Der Bitcoin-Client wird von einem Nicht-HTTPS-Server heruntergeladen, sodass Sie nicht überprüfen können, ob er legitim ist, und die Installer-Exe ist nicht digital signiert. Wie oft führt dies zu einem Trojaner-Client und warum wird dies so gemacht?
Ich verstehe, dass Sie die pgp-Signatur der Datei überprüfen sollten, aber wenn Sie kein https haben, woher wissen Sie dann, dass die pgp-Signatur nicht genauso falsch ist wie die Datei selbst? Brauchen wir nicht auch https?
github unterstützt auch keine https-Downloads. Obwohl der Download-Bereich https ist, werden die eigentlichen Dateien von http://cloud.github.com gezogen
Sie bellen wirklich den falschen Baum mit dem https-Bit, da alles, was https Ihnen sagt, ist, dass der Server, mit dem Sie sprechen, der ist, von dem er behauptet, dass er es ist. Wenn der Server kompromittiert ist, liefert er Ihnen eine mit Trojanern befallene Datei genauso gerne wie jede andere Datei.
Was Sie wirklich tun möchten, ist die pgp-Signatur der Datei (oder einer Datei, die einen Hash der freigegebenen Datei enthält) zu überprüfen, die von dem Entwickler erstellt wurde, der die Veröffentlichung durchführt. Sie können dies unabhängig davon tun, wo Sie die Dateien herunterladen - sowohl Github als auch Sourceforge enthalten die gpg-signierte sha1sums-Datei, deren Signatur Sie überprüfen können, um die Integrität und Authentizität der Datei sicherzustellen. der einzige Weg, der kompromittiert werden könnte, wenn der Computer des Entwicklers selbst kompromittiert wurde.
Warum, hier ist ein aktueller Kommentar von Gavin Andresen :
Ich möchte für Downloads von Binärversionen von Sourceforge zu Github wechseln, da Sourceforge https für Downloads nicht unterstützt.
Höchstwahrscheinlich werden wir also bald HTTPS-Downloads haben.
David Schwarz