Wo finde ich Prüfsummen für die Full Platform-ZIP-Datei von GlassFish Server 3.1.1 Open Source Edition?

576
chritohnide

Ich habe die Glassfish-ZIP-Datei von http://glassfish.java.net/downloads/3.1.1-final.html heruntergeladen Ich möchte die Integrität der Datei überprüfen, aber ich kann keine Prüfsummen finden.

Wo sind sie zu finden?

Ich habe die Glassfish-Website, Google, stackoverflow, Superuser und Serverfault durchsucht, aber nichts davon gefunden.

0
Vielleicht gibt es keine. Warum brauchst du sie? Haben Sie Probleme beim Öffnen des Archivs? slhck vor 12 Jahren 0
Welche Version laden Sie herunter? Vollständiges oder Webprofil? Windows oder * Nix oder Zip-Archiv? Hier müssen einige Permutationen aufgelöst werden, bevor wir eine seriöse Quelle für Prüfsummen finden können Rob Cowell vor 12 Jahren 0
@slhck Ich wollte, dass die heruntergeladene Datei authentisch und nicht beschädigt ist. Nach dem Lesen der Antwort von grawity erinnere ich mich jedoch jetzt daran, dass eine Prüfsumme allein die Authentizität einer Datei nicht überprüfen kann. Ich könnte das Windows-Exe ausprobieren und sehen, ob es eine eingebettete Signatur gibt, aber ich wollte wirklich die zip-Version, um die Installation zu erleichtern. Und es gibt keine Garantie, dass ich nicht das gleiche Problem habe wie [was hier passiert ist] (http://stackoverflow.com/questions/7466802/why-do-i-keep-getting-the-digital-signature-of-the -Objekt-nicht-Verifizierung-für-wi). chritohnide vor 12 Jahren 0
@RobCowell Ich lade die plattformunabhängige ZIP-Datei für GlassFish Server 3.1.1 Open Source Edition Full Platform herunter chritohnide vor 12 Jahren 0
Ich habe versucht, die Windows-EXE-Datei für die gleiche Version und das gleiche Profil (glassfish-3.1.1-windows.exe) wie die ZIP-Datei herunterzuladen, aber ich stieß auf das Problem, das ich mit anderen Oracle-EXE-Dateien hatte (http: // stackoverflow) .com / questions / 7466802 / why-do-i-keep-getting-the-digital-signatur-of-object-did-not-verify-for-wi) - Die digitale Signatur wurde nicht überprüft. chritohnide vor 12 Jahren 0
Hmm, noch eine mögliche Erklärung - der JAR selbst ist signiert? grawity vor 12 Jahren 0
@grawity Das ist möglich ... obwohl es einige JARs in diesem Paket gibt! Ich werde es trotzdem überprüfen. chritohnide vor 12 Jahren 0

1 Antwort auf die Frage

1
grawity

Die einfachste Antwort - die Glassfish-Entwickler stellen keine Prüfsummen für die Überprüfung des Downloads bereit, wie Slhck sagte -, könnte nur richtig sein.

MD5-Summen und Signaturen werden nicht automatisch erstellt, sondern müssen von demjenigen erstellt werden, der die Dateien veröffentlicht. Sie verschwenden Minuten ihrer kostbaren Zeit für das Trinken von Kaffee, um nur einen geringen Sicherheitsgewinn zu erzielen (einfache MD5-Hashes, die über unsicheres HTTP dienen, sind unbrauchbar) oder Integrität (ZIP) Archive verfügen bereits über CRC32-Prüfsummen, die 'sh' -Installer tragen dieselben ZIP-Archive, und EXE-Installer können sich selbst verifizieren.

Es sieht so aus, als ob du und slhck _might_ richtig sein könntest. Das bringt mich zu einer [anderen Frage] (http://superuser.com/questions/337831/why-dont-software-publishers-sign-software-when-distributed-as-a-zip-file) ... chritohnide vor 12 Jahren 0

Verwandte Probleme