Pourquoi devrais-je comparer mon téléchargement à une somme de contrôle fournie par un site miroir?

2

Je pensais que l’intérêt de distribuer des sommes de contrôle md5 était de permettre à l’utilisateur final de vérifier l’intégrité du téléchargement.

Si un site très fréquenté me renvoie à un site miroir pour le téléchargement, pourquoi voudrais-je vérifier mon téléchargement par rapport à une somme de contrôle fournie sur le miroir?

Si quelqu'un devait altérer les fichiers binaires sur le site miroir, ne pourrait-il pas également altérer les sommes de contrôle? Le site faisant autorité ne devrait-il pas me donner la somme de contrôle avant de télécharger à partir d'un miroir afin que je puisse vérifier par rapport à la source principale?

Joe Holloway
la source
Si je ne trouve pas la somme de contrôle appropriée sur un site officiel, je demanderai à quelqu'un qui l'a déjà en
main
1
Attendez, vous avez des amis qui comprennent ce qu'est une somme de contrôle? Mes amis me regardaient de façon amusante et me demandaient ensuite si je pouvais faire fonctionner leur ordinateur à nouveau après avoir téléchargé un cheval de Troie de World of Warcraft.
Joe Holloway

Réponses:

4

Vous avez raison dans vos attentes.
Consultez cet exemple sur Apache .

Et cette référence Ubuntu md5sum .

En termes de sécurité, les hachages cryptographiques tels que MD5 permettent l’authentification des données obtenues à partir de miroirs non sécurisés.
Le hachage MD5 doit être signé ou provenir d'une source sécurisée (une page HTTPS) d'une organisation en laquelle vous avez confiance .

nik
la source
1

Eh bien, cela vous donnerait au moins l'assurance que votre copie est exactement la même que sur le miroir.

vous avez raison, cette information est en quelque sorte inutile si la source principale ne fournit pas cette somme de contrôle

Akira
la source
1

Habituellement, les miroirs éthiques ne veulent pas être interprétés comme des miracles. Ils veulent être des miroirs en raison de la visibilité parmi d'autres avantages.

Ils affichent des sommes de contrôle comme le font les sources autorisées pour leur donner une sorte de crédibilité: "hé, nous vous recommandons de vérifier vos sommes de contrôle comme indiqué sur le site officiel!".

Je crois que c'est le POV du miroir. En tant qu'utilisateur, je vérifie généralement avec les deux sources.

GmonC
la source
1

Eh bien, vous pouvez vérifier si le téléchargement est terminé avec succès - les sommes de contrôle ne constituent pas simplement une défense contre les tentatives de falsification malveillantes. Elles permettent également de vérifier si un fichier a été complètement et correctement téléchargé.

Compagnon Geek
la source
J'ai toujours pensé qu'il serait bien que Firefox ou d'autres navigateurs calculent une somme de contrôle pour vous.
Joe Holloway