Perché ci sono Hash accanto ai download? [duplicare]

1

Ho visto diversi siti che avrebbero messo l'hash del file scaricabile vicino al file. Perché lo fanno?

Capisco lo scopo di confrontare l'hash del tuo file con l'hash online ma se un utente malintenzionato potrebbe modificare il file di download non dovrebbe avere problemi a cambiare il sito o l'hash sul sito.

Non rende quasi inutile l'hash?

    
posta Lexu 27.01.2016 - 14:43
fonte

3 risposte

2

Stai pensando al problema nel modo sbagliato.

Un motivo per cui gli hash si avvicinano al download è quello di rilevare se il download è stato danneggiato. Non è raro avere un download corrotto, quindi avere l'hash verificherà se hai scaricato in modo pulito.

L'altro motivo è che è comune a un sito ospitare i file su un altro host, come una rete di distribuzione del contenuto. In questi casi, il proprietario del sito ha meno controllo sui file, quindi qualcuno potrebbe manometterli, anche avendo il controllo diretto sui file del sito principale. Ciò assicurerà che nessuno abbia manomesso i file sull'host remoto.

    
risposta data 27.01.2016 - 14:52
fonte
1

Dipende se il download e l'hash si trovano sullo stesso server - non è raro che i download provengano da provider o sistemi CDN come S3, che forniscono hosting di file statico, mentre il resto della pagina proviene da un CMS su un server web con contenuti dinamici. In questo caso, o in cui un file può essere scaricato da una fonte alternativa, fornisce un buon indicatore del fatto che il file è come originariamente generato.

Lo stesso vale per cose come le distribuzioni Linux, dove Bittorrent potrebbe essere usato per la distribuzione. Controllando la somma, fornisce la rassicurazione che il file corretto è stato scaricato.

Se il file e l'hash si trovano sullo stesso server, è meno utile però - come dici tu, se puoi cambiarne uno, puoi probabilmente cambiare l'altro.

    
risposta data 27.01.2016 - 14:53
fonte
1

Doesn't make that the hash almost useless ?

  1. Gli hash servono a scopi di integrità oltre che a fini di sicurezza. La pubblicazione degli hash è un modo per garantire che il download non sia danneggiato. Questo era più un problema di oggi, ma ancora ...
  2. La modifica del contenuto di un file sul server non è una modifica visibile. Cambiare l'hash pubblicato accanto è un cambiamento visibile. Sebbene l'hacker possa modificare l'hash pubblicato, aumenta le possibilità di rilevamento.
  3. Chiunque a cui importa (ad es. distribuzioni di sistemi operativi) firma crittograficamente i propri pacchetti oltre all'hashing. Naturalmente, le chiavi di firma sono state anche compromesse . Non c'è una sicurezza perfetta; il perfetto è il nemico del bene.

Quindi no, gli hash non sono inutili. Non sono perfetti, ma sono un pezzo del puzzle necessario per garantire la distribuzione del software.

    
risposta data 27.01.2016 - 14:56
fonte

Leggi altre domande sui tag