Por que eu verificaria meu download em uma soma de verificação fornecida por um site espelho?

2

Eu achei que o objetivo de distribuir checksums md5 era para que o usuário final pudesse verificar a integridade do download.

Se um site de alto tráfego me direcionar a um site espelho para download, por que eu desejaria verificar meu download em uma soma de verificação fornecida no espelho?

Se alguém fosse mexer com binários no site espelho, eles também não poderiam adulterar as somas de verificação? O site autoritativo não deve me dar o checksum antes de eu fazer o download de um espelho para que eu possa checar a fonte principal?

    
por Joe Holloway 22.09.2009 / 16:21

4 respostas

4

Você está certo em sua expectativa.
Verifique este exemplo no Apache .

E esta referência do Ubuntu md5sum .

In terms of security, cryptographic hashes such as MD5 allow for authentication of data obtained from insecure mirrors.
The MD5 hash must be signed or come from a secure source (an HTTPS page) of an organization you trust.

    
por 22.09.2009 / 16:48
1

bem, pelo menos lhe daria a certeza de que sua cópia é exatamente igual ao espelho.

você está certo, que tal informação é inútil se a fonte principal não fornecer tal checksum

    
por 22.09.2009 / 16:43
1

Normalmente, espelhos éticos não querem ser interpretados como "spoof". Eles querem ser espelhos por causa da visibilidade entre outras vantagens.

Eles mostram somas de verificação como a fonte autoritária faz para dar-lhes algum tipo de credibilidade: "Ei, recomendamos que você verifique suas somas de verificação como o site oficial diz!".

Eu acredito que este é o ponto de vista do espelho. Como usuário, costumo verificar com as duas fontes.

    
por 22.09.2009 / 16:44
1

Bem, você pode verificar se o download foi concluído com sucesso - as somas de verificação não são apenas uma defesa contra adulteração maliciosa - elas também ajudam a verificar se um arquivo foi baixado completa e corretamente

    
por 23.09.2009 / 02:07