Зачем мне сравнивать мою загрузку с контрольной суммой, предоставленной зеркальным сайтом?

664
Joe Holloway

Я думал, что смысл распространения контрольных сумм md5 заключается в том, чтобы конечный пользователь мог проверить целостность загрузки.

Если сайт с высоким трафиком указывает мне на зеркальный сайт для загрузки, зачем мне проверять мою загрузку по контрольной сумме, которая предоставляется на зеркале?

Если кто-то собирался подделать двоичные файлы на зеркальном сайте, не могли бы они также подделать контрольные суммы? Разве авторитетный сайт не должен давать мне контрольную сумму перед загрузкой с зеркала, чтобы я мог сверяться с основным источником?

2
Если я не смогу найти правильную контрольную сумму на официальном сайте, я попрошу кого-нибудь, у кого она уже есть, взять хэш для меня: P Phoshi 15 лет назад 0
Подождите, у вас есть друзья, которые понимают, что такое контрольная сумма? Мои друзья просто смешно смотрели на меня, а потом спрашивали, могу ли я снова заставить их компьютер работать быстро после загрузки трояна World of Warcraft. Joe Holloway 15 лет назад 1

4 ответа на вопрос

4
nik

Вы правы в своих ожиданиях.
Проверьте этот пример в Apache .

И это ссылка на Ubuntu md5sum .

С точки зрения безопасности, криптографические хеши, такие как MD5, позволяют аутентифицировать данные, полученные с небезопасных зеркал.
Хэш MD5 должен быть подписан или получен из безопасного источника (страница HTTPS) организации, которой вы доверяете .

1
akira

ну, это, по крайней мере, даст вам уверенность, что ваша копия точно такая же, как на зеркале.

Вы правы, что такая информация является бесполезной, если основной источник не предоставляет такую ​​контрольную сумму

1
GmonC

Обычно этические зеркала не хотят быть истолкованы как «поддельные». Они хотят быть зеркалами из-за видимости среди других преимуществ.

Они показывают контрольные суммы как авторский источник, чтобы придать им некоторую достоверность: «эй, мы рекомендуем вам проверить свои контрольные суммы, как говорится на официальном сайте!».

Я считаю, что это POV зеркала. Как пользователь, я обычно проверяю оба источника.

1
Journeyman Geek

Что ж, вы можете проверить, была ли загрузка завершена успешно - контрольные суммы не просто защита от злонамеренного вмешательства - они также помогают проверить, был ли файл полностью и правильно загружен

Я всегда думал, что было бы неплохо, если бы Firefox или другие браузеры вычислили для вас контрольную сумму. Joe Holloway 15 лет назад 0