Cuando vas al oráculositio de descargapara descargar JDK para EE, la descarga se realiza a través de HTTP (no HTTPS) y el ejecutable no está firmado. Hasta donde puedo decir, tampoco hay hashes SHA1 publicados, por lo que no tengo forma de verificar que el código no haya sido alterado.
¿Alguien sabe alguna forma de verificar esto o Oracle no ha proporcionado ninguna forma de asegurarse de que sea seguro?
Respuesta1
Obviamente, esas cosas md5 están fuera de la vista de la mayoría de los grandes proveedores de software. Puede acceder a los sitios de Oracle, IBM y Microsoft; no habrá firmas md5 disponibles. ¡Incluso para los productos más caros! Supongo que ellos no se toman este riesgo tan en serio como tú.
De todos modos, parece haber una solución.Olexparece proporcionar descargas firmadas para varios productos de código abierto/freeware, yel JDK¡Está en el paquete!