Esiste uno scopo per fornire checksum in una posizione non HTTPS? [duplicare]

3

Quando scarichi un file, a volte il proprietario del sito web mette un MD5, SHA1, SHA256 o un hash o checksum simile del file proprio accanto ad esso; nella pagina in cui è possibile scaricarlo o in un file separato che è possibile scaricare.

È meraviglioso come modo per verificare l'integrità; se il checksum che posso calcolare localmente dal file e il checksum osservato non corrispondono, qualcosa è andato storto durante il download.

Tuttavia, spesso accade che questi checksum siano mostrati su pagine che sono (solo) accessibili da una connessione crittografata non end-to-end.

Se non stai usando una connessione cifrata end-to-end, non significa che l'intero approccio è aperto agli attacchi man-in-the-middle e che un checksum si dimostra molto poco? (Dopotutto, Trudy l'intruso potrebbe sostituire sia il file scaricato che il checksum che si potrebbe ritenere con varianti dei propri file malevoli).

Mi sto perdendo qualcosa qui? C'è qualche motivo per fornire checksum su una posizione non HTTPS?

    
posta Qqwy 02.10.2016 - 21:12
fonte

1 risposta

2

Questi checksum sono lì per difendersi dalla corruzione accidentale, non contro un malintenzionato.

Ho avuto casi in cui il download è stato danneggiato o interrotto a metà strada, ma il browser non ha segnalato errori e ha comunque considerato il file completo - utilizzando il checksum possiamo facilmente rilevare tali occorrenze.

Il checksum può anche essere utilizzato per stabilire se un file che possiedi già è uguale al file che stai per scaricare senza scaricare, risparmiando così la larghezza di banda che può essere preziosa per le connessioni a bassa o misurata.

    
risposta data 02.10.2016 - 21:23
fonte

Leggi altre domande sui tag