知道有没有这个功能很简单:用 hex 编辑器打开文件,看看哪个 ASCII 字符串,改两个字。一般字符串常量就是直接写进去的。部分固件是压缩档,那就需要解压再改。
        11
    liyuhang   197 天前
    我猜是懒吧,做了对自己又没好处,干脆不做了。
        13
    tony601818   197 天前
    裴讯的固件是有签名的。

    话说回来,你觉得小白用户会自己升级固件吗?
        14
    fangxing204   197 天前 via Android
    下载最重要的应该是签名,https://whydoesaptnotusehttps.com/
        15
    ifxo   197 天前
    没办法了,这些老公司都不重视安全,固件就没有验证吧,如果有的话怎么刷机玩呢
        16
    zjl5918   197 天前 via Android
    安全了你还会买他们新出的路由嘛
        17
    sweeneylin   197 天前
    ? Safari 可以设置下载后不自动解压呀,在偏好设置-通用里最后一行
        18
    sweeneylin   197 天前
    @sweeneylin 不好意思没看到最后一句。。。
        19
    likuku   197 天前
    @zhigang1992 反面例子,1 月份 debian/ubuntu 的 apt/apt-get 就因为没有 https 而爆出可被中间人攻击的漏洞:
    Linux 包管理器 apt/apt-get 发现远程代码执行漏洞 : https://www.infoq.cn/article/ZySCJ4w48mH*gYWK0ZYe
        20
    weyou   197 天前 via Android
    linksys 固件是有签名的啊,https 只是能防止 mitm 攻击,不能保证固件的正确性啊。这就像你安卓的 app 可以从各个 app 市场或者别人发的帖子里下载,那怎么保证它们没有被修改过,就是用签名保证的,签名不一致,你装都装不上。
        21
    zingl   197 天前
    https 只解决传输过程安全性;

    签名解决服务器端安全性,例如服务器被入侵、固件被替换;同时部分解决传输过程安全性,例如被 MITM 替换,说“部分”是因为比如 MITM 可以用旧版固件阻止路由器修补漏洞
        22
    CallMeReznov   196 天前
    系统都是自己写的,想安全自己搞个自效验不就好了,说白了还是成本,想不想解决的问题.
        23
    testcaoy7   196 天前 via Android
    确实需要公钥签名,路由器系统可以自带 GPG
        24
    kiari   196 天前
    谢谢各位的回答,,,netgear 的有的有 https 有的没有的,,不知道怎么搞的。。为什么不直接全上,,而是有的产品有,有的产品没
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2191 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 10:35 · PVG 18:35 · LAX 03:35 · JFK 06:35
    ♥ Do have faith in what you're doing.