Pourquoi téléchargements pour divers projets ont hashcodes ou checksums?
https://stackoverflow.com/questions/671755
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je ne l'ai jamais utilisé la somme de contrôle lors du téléchargement de divers exécutables ou des fichiers zip sur Internet. Je sais qu'il est utilisé pour vérifier la cohérence et ajouter un peu de sécurité. Mais est-il nécessaire lorsque vous téléchargez à partir d'un projet respectable comme Apache ou Microsoft. Combien d'entre nous utilisent effectivement les checksums ou hashcodes pour vérifier le contenu?
Pour votre information, s'il vous plaît laissez-moi savoir si je suis trop éloigné du contenu acceptable de StackOverflow.
La solution
Lors du téléchargement de fichiers où l'intégrité est critique (ISO d'une distribution linux par exemple) j'ai tendance à MD5Sum le téléchargement juste au cas où.
La source peut faire confiance, mais vous ne savez jamais quand votre propre matériel de carte réseau peut commencer à un mauvais fonctionnement.
Autres conseils
Une autre utilisation est de vérifier qu'un fichier que vous avez déjà est le même (à savoir non modifié, et non corrompue en vigueur) que le fichier disponible pour téléchargement à partir de la source de confiance.
Cela peut se produire si
- Vous avez déjà téléchargé le fichier
- Vous avez le fichier à partir d'un autre site
- Vous avez le fichier à partir d'un partage réseau
- Quelqu'un vous a donné le fichier sur un lecteur de CD / flash / etc
- Vous avez utilisé une autre méthode pour éviter un téléchargement potentiellement long
Il en est ainsi que vous pouvez vérifier l'intégrité du fichier. Je l'utilise tout le temps. En gros, vous exécutez simplement un programme qui produira une somme de contrôle MD5, ou toute autre méthode de hachage est utilisé, sur le fichier et voir si les deux correspondent de checksum. Sinon, les fichiers sont différents. Toutefois, notez qu'il est possible d'avoir deux fichiers qui donnent la même somme de contrôle, mais la probabilité que vous courrez dans cette comparaison de deux fichiers de la même taille est assez faible, à moins que vous ingénier l'exemple.
Ceci est très utile. J'ai trouvé un bogue dans un programme de gravure de CD récemment; Je continuais d'avoir un problème avec un fichier particulier sur un ordinateur particulier. J'ai finalement juste comparé les checksums du fichier à partir du CD et celui sur l'ordinateur d'origine, ils étaient différents, et j'ai pu résoudre le problème
Imho il est utile que si vous avez téléchargé un fichier volumineux et que vous voulez vérifier si elle est endommagée avant de le télécharger à nouveau (à savoir si l'application n'est pas installer correctement).
Pour être sûr que le fichier que vous téléchargez est le bon fichier et aucune autre modification par d'autres avec des intentions malveillantes. Comme ces informations dans Apache dit:
" Tout attaquant peut créer une clé publique et la télécharger sur les serveurs de clé publique. Ils peuvent ensuite créer une version malveillante signée par cette clé faux. Alors, si vous avez essayé de vérifier la signature de cette version corrompue, il réussirait parce que la clé n'a pas été la clé « réel ». vous devez donc valider l'authenticité de cette clé. "
Bien que vous choisissez de télécharger à partir d'une source de confiance (par exemple Apache.org) votre demande de téléchargement sera probablement servi par un site miroir . Le site de confiance en question ne dispose des ressources nécessaires pour servir toutes les demandes de façon si remplissent une fonction précieuse. Cependant, le site de confiance ne doit pas nécessairement un contrôle total sur le site miroir et il est possible que le propriétaire du miroir (ou un tiers) pourrait remplacer l'exécutable miroir par un code malveillant. En vérifiant le hachage de source fiable contre le fichier téléchargé, vous assurer qu'il n'a pas changé en transit (quelle qu'en soit la raison.)
Il est utilisé pour les deux raisons d'intégrité (en particulier sur les sites ftp, où vous avez peut-être par erreur téléchargés en mode ascii). De plus, il peut être utilisé pour vérifier le téléchargement n'a pas été modifié, en supposant que vous téléchargez à partir de l'emplacement d'un et obtenir la somme de contrôle de l'emplacement b (souvent télécharger est de miroir et hachage du site officiel).
Pour des raisons d'intégrité, cependant, la signature d'un fichier va être plus utile que juste hachant.
J'utilise MacPorts sur Mac OS X, qui est un gestionnaire de paquets source; chaque Portfile contient une description de la façon de télécharger, patch, compiler et installer un logiciel sous Mac OS X. Inclus dans le Portfile est la somme de contrôle de la version particulière du tarball à télécharger. Cela permet de garantir l'intégrité du fichier à partir de nombreux problèmes possibles; parfois, les gens vont mettre à jour un tarball sans incrémenter le numéro de version, ce qui peut provoquer des correctifs à ne pas appliquer ou le code pour se rompre sous certaines conditions, ou parfois le paquet peut être endommagé, ou un attaquant peut altérer le logiciel dans l'espoir que vous l'installer.
Alors, je dois dire que oui, j'utilise les checksums chaque fois que j'installer le logiciel (si mon gestionnaire de paquets, il fait automatiquement pour moi, je ne le fais pas directement). Et même si vous téléchargez manuellement à partir d'un projet respectable, vous beaucoup à télécharger le code lui-même d'un plus rapide, un miroir plus proche, puis vérifier la somme de contrôle contre une copie téléchargée à partir du serveur maître plus fiable; qui aide à garder plus difficile d'attaquer que de multiples serveurs devrait être compromis plutôt qu'un seul miroir.
