编写自动更新客户端时我必须担心哪些安全问题？

Question

我正在编写一个自动更新客户端。这是一个非常简单的应用程序：
1) 检查中央服务器以查看某些应用程序是否存在更新
2) 如果存在更新版本，则从服务器下载安装程序
3) 运行安装程序

除了服务器端问题（例如有人入侵我们的网站并在那里放置“较新”的恶意应用程序）之外，在实现此操作时我还必须考虑哪些客户端安全问题？

我目前的想法是：
1) 校验和。将校验和包含在 .xml 文件中，并根据下载的文件进行检查。 （加密前还是加密后？）
2) 加密文件。使用一些私钥加密该文件，并让该程序使用公钥对其进行解密。

这两者或其中之一是必要和充分的吗？还有什么我需要考虑的吗？

请记住，这仅是为了解决客户端的问题。我几乎无法控制服务器本身。

Answer 1

如果您通过 https 检索所有信息并检查有效证书，则可以确定数据来自您的服务器。

Answer 2

校验和的强度取决于下载它们的站点。
如果您使用非对称签名，以便自动更新客户端拥有公钥，那么您可以对更新进行签名，并且只要他们没有获得私钥，即使有人攻击您的网站也没关系。

Answer 3

如果我可以破坏提供补丁的服务器，并且校验和位于同一台服务器上，那么我就可以破坏校验和。

如果您不使用 SSL 传送文件，则加密补丁非常有用。

执行程序的用户通常无权写入安装目录（出于安全原因；这适用于桌面应用程序以及 Web 服务器上的 PHP 脚本）。在找出安装补丁的方法时，您必须考虑到这一点。