为什么像 netgear 和 linksys 这样的大公司，路由器的固件下载还没用 https 加强下安全。。

解压 zip 怎么就会中毒了呢？

在 openwrt 下载东西，如果是 https 需要安装另外的 ssl 库，路由器空间有限。

linksys 新固件升级后还可以回滚。那就不需要担心安全

话说，Safari 下载到一个 zip bomb 不就完了？

既然是自己的固件，可以自带一个公钥来验证固件的。

openwrt 源默认也是 http 的 包找不到基本就是这的锅

这种东西里面内部做验证了吧，检查是否是 公司的 private key 签名过的。
就像 ubuntu 的源也是 http 的，微信网络 payload 虽然是明文的但是 payload 做了加密的验证。
所以被劫持了也没关系

https://whydoesaptnotusehttps.com/

结贴？

印象中 openwrt 好像是 http 下载, 但有 signature 检查?

@Les1ie
@Osk
包管理不需要 https 是因为包都是带签名的，而系统内置了 CA，所以可以验证签名
这和固件是两回事，硬件没办法验证固件。
secure boot 算一种，然而一般的路由器是不可能有这个功能的

那系统内置的 CA 如何保证呢： https://www.debian.org/CD/verify
所以其实是公开公钥的，大家可以自行验证

部分路由器会在上传页验证上传的固件，所以不需要 https。要知道有没有这个功能很简单：用 hex 编辑器打开文件，看看哪个 ASCII 字符串，改两个字。一般字符串常量就是直接写进去的。部分固件是压缩档，那就需要解压再改。

我猜是懒吧，做了对自己又没好处，干脆不做了。

https://www.downloads.netgear.com/files/GDC/R6700/R6700-V1.0.2.6_10.0.52.zip
https://dlsvr04.asus.com/pub/ASUS/wireless/RT-AC68U/FW_RT_AC68U_300438445708.zip
http://downloads.linksys.com/downloads/firmware/FW_E2500_3.0.03.001_20170830.bin

也就 linksys 不是啊 华硕网件都上了

裴讯的固件是有签名的。

话说回来，你觉得小白用户会自己升级固件吗？

下载最重要的应该是签名，https://whydoesaptnotusehttps.com/

没办法了，这些老公司都不重视安全，固件就没有验证吧，如果有的话怎么刷机玩呢

安全了你还会买他们新出的路由嘛

？ Safari 可以设置下载后不自动解压呀，在偏好设置-通用里最后一行

@sweeneylin 不好意思没看到最后一句。。。

@zhigang1992 反面例子,1 月份 debian/ubuntu 的 apt/apt-get 就因为没有 https 而爆出可被中间人攻击的漏洞：
Linux 包管理器 apt/apt-get 发现远程代码执行漏洞 : https://www.infoq.cn/article/ZySCJ4w48mH*gYWK0ZYe

linksys 固件是有签名的啊，https 只是能防止 mitm 攻击，不能保证固件的正确性啊。这就像你安卓的 app 可以从各个 app 市场或者别人发的帖子里下载，那怎么保证它们没有被修改过，就是用签名保证的，签名不一致，你装都装不上。