プログラムのホームページで MD5 ハッシュを実際の MD5 ハッシュと比較したことはありません。ダウンロードしたプログラムは常に機能しています。
ダウンロード中に誰かが独自のコードを挿入できる可能性はありますか?
6138 次
9 に答える
9
ハッシュは、ファイルの内容に基づいてファイルの (一種の) 一意の識別子を提供します。損失の多い接続と貧弱な転送方法、および悪意のあるファイルのコピーが漂っている場合、ハッシュは、ファイルがサーバーからダウンロードしようとしたファイルと同じであることを証明する方法を提供します.
取得したファイルのコピーをハッシュし、ハッシュが同じかどうかを確認して検証します。
人々は厄介なコードを挿入したり、ダウンロード中のファイルを変更したり、破損したダウンロードを取得したりする可能性があります.
于 2009-04-18T21:04:38.837 に答える
3
破損したダウンロードに関しては、かなりまれです。どういうわけか切り捨てられてエラーが報告されない場合を除いて、ダウンロードが破損したことはないと思います(当時の古いFTPクライアント)。
ミラーからダウンロードしている場合、セキュリティ上の利点があるかもしれません。また、ミラーを信頼するよりも実際のサイト (MD5 を公開しているサイト) を信頼している場合 (古いサイト、悪意のあるサイト、バグがあるサイト、または pwned のサイトである可能性があります) があります。または何か、そしてそれとあなたの間のキャッシング Web プロキシかもしれません)。ただし、通常、メイン サイトがミラー サイトよりも多かれ少なかれ信頼できる、または安全であると考える理由はないため、非常にまれな状況です。それでも、それはセカンドオピニオンです。
私は通常、公開されたチェックサムが正しく、ダウンロードが安全ではないと考える特別な理由がない限り (たとえば、チェックサムが https URL にあり、ダウンロードが安全でないなど)、わざわざチェックサムをチェックすることはありません。悪意のある人が心配な場合は、安全に送信されていないチェックサムだけでなく、署名する必要があります。
ただし、私は時々 virustotal でハッシュベースのウイルス スキャン レポートを使用します。公開された MD5sum を使用すると、ファイルをダウンロードする前にウイルス チェックを行うことができ、ダウンロード後に合計をチェックして、ウイルス チェックした値が実際にダウンロードしたファイルのものであることを確認する必要があると思います。
MD5 チェックサムは、悪意のある実行者が本物のファイルと危険なウイルスをロードしたファイルを生成する場合、安全ではないことに注意してください。完全なプレイメージ攻撃は (まだ) ありませんが、MD5 衝突を生成することは可能です。セキュリティに真剣に取り組んでいる人は、可能であれば SHA256 サムに切り替えています。レガシーとリソースの理由から、これはあなたが期待しているよりも少ないです.
于 2009-04-18T21:46:24.150 に答える
2
ダウンロード中に誰かが独自のコードを挿入できる可能性はありますか?
はい。ダウンロードが暗号化されていない HTTP 経由で行われる場合、それは多くのネットワークを介してルーティングされ、人々がそれを操作してトロイの木馬やウイルスを挿入する機会が確実にあります.
これはまさにダウンロード用の MD5 チェックサムの目標ですが、チェックサムも同じように操作される可能性があるため、これはもちろん完全なセキュリティではありません。ただし、攻撃者の側でより多くの努力と調整が必要になります。
全体として、これはあまり一般的な問題ではありません。現在、悪者にとってより有効な攻撃経路が他にもあるためです (主に Web ブラウザーの脆弱性)。
于 2009-04-18T21:07:03.870 に答える
1
ハッシュをチェックすると、ダウンロードしようとしたコードを取得したことを確認できる (故意または偶然に破損したものではない) ことに加えて、コードを公開するときにハッシュを含めることは、社会的な衛生状態に優れています。ソフトウェアを共有または販売する人は、コードにハッシュを含めることが多く、定期的にチェックする人もいると思われます (一部のダウンロード ツールは自動的にチェックします)。したがって、セキュリティ クリティカルなソフトウェアのハッシュのみをチェックする人、またはまったくチェックしない人は、そのソフトウェアが意図したとおりのものであるという確信を持つことができます。クラッカーがウイルスやトロイの木馬を頻繁に使用されるダウンロード サイトに挿入しようとすると、それらはすぐに検出され、攻撃は修復されて公表されます。
したがって、ときどきチェックすることで全員を助けることができます。そうしない場合でも、ハッシュの存在は、コードがおそらく作成者が意図したとおりであり、同じコードが他の多くの人々によってダウンロードされているという安心感を提供するはずです。
于 2009-04-18T22:35:44.203 に答える
1
ファイルが破損しているかどうかを確認できます。私が思うのはそれだけです。
于 2009-04-18T21:03:38.387 に答える
1
MD5 ハッシュは検証の形式です。ファイル内の 1 ビットが異なる場合、提供されたハッシュは、ダウンロードしたファイルから生成されたものと一致しません。これは、送信エラーまたは不正なプレイ (まれ) を警告します。
于 2009-04-18T21:10:15.250 に答える
0
ほとんどの場合、md5 をチェックします。1 回か 2 回だけかもしれませんが、はい、ダウンロードが破損していました。
何かをダウンロードし、その md5 をチェックしてファイルと一緒に保存する場合は、発行者が誰にも知らせずに密かにファイルを変更したかどうかを後で確認する方法にもなります。
于 2009-04-18T22:48:39.587 に答える
0
それは基本的に認証と同じ質問に答えます - 彼がその人であると言う人が実際にその人であるかどうか ダウンロードしたプログラムが実際に作成者が最初に提供したものであり、ベンダーからインターネットの迷路を通ってデスクトップに至る途中で改ざんされていないことを確認するのに役立ちます.
于 2009-04-18T21:46:46.193 に答える