【问题标题】:Distributions and hashes分布和哈希
【发布时间】:2010-05-24 10:10:29
【问题描述】:

有没有人曾经从一个正版站点下载软件,该站点还提供了用于下载的 MD5 或 SHA 系列哈希,然后发现从下载的工件计算的哈希与发布的哈希不匹配?

我理解这个理论,但很好奇这个问题有多普遍。许多软件发行商似乎对这种威胁不以为然。

【问题讨论】:

  • @Mitch,感谢您的回复。

标签: java hash download md5 sha1


【解决方案1】:

我已经用过很多次了,但结果发现路由器的 RAM 出现故障,这会破坏传输中的数据。大多数故障都通过 TCP 校验和透明地处理,但有些故障通过了。在实践中,我每 30 MB 左右就会得到一个错误的位。

我还遇到了带有错误 MD5 的软件包,这可能是由于打包程序方面的人为错误(他只是在更新软件包后忘记重新运行 MD5;或者它可能是他的计算机内存有问题)。我最后想到的是,它带有一个用于 PowerPC 架构上的 NetBSD 的二进制包。

据我所知,此类随机错误的频率比来自恶意人员的真实攻击要高出几个数量级。然而,如今它们已经很少见了;整个互联网比 15 年前要可靠得多。

【讨论】:

  • 有用的观点,谢谢。仔细想想这种技术在哪里使用,它似乎仅限于使用镜像的开源网站。
【解决方案2】:

我曾经在 Linux 发行版中遇到过类似的问题(我相信是 Fedora,但我不记得细节了):内置的“验证媒体”应用程序嵌入了错误的哈希,它总是会报告磁盘故障。但是,您所描述的情况似乎很少见:很可能是您的病毒扫描程序或某种软件破坏了下载。

【讨论】:

  • 感谢您的回答,但是我也许应该给出一个示例,例如 commons.apache.org/attributes/download_attributes.cgi 这个想法是您下载 zip、jar 等并从您所拥有的本地生成 md5 / sha1 哈希下载,然后根据下载页面上发布的相应哈希进行验证。任何差异都表明下载请求已被拦截。
  • 这是一个相当偏执的观点。下载有时会中断;电脑不是防弹的。损坏的下载并不意味着中间人攻击。
猜你喜欢
  • 1970-01-01
  • 2013-05-29
  • 1970-01-01
  • 2017-11-24
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多