Ho visto diversi siti che avrebbero messo l'hash del file scaricabile vicino al file. Perché lo fanno?
Capisco lo scopo di confrontare l'hash del tuo file con l'hash online ma se un utente malintenzionato potrebbe modificare il file di download non dovrebbe avere problemi a cambiare il sito o l'hash sul sito.
Non rende quasi inutile l'hash?
Stai pensando al problema nel modo sbagliato.
Un motivo per cui gli hash si avvicinano al download è quello di rilevare se il download è stato danneggiato. Non è raro avere un download corrotto, quindi avere l'hash verificherà se hai scaricato in modo pulito.
L'altro motivo è che è comune a un sito ospitare i file su un altro host, come una rete di distribuzione del contenuto. In questi casi, il proprietario del sito ha meno controllo sui file, quindi qualcuno potrebbe manometterli, anche avendo il controllo diretto sui file del sito principale. Ciò assicurerà che nessuno abbia manomesso i file sull'host remoto.
Dipende se il download e l'hash si trovano sullo stesso server - non è raro che i download provengano da provider o sistemi CDN come S3, che forniscono hosting di file statico, mentre il resto della pagina proviene da un CMS su un server web con contenuti dinamici. In questo caso, o in cui un file può essere scaricato da una fonte alternativa, fornisce un buon indicatore del fatto che il file è come originariamente generato.
Lo stesso vale per cose come le distribuzioni Linux, dove Bittorrent potrebbe essere usato per la distribuzione. Controllando la somma, fornisce la rassicurazione che il file corretto è stato scaricato.
Se il file e l'hash si trovano sullo stesso server, è meno utile però - come dici tu, se puoi cambiarne uno, puoi probabilmente cambiare l'altro.
Doesn't make that the hash almost useless ?
Quindi no, gli hash non sono inutili. Non sono perfetti, ma sono un pezzo del puzzle necessario per garantire la distribuzione del software.
Leggi altre domande sui tag hash