Actualización automática: ¿Esto es seguro?
Actualización automática de Dot Net
Sentí que a .net le faltaba una biblioteca de actualización automática simple y segura, así que implementé algo y lo puse en marcha.aquí. Antes de que alguien considere usar la biblioteca, me interesaba que el proceso de actualización recibiera un poco de una revisión por pares.
Aquí están los pasos:El software del cliente se rellena con una clave pública y un URI para sondear.El cliente sondea un URI para un archivo de manifiesto.El manifiesto se descarga y la firma (en una ".signature" separada) se usa para verificar que el manifiesto es válido.Una lista de actualizaciones pendientes se analiza fuera del manifiesto (para mostrar al usuario).El archivo del instalador se descarga y nuevamente se verifica con el archivo ".signature" correspondiente. (El archivo descargado estará protegido con ACLs)Se ejecuta el instalador.Amenazas mitigadas:La firma del manifiesto debe evitar cualquier descarga maliciosa ("bomba de alfombra")La firma del instalador debe evitar que los ataques MITM envíen instaladores maliciososLa protección del instalador descargado con ACL debe evitar cualquier ataque de escalamiento local.Amenazas no mitigadas:A MITM ataque donde el atacante siempre informa "no hay actualizaciones disponibles". (Podría mantener a un cliente en una versión vulnerable)Referencias:Actualizaciones seguras de software: decepciones y nuevos desafíosBlack Ops 2008: es el fin del caché como lo conocemosEvilgrade nos destruirá a todos