Wenn Sie zu Oracle gehenDownload-SeiteUm JDK für EE herunterzuladen, erfolgt der Download über HTTP (nicht HTTPS) und die ausführbare Datei ist nicht signiert. Soweit ich weiß, sind auch keine SHA1-Hashes veröffentlicht, sodass ich nicht überprüfen kann, ob der Code geändert wurde.
Kennt jemand eine Möglichkeit, dies zu überprüfen, oder hat Oracle keine Möglichkeit bereitgestellt, die Sicherheit zu gewährleisten?
Antwort1
Offensichtlich sind diese MD5-Dinge für die meisten großen Softwareanbieter unsichtbar. Sie können auf die Websites von Oracle, IBM und Microsoft gehen, dort sind keine MD5-Signaturen verfügbar. Nicht einmal für deren teuerste Produkte! Ich schätze, sie nehmen dieses Risiko nicht so ernst wie Sie.
Wie dem auch sei, es scheint einen Workaround zu geben.Olexscheint signierte Downloads für verschiedene Open-Source/Freeware-Produkte anzubieten, unddas JDKist im Paket enthalten!