ऐप्स डाउनलोड करने में MD5 हैश का उद्देश्य क्या है?

Question

मैंने एमडी 5 हैश को प्रोग्राम होमपेज पर वास्तविक एमडी 5 हैश की जांच और तुलना नहीं की है। जो प्रोग्राम मैंने डाउनलोड किए हैं वे हमेशा काम करते हैं।

क्या यह संभव है कि कोई डाउनलोड करने के दौरान अपना कोड डाल सके?

Answer 1

ए हैश अपनी सामग्री के आधार पर फ़ाइल के लिए अद्वितीय पहचानकर्ता प्रदान करता है। हानिकारक कनेक्शन और खराब संचरण विधियों के साथ-साथ दुर्भावनापूर्ण फ़ाइल प्रतियों के आसपास तैरने के साथ, एक हैश साबित करने का एक तरीका प्रदान करता है कि आपकी फ़ाइल उसी फ़ाइल है जिसे आपने सर्वर से डाउनलोड करने का प्रयास किया है।

आप इसे प्राप्त फ़ाइल की प्रतिलिपि करके इसे देखकर सत्यापित करते हैं, और देख रहे हैं कि हैश समान हैं या नहीं।

लोग खराब कोड इंजेक्ट कर सकते हैं, डाउनलोड की जा रही फ़ाइल को बदल सकते हैं, या आप बस भ्रष्ट डाउनलोड प्राप्त कर सकते हैं।

Answer 2

फ़ाइल दूषित होने पर जांच की जा सकती है। यही मेरा विचार है।

Answer 3

क्या यह संभव है कि कोई डाउनलोड करने के दौरान अपना स्वयं का कोड डाल सके?

हां। यदि डाउनलोड अनएन्क्रिप्टेड HTTP के माध्यम से किया जाता है, तो इसे कई नेटवर्कों के माध्यम से भेजा जा रहा है, और वहां निश्चित रूप से लोगों के लिए इसका उपयोग करने और ट्रोजन या वायरस डालने का अवसर निश्चित रूप से होता है।

और यह डाउनलोड के लिए एमडी 5 चेकसम के बिल्कुल सही लक्ष्य है, हालांकि यह निश्चित रूप से सही सुरक्षा नहीं है, क्योंकि चेकसम को उसी तरह से छेड़छाड़ की जा सकती है। लेकिन हमलावर के हिस्से पर अधिक प्रयास और समन्वय की आवश्यकता होगी।

सब कुछ, यह एक बहुत ही आम समस्या नहीं है, क्योंकि हमले के अन्य वैक्टर हैं जो वर्तमान में बुरे लोगों (मुख्य रूप से वेबब्रोसर भेद्यता) के लिए अधिक उपयोगी हैं।

Answer 4

एक एमडी 5 हैश सत्यापन का एक रूप है। यदि फ़ाइल में एक बिट अलग है, तो उपलब्ध हैश आपके द्वारा डाउनलोड की गई फ़ाइल से उत्पन्न एक से मेल नहीं खाएगा। यह आपको ट्रांसमिशन या फाउल प्ले (दुर्लभ) में एक त्रुटि के लिए अलर्ट करता है।

Answer 5

भ्रष्ट डाउनलोड के मामले में, यह बहुत दुर्लभ है। मुझे नहीं लगता कि मैंने कभी भ्रष्ट डाउनलोड किया है, सिवाय इसके कि अगर इसे किसी भी तरह से छोटा कर दिया गया है और त्रुटि की सूचना नहीं मिली है (पुराने एफ़टीपी क्लाइंट दिन में वापस आते हैं)।

यदि आप दर्पण से डाउनलोड कर रहे हैं तो कुछ सुरक्षा लाभ हो सकते हैं, और आप वास्तविक साइट पर भरोसा करते हैं (जो एमडी 5 प्रकाशित करता है) जो आपको दर्पण पर विश्वास करने से अधिक है (जो पुराना हो सकता है, या बुरा हो सकता है, या छोटी गाड़ी , या pwned, या कुछ, और तो इसके बीच एक कैशिंग वेब प्रॉक्सी हो सकता है)। हालांकि, काफी संभावना नहीं है, क्योंकि आमतौर पर यह सोचने का कोई कारण नहीं है कि मुख्य साइट दर्पण की तुलना में कम या ज्यादा भरोसेमंद या सुरक्षित है। फिर भी, यह एक दूसरी राय है।

मुझे आमतौर पर प्रकाशित चेकसम की जांच करने की परेशानी नहीं होती है जब तक कि यह सोचने का कोई विशेष कारण न हो कि वे सही हैं और डाउनलोड सुरक्षित नहीं है (उदाहरण के लिए चेकसम एक https यूआरएल पर है और डाउनलोड नहीं है)। यदि आप बुराई करने वालों के बारे में चिंतित हैं तो आपको केवल एक असुरक्षित रूप से प्रेषित चेकसम पर हस्ताक्षर करने की आवश्यकता नहीं है।

