Var precis inne på Xilinx webbplats och upptäckte att på sidan för att ladda ner utvecklingsverktyg fanns den här uppmaningen till Xilinx användare:
Turn off virus scanner to reduce installation time. Download file will contain installations for multiple platforms. After downloading, unzip the file and run “setup”
Detta på en webbplats som endast är skyddad med ett lösenord. Jag som användare har ingen möjlighet att verifiera att:
- Sidan verkligen tillhör Xilinx och är en del av deras webbplats.
- Programmet som laddas ned kommer från Xilinx
- Programmet som laddats ned inte påverkats på vägen
Att dÃ¥ uppmana sina användare att stänga av viruskontrollen är kort sagt uselt säkerhetstänkande. Xilinx använder SSL/TLS pÃ¥ delar av sin webbplats, men inte pÃ¥ sidan för nedladdning. Och hur svÃ¥rt är det egentligen att ta fram och publicera information om storlek och signatur för de filer man gör tillgängliga? (Även om en sÃ¥dan information behöver skyddas den ocksÃ¥ – om webbplatsen är hackad är antagligen den informationen inte att lita pÃ¥.)
Jag har skickat en kommentar/uppmaning till Xilinx om att ta bort sin uppmaning och tänka till på säkerheten. Om jag får ett svar återkommer jag.
En kollega kom för övrigt med en bra observation: Varför är det så få kommersiella företag som publicerar signaturer för de filer och program de gör tillgängliga? Ser man MD5-, SHA-signaturer kan man nästan vara säker på att leverantören är ett öppen/fri kod-projekt.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
