Ich dachte, der Punkt der Verteilung von MD5-Prüfsummen wäre so, dass der Endbenutzer die Integrität des Downloads überprüfen konnte.
Wenn eine Site mit hohem Datenaufkommen auf eine Mirror-Site zum Download verweist, warum sollte ich meinen Download anhand einer Prüfsumme überprüfen, die auf dem Mirror bereitgestellt wird?
Wenn jemand Binaries auf der Mirror-Site manipulieren würde, könnten dann nicht auch die Prüfsummen manipuliert werden? Sollte mir die autorisierende Site nicht die Prüfsumme geben, bevor ich sie von einem Spiegel herunterlade, damit ich mit der Hauptquelle vergleichen kann?
Sie haben recht in Ihrer Erwartung.
Überprüfen Sie dieses Beispiel bei Apache .
Und diese Ubuntu md5sum Referenz .
In Bezug auf die Sicherheit ermöglichen kryptographische Hashes wie MD5 die Authentifizierung von Daten, die von unsicheren Spiegeln abgerufen werden.
Der MD5-Hash muss signiert sein oder aus einer sicheren Quelle (einer HTTPS-Seite) einer Organisation stammen, der Sie vertrauen .
Nun, es würde Ihnen zumindest die Gewissheit geben, dass Ihre Kopie genau dieselbe ist wie auf dem Spiegel.
Sie haben Recht, dass diese Informationen nutzlos sind, wenn die Hauptquelle keine Prüfsumme bereitstellt
Normalerweise möchten ethische Spiegel nicht als "Spoof" interpretiert werden. Sie wollen Spiegel sein, weil sie neben anderen Vorteilen sichtbar sind.
Sie zeigen Prüfsummen als autorisierende Quelle, um ihnen Glaubwürdigkeit zu verleihen: "Hey, wir empfehlen Ihnen, Ihre Prüfsummen zu überprüfen, wie die offizielle Website sagt!".
Ich glaube, das ist der POV des Spiegels. Als Benutzer überprüfe ich normalerweise beide Quellen.
Nun, Sie können überprüfen, ob der Download erfolgreich abgeschlossen wurde - Prüfsummen sind nicht nur eine Abwehr gegen böswillige Manipulationen. Sie helfen auch zu überprüfen, ob eine Datei vollständig und korrekt heruntergeladen wurde