为什么网站提供文件下载的MD5校验和?例如,XAMPP在https://www.apachefriends.org/download.html.
我的理解是,它是为了显示真实性和可信度,但如果是这样,那么网站无法计算并提供他们向您提供的任何文件(恶意或非恶意)的校验和?
确实如果承载文件的站点遭到破坏,这些哈希值几乎没有价值 - 但是通常会有第三方主机(以节省带宽或提供备份源).因此,如果我在我的站点上为该文件提供哈希值,但是我使用第三方主机,则可以仔细检查该值以确保文件未被文件主机修改.
在你的情况下,安装程序实际上是由sourceforge.net(至少在我尝试的时候)提供的,具有讽刺意味的是,最近在修改文件时遇到了很多问题,就像我们描述的那样.所以,仔细检查哈希可能是一个好主意!
网站提供的另一个好处是因为MitM攻击可以修改传输中的文件(如可执行文件).这意味着即使您信任该站点和主机,也可能存在一些感染该文件的中间漏洞.当然,一个足够先进的攻击可以操纵两者,但如果是这样,他们可能不需要去解决这个问题.
因此,哈希不是说文件安全的方式.这是一种让您查看提供文件的主机是否提供相同文件的方法.如果您不信任该网页,则哈希值没有任何价值(安全方面).
你没有问这个问题,但提供和MD5和SHA1哈希的一个原因是虽然可能创建一个MD5冲突的文件,并且在某些情况下SHA-1也可能被破坏,但我没有听说过任何可以生成恶意文件的情况.对于网站来说计算多个哈希值是微不足道的,但是攻击者在计算上不可能创建一个"双重"与真实文件冲突的恶意文件(据我所知!).
| 归档时间: |
|
| 查看次数: |
125 次 |
| 最近记录: |