我们正在编写一个安装在客户端计算机上的控制台应用程序。我们可能希望更新应用程序使用的XML文件。 如何确保从我们的服务器安全下载文件,例如没有恶意文件?
我认为应用会调用我们的API来获取最新的版本号。如果它比它的更新,它将从指定的URL下载此XML文件。然而,这不是因为它在中间攻击或类似的攻击中容易受到攻击吗?我想确保我们的应用程序不负责下载恶意文件(例如,可能是恶意exe文件)。
任何帮助/指导都将不胜感激!
答案 0 :(得分:2)
您需要在服务器上使用私钥对XML文件进行签名,然后在客户端使用嵌入在应用中的公钥对其进行验证。
这只有在您有一个安全的机制来提供带有公钥的初始应用程序(例如,HTTPS)时才有用
答案 1 :(得分:1)
通过https提供文件,并确保客户端检查证书。这样你就可以确定文件来自正确的服务器,并且不会在线路上的任何地方进行更改。假设您保持服务器安全,这应该足以确保您获得正确的文件。