मैं कभी-कभी वायरसस्टॉल पर हैश-आधारित वायरस स्कैन रिपोर्ट का उपयोग करता हूं।मुझे लगता है कि एक प्रकाशित MD5sum आपको इसे डाउनलोड करने से पहले फ़ाइल को वायरस-चेक करने की अनुमति दे सकता है, और उसके बाद आपको यह पुष्टि करने के लिए डाउनलोड के बाद राशि की जांच करनी होगी कि आपके द्वारा डाउनलोड की गई फ़ाइल के लिए वास्तव में वायरस-चेक किया गया मान वास्तव में था।

ध्यान दें कि बुराई कर्ता वास्तविक फ़ाइल के साथ-साथ डोडी वायरस-लोड किए गए एक को उत्पन्न करता है तो MD5 चेकसम सुरक्षित नहीं हैं। एमडी 5 टकराव उत्पन्न करना संभव है, हालांकि अभी तक एक पूर्ण प्री-इमेज हमला नहीं है। सुरक्षा के बारे में गंभीर कोई भी जहां संभव हो SHA256 रकम पर स्विच कर दिया गया है। जो विरासत और संसाधन कारणों से आप उम्मीद कर सकते हैं उससे कम है।

Answer 6

यह मूल रूप से प्रमाणीकरण के समान प्रश्न का उत्तर देता है - चाहे वह कहता है कि वह वास्तव में एक है। यह आपको यह सुनिश्चित करने में मदद करता है कि आपके द्वारा डाउनलोड किया गया प्रोग्राम वास्तव में लेखक को पहले स्थान पर प्रदान किया गया है और विक्रेता से आपके डेस्कटॉप में इंटरनेट की भूलभुलैया के माध्यम से सभी तरह से छेड़छाड़ नहीं किया गया था।

Answer 7

यह सुनिश्चित करने के लिए कि आपको वह कोड मिल गया है जिसे आपने डाउनलोड करने का प्रयास किया था (यह जानबूझकर या आकस्मिक रूप से दूषित नहीं हुआ था), यदि आप हैश की जांच करते हैं, तो कोड प्रकाशित करते समय हैश समेत अभ्यास अच्छी सामाजिक स्वच्छता है । चूंकि सॉफ़्टवेयर साझा करने या बेचने वाले लोगों में अक्सर उनके कोड के साथ हैश शामिल होते हैं, और हम मानते हैं कि कुछ लोग नियमित रूप से उन्हें चेक करते हैं (क्योंकि कुछ डाउनलोड टूल स्वचालित रूप से इसे करते हैं) क्रैकर्स को यह मैलवेयर फैलाने का एक कम उपयोगी तरीका माना जाएगा। इसलिए, जो सुरक्षा-महत्वपूर्ण सॉफ़्टवेयर पर हैश की जांच करते हैं, या जो कभी भी चेक नहीं करते हैं, उन्हें अधिक विश्वास हो सकता है कि सॉफ़्टवेयर वह है जो इसे प्रस्तुत करता है। यदि क्रैकर्स ने अक्सर उपयोग की जाने वाली डाउनलोड साइटों में वायरस या ट्रोजन इंजेक्शन शुरू करने की कोशिश की, तो उन्हें बहुत जल्दी पता चला, और हमले की मरम्मत और प्रचार किया गया।

तो, आप कभी-कभी जांच कर हर किसी की मदद कर सकते हैं, और यदि आप नहीं करते हैं, तो हैश की उपस्थिति को कुछ आश्वासन देना चाहिए कि कोड शायद लेखक के इरादे से है, और एक ही कोड कई अन्य लोगों द्वारा डाउनलोड किया गया है लोग।

Answer 8

मैं ज्यादातर समय md5 की जांच करता हूं। हालांकि शायद एक बार या दो बार, हाँ, मुझे भ्रष्ट डाउनलोड मिल गए।

यदि आप कुछ डाउनलोड करते हैं, तो इसकी एमडी 5 जांचें और फाइल के साथ स्टोर करें, यह जांचने के लिए एक तरीका भी हो सकता है कि प्रकाशक ने इसे किसी को बताए बिना फ़ाइल को गुप्त रूप से बदल दिया है या नहीं।

Answer 9

समय की पूरी बर्बादी।

एक हैकर हैश के साथ-साथ द्विआधारी को भी बदल देगा, इसलिए यह अक्षम हैकर्स के खिलाफ केवल एक सुरक्षा उपाय है।

अधिकतर डाउनलोड की गई बाइनरी त्रुटि जांच में निर्मित के साथ संपीड़ित होती हैं, इसलिए हैश को ठीक से कुछ भी प्राप्त नहीं होता है, इसलिए मैंने कभी भी उन्हें कभी भी देखा नहीं है, इसके अलावा गीक्स वास्तव में उनका उपयोग करते हैं।

अब पैकेज इंस्टॉलर द्वारा उपयोग किए गए डिजिटल हस्ताक्षरित हैश कुछ अलग और सार्थक है।