我认为分发 md5 校验和的目的是为了让最终用户可以验证下载的完整性。
如果一个高流量站点将我引导到镜像站点进行下载,为什么我要根据镜像上提供的校验和来验证我的下载?
如果有人要篡改镜像站点上的二进制文件,他们是否也可以篡改校验和?在我从镜像下载之前,权威站点是否应该向我提供校验和,以便我可以对照主源进行检查?
答案1
你的期望是对的。
检查一下Apache 的示例。
和这个Ubuntu md5sum 参考。
在安全性方面,MD5 等加密哈希允许对从不安全镜像获得的数据进行身份验证。
MD5 哈希必须经过签名,或来自您信任的组织的安全来源(HTTPS 页面)。
答案2
好吧,它至少会让你相信你的副本与镜子上的完全一样。
你是对的,如果主要来源不提供这样的校验和,那么这些信息就毫无用处
答案3
通常,道德镜子并不想被解读为“恶搞”镜子。它们之所以想成为镜子,是因为除了其他优点之外,还有可见性。
它们像权威来源一样显示校验和,以赋予它们某种可信度:“嘿,我们建议您按照官方网站的说法检查您的校验和!”。
我相信这是镜子的视角。作为用户,我通常会检查两个来源。
答案4
好吧,你可以检查下载是否成功完成 - 校验和不仅可以防止恶意篡改 - 它们还可以帮助验证文件是否已完整且正确地下载