भ्रष्ट डाउनलोड के मामले में, यह बहुत दुर्लभ है। मुझे नहीं लगता कि मैंने कभी भ्रष्ट डाउनलोड किया है, सिवाय इसके कि अगर इसे किसी भी तरह से छोटा कर दिया गया है और त्रुटि की सूचना नहीं मिली है (पुराने एफ़टीपी क्लाइंट दिन में वापस आते हैं)।
यदि आप दर्पण से डाउनलोड कर रहे हैं तो कुछ सुरक्षा लाभ हो सकते हैं, और आप वास्तविक साइट पर भरोसा करते हैं (जो एमडी 5 प्रकाशित करता है) जो आपको दर्पण पर विश्वास करने से अधिक है (जो पुराना हो सकता है, या बुरा हो सकता है, या छोटी गाड़ी , या pwned, या कुछ, और तो इसके बीच एक कैशिंग वेब प्रॉक्सी हो सकता है)। हालांकि, काफी संभावना नहीं है, क्योंकि आमतौर पर यह सोचने का कोई कारण नहीं है कि मुख्य साइट दर्पण की तुलना में कम या ज्यादा भरोसेमंद या सुरक्षित है। फिर भी, यह एक दूसरी राय है।
मुझे आमतौर पर प्रकाशित चेकसम की जांच करने की परेशानी नहीं होती है जब तक कि यह सोचने का कोई विशेष कारण न हो कि वे सही हैं और डाउनलोड सुरक्षित नहीं है (उदाहरण के लिए चेकसम एक https यूआरएल पर है और डाउनलोड नहीं है)। यदि आप बुराई करने वालों के बारे में चिंतित हैं तो आपको केवल एक असुरक्षित रूप से प्रेषित चेकसम पर हस्ताक्षर करने की आवश्यकता नहीं है।
मैं कभी-कभी वायरसस्टॉल पर हैश-आधारित वायरस स्कैन रिपोर्ट का उपयोग करता हूं।मुझे लगता है कि एक प्रकाशित MD5sum आपको इसे डाउनलोड करने से पहले फ़ाइल को वायरस-चेक करने की अनुमति दे सकता है, और उसके बाद आपको यह पुष्टि करने के लिए डाउनलोड के बाद राशि की जांच करनी होगी कि आपके द्वारा डाउनलोड की गई फ़ाइल के लिए वास्तव में वायरस-चेक किया गया मान वास्तव में था।
ध्यान दें कि बुराई कर्ता वास्तविक फ़ाइल के साथ-साथ डोडी वायरस-लोड किए गए एक को उत्पन्न करता है तो MD5 चेकसम सुरक्षित नहीं हैं। एमडी 5 टकराव उत्पन्न करना संभव है, हालांकि अभी तक एक पूर्ण प्री-इमेज हमला नहीं है। सुरक्षा के बारे में गंभीर कोई भी जहां संभव हो SHA256 रकम पर स्विच कर दिया गया है। जो विरासत और संसाधन कारणों से आप उम्मीद कर सकते हैं उससे कम है।
स्रोत
2009-04-18 21:46:24
वेब पर इस तरह के हमले कितने हैं? मैं संभावना को जानना चाहता हूं। –
क्या उबंटू का पैकेज मैनेजर स्वचालित रूप से हैश कोड की जांच करता है? –
यह अनिवार्य रूप से - असंभव है। असल में, आपको किसी को अपने नेटवर्क पर रखना होगा या कोई इसे पूरा करने के लिए सर्वर पर हमला करना होगा। यह मूल रूप से कभी नहीं होता है - लेकिन जब भी वे प्रदान किए जाते हैं, तब भी हैश जांचें। यह एक बहुत अच्छा अभ्यास है, और सुरक्षा-महत्वपूर्ण वातावरण के लिए बहुत अच्छा विचार है। – Anthony