Perché i browser non dispongono di funzionalità integrate per verificare l'integrità dei download? [chiuso]

0

Ho appena iniziato il download di un file di grandi dimensioni. I checksum sono stati posizionati in modo prominente nella pagina di download. Ma ho appena realizzato che in realtà non ho mai utilizzato nessuno dei checksum forniti per la verifica dell'integrità del download.

Quali sono i motivi per cui i browser non forniscono tale funzionalità dal punto di vista della sicurezza?

Molti browser mostrano una sorta di popup all'avvio del download. Quindi avrebbe senso avere un'opzione per abilitare la verifica.

    
posta SpaceTrucker 14.08.2015 - 09:52
fonte

1 risposta

2

Perché non è necessario.

Tutti i protocolli che sono comunemente usati per scaricare i file hanno un meccanismo di buildin per garantire l'integrità del flusso di dati o basarsi su un protocollo di livello inferiore (come TCP) per fornire questo. Questa è una precazione affidabile contro la corruzione accidentale di file nel trasferimento.

Quando si tratta di intenzionale corruzione dei file da parte di un man-in-the-middle: qualsiasi attacker che può modificare il flusso di dati del download stesso può molto probabilmente anche modificare il flusso di dati che viene utilizzato per trasferire il checksum, quindi non sarebbe una precazione di sicurezza efficiente.

Tali checksum hanno senso solo quando il sito web che pubblicizza il file e il sito web che ospita il file sono sotto il controllo di entità diverse, come quando esternalizzi i tuoi file scaricabili a un filehoster di terze parti. Ma per automatizzare questo, avremmo bisogno di un protocollo che dia ad un server l'autorità per dire quali file su un altro server sono autentici. Tale protocollo avrebbe un sacco di potenziale di abuso.

    
risposta data 14.08.2015 - 11:00
fonte

Leggi altre domande sui tag