При посещении Oracleсайт загрузкидля загрузки JDK для EE загрузка осуществляется по HTTP (не HTTPS), а исполняемый файл не подписан. Насколько я могу судить, также не опубликованы хэши SHA1, поэтому у меня нет возможности проверить, что код не был изменен.
Кто-нибудь знает способ проверить это или Oracle не предоставила способа убедиться в безопасности?
решение1
Очевидно, что эти md5-штуки находятся вне поля зрения большинства крупных поставщиков программного обеспечения. Вы можете зайти на сайты Oracle, IBM, Microsoft, там не будет доступных md5-подписей. Даже для самых дорогих продуктов! Я думаю, они не воспринимают этот риск так серьезно, как вы.
В любом случае, похоже, есть обходной путь.Олекспохоже, предоставляет подписанные загрузки для различных продуктов с открытым исходным кодом/бесплатного ПО, иJDKв упаковке!