Pobrałem ogromną liczbę plików, ale całkiem niedawno odkryłem użycie md5 i sha jako kontrolerów integralności. Odtąd zawsze wolę sprawdzać, czy nie ma dużych pobranych plików, nawet jeśli nigdy nie znalazłem ich uszkodzonych.
Czy naprawdę musimy sprawdzać integralność pobranych plików?
Wybierz jako przykład właśnie pobraną dystrybucję Linuksa, która wynosi 1 GB, jeśli chcesz.
Dziękuję Ci
Odpowiedzi:
To zależy od kilku czynników.
Czy masz stabilne połączenie z Internetem?
Jeśli masz stabilne połączenie z Internetem, nie musisz sprawdzać integralności pliku, ponieważ najprawdopodobniej będzie on poprawny. Nigdy nie sprawdzam skrótu, a także nigdy nie miałem uszkodzonych plików. A może kiedyś zdalny serwer się rozłączył.
Czy chcesz zweryfikować plik ze względów bezpieczeństwa?
Jeśli obawiasz się o bezpieczeństwo pobieranego pliku, możesz użyć skrótu MD5, aby sprawdzić, czy plik nie został w jakiś sposób zmieniony. Pobierasz plik, a jeśli skrót MD5 nie pasuje, oznacza to, że plik na serwerze różni się od skrótu MD5 i coś jest nie tak. Byłoby to ważne tylko wtedy, gdy nie ufasz serwerowi, z którego pobierasz plik, ale zwykle, jeśli ktoś udostępnia skrót, zwykle stara się również jak najlepiej aktualizować. Ale jeśli ich strona została zhakowana, a ty sprawdziłeś skrót MD5, to dostałeś mały bonus.
Ogólnie rzecz biorąc, te 2 dadzą nie większości ludzi. Jeśli to nie dla ciebie, to oczywiście zależy wyłącznie od ciebie.
źródło
Odpowiedź i wybór będą oparte na jego / jej tolerancji na ryzyko oraz rozważeniach dotyczących czasu i wysiłku podczas weryfikacji.
Sprawdzanie skrótów MD5 / SHA1 to dobry pierwszy krok i powinieneś to zrobić, kiedy masz czas. Należy jednak wziąć pod uwagę zdolność do zaufania podanego skrótu. Na przykład, jeśli włamano się do strony autora z hashem, atakujący może zmienić skrót, abyś nie wiedział. Jeśli hash obliczyć to nie to samo jak hash pod warunkiem, wiesz coś się skończy. Jednak tylko dlatego, że dopasowanie skrótów nie gwarantuje, że plik jest dobry.
Lepszą alternatywą dla autora oprogramowania w celu zapewnienia integralności i autentyczności jest podpisanie cyfrowe dystrybuowanych plików . To dołącza informacje o autentyczności do pliku i nie polega na zaufaniu do pewnej witryny. Jeśli autor podpisuje plik cyfrowo, jedynym sposobem na sfałszowanie go jest przejęcie urzędu certyfikacji lub skradzienie klucza podpisu programisty. Oba te przypadki są znacznie mniej prawdopodobne niż włamanie się do witryny internetowej.
Ostatecznie musisz dołożyć należytej staranności, aby ustalić, czy chcesz komuś zaufać, a następnie podjąć środki zaradcze (uruchomić w piaskownicy, maszynie wirtualnej itp.), Aby złagodzić wszelkie nieznane czynniki lub błędne obliczenia, które podejmujesz, podejmując decyzję o zaufaniu, czy nie. .
źródło
Ze względów bezpieczeństwa TAK. Weź pod uwagę, że stwierdzono, że węzeł wyjściowy Tora łata pliki binarne podczas pobierania , a następnie pamiętaj, że twój dostawca usług internetowych może, ale nie musi mieć najmniejszej moralności i że ma pełną kontrolę nad twoim połączeniem internetowym.
źródło
W przypadku plików, w których integralność jest krytyczna, tak
Często uważam to za konieczne, gdy robię coś, co ma krytyczne znaczenie dla wysokiej integralności pliku.
Jednym z przykładów jest flashowanie routera za pomocą OpenWRT. Jeśli plik jest uszkodzony, router zostałby zamurowany, a następnie musiałbym albo:
Oba są niewygodne w porównaniu z prostotą sprawdzania skrótu. Dlatego zdecydowanie zalecam robienie tego dla plików krytycznych.
źródło
Zazwyczaj kłopotam się tylko sprawdzeniem, czy pobieranie zostało przerwane i wznowiłem je później, ponieważ żądania HTTP z przesunięciem wyszukiwania nie są tak powszechnie używane, więc mogło się zdarzyć coś niemądrego.
W wielu przypadkach plik do pobrania to skompresowany plik, który nie zostanie zdekompresowany, jeśli zostanie uszkodzony. Jeśli tak NIE jest, sprawdzanie nie jest złym pomysłem. Mogę sprawdzić ISO przed nagraniem go na nośniku jednokrotnego zapisu.
Weryfikacja za pomocą skrótu z tej samej witryny, z której go otrzymałem, jest mało przydatna, ze względów bezpieczeństwa, jak mówią inne odpowiedzi i komentarze. Może być bardziej użyteczny, jeśli pobierałeś z kopii dystrybucyjnej, ale skrót pochodzi z pierwotnego źródła. Lub jeśli nazwa pliku jest niejednoznaczna i z jakiegoś powodu nie jesteś pewien, czy masz dokładnie taką wersję, jakiej chciałeś.
Chodzi o to, że publikowanie skrótów jest przydatne w wielu szczególnych przypadkach innych niż tylko pobieranie pliku z tej samej strony, na której znajduje się skrót.
źródło