Più spesso accanto al pulsante di download di un file c'è una varietà di checksum.
Quando scarico un file a quali rischi per la sicurezza sono esposto se non ne controllo l'integrità?
Più spesso accanto al pulsante di download di un file c'è una varietà di checksum.
Quando scarico un file a quali rischi per la sicurezza sono esposto se non ne controllo l'integrità?
When I download a file what security risks am I exposed to if I don't check for its integrity?
Se i checksum sono pubblicati sullo stesso server che ospita anche i download, non ci sono molti rischi per la sicurezza di non controllare. Se un utente malintenzionato sarebbe in grado di manipolare i download, probabilmente sarebbe in grado di manipolare anche i checksum. Quindi il problema principale è che potresti non rilevare che il download è corrotto.
È un altro caso se il checksum viene fornito su server diversi dai download. Se i checksum sono serviti da un server ben protetto e vengono serviti tramite https, che non importa molto se i file scaricati sono ospitati su siti più problematici e senza http, almeno finché ciascun utente ha verificato che il file scaricato corrisponde i checksum pubblicati. Quindi in questo caso sarebbe un rischio maggiore per la sicurezza di non convalidare i checksum.
La verifica di una somma di controllo consente di evitare la frustrazione di consentire potenzialmente a un file che è stato incluso maliziosamente di infiltrarsi nel sistema o nella rete; da un punto di vista della sicurezza, l'hash consente di eseguire una verifica che consente di garantire che ciò che è stato scaricato non è stato compromesso o incompleto durante il download sul tuo sistema.
In tutta la realtà non è necessario quando sono sullo stesso sito, non c'è alcun bonus di sicurezza reale. È solo un valore di sicurezza quando si tenta di verificare che un file di un'altra origine sia lo stesso file (anche se può essere dubbio per il successo degli attacchi di collisione contro molti errori tipici di rilevamento degli errori.)
Nella maggior parte dei casi viene fornito per assicurarsi che il download sia andato a buon fine.
Potresti potenzialmente ottenere un file corrotto o un download incompleto. È molto improbabile, ma suppongo che sia lontanamente possibile, che un download incompleto possa danneggiare un sistema in qualche modo.
Un caso che immagino possa essere applicato potrebbe essere il caso di scaricare un aggiornamento del firmware per una scheda madre o qualcosa che non esegue la convalida dell'immagine del firmware prima di applicarlo. Il mancato controllo potrebbe significare che il tuo dispositivo non è compatibile con firmware non valido. Sembra molto improbabile che ciò abbia comunque implicazioni dal punto di vista della sicurezza.
Leggi altre domande sui tag hash vulnerability