Spesso i siti di software offrirebbero firme e checksum per il controllo di integrità dopo il download del software. Quanto è cruciale il processo di verifica del checksum (ad es. Md5) e quale altro tipo di sicurezza offre o può offrire questo processo?
In termini di sicurezza, ciò che offre è che, collisioni MD5 a parte, il file che hai ottenuto è il file che non è stato manomesso. Come indicato in un commento, questo potrebbe essere utile quando si scarica il file da un mirror o tramite una connessione FTP non protetta.
Si noti che se il file viene scaricato dallo stesso sito di quello che mostra l'hash, la corrispondenza di un MD5 o di uno SHA1 non significa nulla, per quanto riguarda la sicurezza. Nel caso in cui il sito sia esposto tramite HTTP (al contrario di HTTPS), MITM può modificare sia il file che l'hash dal sito Web; in questo caso, l'hash è fuorviante in quanto fornisce un falso senso di sicurezza.
Un altro uso di un hash è determinare se hai ottenuto l'intero file o meno e assicurati che il file non sia stato danneggiato (in caso di problemi di rete o di arresto anomalo del PC). Questo non è il tipo di situazioni che si verificano su base regolare.
Una situazione molto più frequente, tuttavia, è che hai scaricato un file molto tempo fa e non sei sicuro che sia lo stesso di quello che vedi sul sito web . Un semplice confronto hash può fare la differenza tra il nuovo download di un file da 5 GB per i prossimi venti minuti, sprecare risorse del server e sapere che non è necessario, perché il file che hai è lo stesso.
Leggi altre domande sui tag software