Eu achei que o objetivo de distribuir checksums md5 era para que o usuário final pudesse verificar a integridade do download.
Se um site de alto tráfego me direcionar a um site espelho para download, por que eu desejaria verificar meu download em uma soma de verificação fornecida no espelho?
Se alguém fosse mexer com binários no site espelho, eles também não poderiam adulterar as somas de verificação? O site autoritativo não deve me dar o checksum antes de eu fazer o download de um espelho para que eu possa checar a fonte principal?
Você está certo em sua expectativa.
Verifique este exemplo no Apache .
E esta referência do Ubuntu md5sum .
In terms of security, cryptographic hashes such as MD5 allow for authentication of data obtained from insecure mirrors.
The MD5 hash must be signed or come from a secure source (an HTTPS page) of an organization you trust.
bem, pelo menos lhe daria a certeza de que sua cópia é exatamente igual ao espelho.
você está certo, que tal informação é inútil se a fonte principal não fornecer tal checksum
Normalmente, espelhos éticos não querem ser interpretados como "spoof". Eles querem ser espelhos por causa da visibilidade entre outras vantagens.
Eles mostram somas de verificação como a fonte autoritária faz para dar-lhes algum tipo de credibilidade: "Ei, recomendamos que você verifique suas somas de verificação como o site oficial diz!".
Eu acredito que este é o ponto de vista do espelho. Como usuário, costumo verificar com as duas fontes.
Bem, você pode verificar se o download foi concluído com sucesso - as somas de verificação não são apenas uma defesa contra adulteração maliciosa - elas também ajudam a verificar se um arquivo foi baixado completa e corretamente