A
Affen2019
Mitglied
Thread Starter
- Dabei seit
- 09.12.2019
- Beiträge
- 1
- Reaktionspunkte
- 0
Guten Abend,
ich würde gerne prüfen, ob heruntergeladene Installer (.pkg) "sauber" bzw. unverändert sind. Webseiten können ja durchaus mal für ein gewisses Zeitfenster gehackt oder umgeleitet und mit Malware verseucht werden, aber das Entwickler-Zertifikat liegt vermutlich so selten auf dem gleichen Webserver, dass hoffentlich kaum jemand spontan versuchen würde damit die Manipulation zu signieren.
Bislang habe ich im Installer (Mojave) immer auf das Schloss geklickt und auf grüne Häkchen sowie plausible Bezeichnungen bei den allgemeinen Namen der Baumstruktur geachtet. Bei einem meiner Installer geht es z.B. los mit "Apple Root CA", danach folgt "Developer ID Certification Authority" und danach "Developer ID Installer: Microsoft Corporation (UBF8T346G9)". Für mich klingt das erstmal das plausibel: das Root CA vertraut dem Developer ID CA und das wiederum dem speziellen Developer ID Installer, der augenscheinlich von Microsoft stammt.
Ist das überhaupt notwendig? Ich hatte noch nie ein Problem mit den Zertifikaten und weiß daher nicht, was passiert, wenn ich einen Installer mit ungültigem Zertifikat öffne.
Ist es schon mal vorgekommen, dass jemand manipulierte Software mit einem fremden, gültigen Zertifikat verbreitet hat?
Sollte man den SHA-256 Fingerprint kontrollieren, so wie es Apple für manuell heruntergeladene Betriebssystem-Updates empfiehlt?
Viele Grüße
Affe
ich würde gerne prüfen, ob heruntergeladene Installer (.pkg) "sauber" bzw. unverändert sind. Webseiten können ja durchaus mal für ein gewisses Zeitfenster gehackt oder umgeleitet und mit Malware verseucht werden, aber das Entwickler-Zertifikat liegt vermutlich so selten auf dem gleichen Webserver, dass hoffentlich kaum jemand spontan versuchen würde damit die Manipulation zu signieren.
Bislang habe ich im Installer (Mojave) immer auf das Schloss geklickt und auf grüne Häkchen sowie plausible Bezeichnungen bei den allgemeinen Namen der Baumstruktur geachtet. Bei einem meiner Installer geht es z.B. los mit "Apple Root CA", danach folgt "Developer ID Certification Authority" und danach "Developer ID Installer: Microsoft Corporation (UBF8T346G9)". Für mich klingt das erstmal das plausibel: das Root CA vertraut dem Developer ID CA und das wiederum dem speziellen Developer ID Installer, der augenscheinlich von Microsoft stammt.
Ist das überhaupt notwendig? Ich hatte noch nie ein Problem mit den Zertifikaten und weiß daher nicht, was passiert, wenn ich einen Installer mit ungültigem Zertifikat öffne.
Ist es schon mal vorgekommen, dass jemand manipulierte Software mit einem fremden, gültigen Zertifikat verbreitet hat?
Sollte man den SHA-256 Fingerprint kontrollieren, so wie es Apple für manuell heruntergeladene Betriebssystem-Updates empfiehlt?
Viele Grüße
Affe