【发布时间】:2010-05-24 10:10:29
【问题描述】:
有没有人曾经从一个正版站点下载软件,该站点还提供了用于下载的 MD5 或 SHA 系列哈希,然后发现从下载的工件计算的哈希与发布的哈希不匹配?
我理解这个理论,但很好奇这个问题有多普遍。许多软件发行商似乎对这种威胁不以为然。
【问题讨论】:
-
@Mitch,感谢您的回复。
标签: java hash download md5 sha1
有没有人曾经从一个正版站点下载软件,该站点还提供了用于下载的 MD5 或 SHA 系列哈希,然后发现从下载的工件计算的哈希与发布的哈希不匹配?
我理解这个理论,但很好奇这个问题有多普遍。许多软件发行商似乎对这种威胁不以为然。
【问题讨论】:
标签: java hash download md5 sha1
我已经用过很多次了,但结果发现路由器的 RAM 出现故障,这会破坏传输中的数据。大多数故障都通过 TCP 校验和透明地处理,但有些故障通过了。在实践中,我每 30 MB 左右就会得到一个错误的位。
我还遇到了带有错误 MD5 的软件包,这可能是由于打包程序方面的人为错误(他只是在更新软件包后忘记重新运行 MD5;或者它可能是他的计算机内存有问题)。我最后想到的是,它带有一个用于 PowerPC 架构上的 NetBSD 的二进制包。
据我所知,此类随机错误的频率比来自恶意人员的真实攻击要高出几个数量级。然而,如今它们已经很少见了;整个互联网比 15 年前要可靠得多。
【讨论】:
我曾经在 Linux 发行版中遇到过类似的问题(我相信是 Fedora,但我不记得细节了):内置的“验证媒体”应用程序嵌入了错误的哈希,它总是会报告磁盘故障。但是,您所描述的情况似乎很少见:很可能是您的病毒扫描程序或某种软件破坏了下载。
【讨论】: