发布签名文件？

Question

我为我的程序构建了自动更新功能。它会轮询某些 http url 中的 xml，如果有新版本，则会通知用户并下载新文件。

我想允许在没有互联网连接的封闭网络中重新分发这些更新。管理员可以下载所有更新文件并托管在网络中的某个HTTP服务器上。

问题是 xml URL 不一样，所以我想允许在程序的配置文件中更改此 URL。这为恶意软件发布者打开了大门：他们可以使用配置文件中的其他 URL 重新分发我的程序，然后通过我的程序的自动更新系统分发某种形式的恶意软件，然后人们会说我的程序是病毒。

我想阻止更改原始自动更新 xml 的机会，以阻止此类恶意软件分发。我该怎么做？

Answer 1

我想我理解你的问题。但这个问题不是你能解决的。用户应该只从可信来源下载您的应用程序。您无法阻止用户下载恶意软件，如果他们这样做，那就是他们的问题。此外，用户将向配置文件添加/更改 URL，并且您无法阻止他们向配置文件添加恶意 URL。即使您在应用程序中硬编码了原始更新 URL，恶意用户也很容易更改它并重新编译您的应用程序并分发它。或者您可以使用加密技术来确保原始 URL 不变。