Diciamo che scaricherò un programma di installazione per un programma su Windows e l'editore ha rilasciato la firma PGP per il file.
Il file di installazione non ha certificati di firma del codice.
Se mi collego al sito web del publisher con https e controllo che l'URL sia corretto, pensi che dovrei comunque verificare l'hash?
Da quello che ho capito, lo scopo di questo è assicurarsi che il download non sia stato intercettato da terzi e assicurarsi di aver scaricato il file corretto.
È ancora una minaccia anche se mi collego con https e controllo l'URL?