我注意到,即使下载配置为使用安全连接,人们也倾向于上传校验和。例如,GitHub 将所有流量重定向到 HTTPS,但仍然提供 SHA 和。https://github.com/prometheus/node_exporter/releases/tag/v0.18.1 这难道不是完全多余的吗?
答案1
校验和能可用于验证文件是否正确下载,但也可用于验证从作者控制范围之外的镜像或第三方网站下载的文件是否托管正确且未修改的文件。因此,它可用于验证文件是否未被篡改。
是否“多余”取决于用例。
答案2
校验和可让您验证文件是否“完整”。文件可能不仅因恶意修改而损坏,还可能因硬件故障、短暂连接中断、位翻转或篡改安全软件而“损坏”。这些不在 SSL/TLS 的保护范围内。