Quando scarichi un file, a volte il proprietario del sito web mette un MD5, SHA1, SHA256 o un hash o checksum simile del file proprio accanto ad esso; nella pagina in cui è possibile scaricarlo o in un file separato che è possibile scaricare.
È meraviglioso come modo per verificare l'integrità; se il checksum che posso calcolare localmente dal file e il checksum osservato non corrispondono, qualcosa è andato storto durante il download.
Tuttavia, spesso accade che questi checksum siano mostrati su pagine che sono (solo) accessibili da una connessione crittografata non end-to-end.
Se non stai usando una connessione cifrata end-to-end, non significa che l'intero approccio è aperto agli attacchi man-in-the-middle e che un checksum si dimostra molto poco? (Dopotutto, Trudy l'intruso potrebbe sostituire sia il file scaricato che il checksum che si potrebbe ritenere con varianti dei propri file malevoli).
Mi sto perdendo qualcosa qui? C'è qualche motivo per fornire checksum su una posizione non HTTPS?