J'ai téléchargé une énorme quantité de fichiers, mais j'ai découvert récemment l'utilisation de md5 et sha comme vérificateurs d'intégrité. À partir de là, je préfère toujours le vérifier pour les gros fichiers téléchargés, même si je ne les ai jamais trouvés corrompus.
Avons-nous vraiment besoin de vérifier l'intégrité des fichiers téléchargés?
Choisissez par exemple une distribution Linux que je viens de télécharger, qui fait 1 Go, si vous voulez.
Je vous remercie
Réponses:
Cela dépend de quelques facteurs.
Avez-vous une connexion Internet stable?
Si vous disposez d'une connexion Internet stable, vous n'avez pas besoin de vérifier l'intégrité du fichier car il sera probablement correct. Je ne vérifie jamais le hachage et je n'ai jamais eu non plus de fichiers corrompus. Ou peut-être une fois lorsque le serveur distant s'est déconnecté.
Voulez-vous vérifier le fichier pour des raisons de sécurité?
Si vous êtes préoccupé par la sécurité du fichier que vous téléchargez, vous pouvez utiliser le hachage MD5 pour vérifier que le fichier n'a pas été modifié d'une manière ou d'une autre. Vous téléchargez un fichier et si le hachage MD5 ne correspond pas, cela signifie que le fichier sur le serveur est différent du hachage MD5 et que quelque chose ne va pas. Cela ne serait valable que si vous ne faites pas confiance au serveur à partir duquel vous téléchargez, mais généralement si quelqu'un fournit un hachage, il fait également de son mieux pour garder les choses à jour. Mais si leur site a été piraté et que vous avez vérifié le hachage MD5, vous avez obtenu le petit bonus.
Dans l'ensemble, ces 2 donneront un non à la plupart des gens. Si c'est un non pour vous, c'est entièrement à vous bien sûr.
la source
La réponse et le choix que l'on fera seront basés sur sa tolérance au risque et des considérations de temps et d'efforts dans la vérification.
La vérification des hachages MD5 / SHA1 est une bonne première étape et vous devez le faire lorsque vous en avez le temps. Cependant, vous devez considérer votre capacité à faire confiance au hachage fourni. Par exemple, si le site Web de l'auteur avec le hachage est piraté, l'attaquant peut modifier le hachage, vous ne le saurez donc pas. Si le hachage que vous calculez n'est pas le même que le hachage fourni, vous savez que quelque chose se passe. Cependant, juste parce que le match hashs ne pas garantir le fichier est bon.
Une meilleure alternative pour un auteur de logiciel pour assurer l'intégrité et l'authenticité consiste à signer numériquement les fichiers distribués. Cela joint les informations d'authenticité au fichier et ne dépend pas de la confiance accordée à un site Web. Si un auteur signe numériquement le fichier, le seul moyen de le truquer est une autorité de certification compromise ou si la clé de signature du développeur a été volée. Ces deux cas sont beaucoup moins susceptibles qu'un site Web sur Internet piraté.
En fin de compte, vous devez faire votre propre diligence raisonnable pour déterminer si vous voulez faire confiance à quelque chose, puis prendre des contre-mesures (exécuter dans un bac à sable, une machine virtuelle, etc.) pour atténuer les facteurs inconnus ou les erreurs de calcul que vous avez faits lorsque vous décidez de faire confiance ou non. .
la source
Pour des raisons de sécurité, OUI. Considérez qu'un nœud de sortie de Tor s'est avéré corriger des binaires pendant le téléchargement , puis souvenez-vous que votre FAI peut ou non avoir la moindre morale, et qu'il contrôle parfaitement votre connexion Internet.
la source
Juste pour ajouter aux autres réponses:
TLDR: pour les fichiers où l'intégrité est critique, oui
Réponse longue: je le trouve souvent nécessaire lorsque je fais quelque chose où il est essentiel que le fichier ait une intégrité élevée.
Un exemple est de flasher un routeur avec OpenWRT. Si le fichier est corrompu, ce routeur serait maçonné, puis je devrais soit:
Ces deux éléments ne sont pas pratiques, comparés à la simplicité de vérification d'un hachage. Par conséquent, je recommande fortement de le faire pour les fichiers critiques.
la source
Je prends généralement la peine de vérifier si mon téléchargement a été interrompu et je l'ai repris plus tard, car les requêtes HTTP avec un décalage de recherche ne sont pas aussi largement utilisées, donc quelque chose de stupide aurait pu se produire.
Dans de nombreux cas, le téléchargement est un fichier compressé qui ne se décompresse pas s'il est cassé. Si ce n'est PAS le cas, vérifier n'est pas une mauvaise idée. Je pourrais vérifier une image ISO avant de la graver sur un support à écriture unique.
Le vérifier avec un hachage du même site d'où je l'ai obtenu est de peu d'utilité, en termes de sécurité, comme l'ont dit d'autres réponses et commentaires. Cela peut être plus utile si vous avez téléchargé à partir d'un miroir, mais le hachage provient de l'amont d'origine. Ou si le nom de fichier est ambigu, et pour une raison quelconque, vous n'êtes pas sûr d'avoir obtenu la version exacte que vous vouliez.
Le fait est que la publication de hachages est utile pour de nombreux cas spéciaux autres que le simple téléchargement du fichier à partir du même site hébergeant le hachage.
la source