2

Я думал, что смысл распространения контрольных сумм md5 заключается в том, чтобы конечный пользователь мог проверить целостность загрузки.

Если сайт с высоким трафиком указывает мне на зеркальный сайт для загрузки, зачем мне проверять мою загрузку по контрольной сумме, которая предоставляется на зеркале?

Если кто-то собирался подделать двоичные файлы на зеркальном сайте, не могли бы они также подделать контрольные суммы? Разве авторитетный сайт не должен давать мне контрольную сумму перед загрузкой с зеркала, чтобы я мог сверяться с основным источником?

|источник

4 ответа4

4

Вы правы в своих ожиданиях.
Проверьте этот пример в Apache.

И это ссылка на Ubuntu md5sum.

С точки зрения безопасности, криптографические хеши, такие как MD5, позволяют аутентифицировать данные, полученные с небезопасных зеркал.
Хэш MD5 должен быть подписан или получен из безопасного источника (страница HTTPS) организации, которой вы доверяете.

|источник
1

Что ж, вы можете проверить, была ли загрузка завершена успешно - контрольные суммы не просто защита от злонамеренного вмешательства - они также помогают проверить, был ли файл полностью и правильно загружен

|источник
1

ну, это, по крайней мере, даст вам уверенность, что ваша копия точно такая же, как на зеркале.

Вы правы, что такая информация является бесполезной, если основной источник не предоставляет такую контрольную сумму

|источник
1

Обычно этические зеркала не хотят быть истолкованы как "поддельные". Они хотят быть зеркалами из-за видимости среди других преимуществ.

Они показывают контрольные суммы как авторский источник, чтобы придать им некоторую достоверность: «эй, мы рекомендуем вам проверить свои контрольные суммы, как говорится на официальном сайте!».

Я считаю, что это POV зеркала. Как пользователь, я обычно проверяю оба источника.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .