İndirilen dosyaların bütünlüğünü kontrol etmemiz gerekiyor mu? [çiftleme]

9

Çok sayıda dosya indirdim, ancak son zamanlarda dürüstlük denetleyicisi olarak md5 ve sha'nın kullanımını keşfettim. O zamandan beri, onları asla bozulmadığını fark etsem bile, büyük indirilen dosyalar için kontrol etmeyi tercih ederim.

İndirilen dosyaların bütünlüğünü kontrol etmemiz gerekiyor mu?

İsterseniz, yeni indirdiğim, 1GB olan bir Linux dağıtımı örneği seçin.

teşekkür ederim

download  file-download  checksum  data-integrity 
maxpesa
kaynak
Çoğu karşıdan yükleme http karşıdan yüklemelerdir ve büyük bir kısmı sunucu zaman sınırları veya bağlantı sorunları nedeniyle herhangi bir hata vermeden zamanından önce durmaz. Torrentler ve ftp, dosya tamamlandığında netleşmelidir.
Dan
5
Hash'i karşılaştırma noktası "dosyayı doğru bir şekilde indirmiş olmak" yerine "birisi dosyayı değiştirmiş (kötü amaçlı)" olabilir. Bunun en iyi örneklerinden biri, resmi olmayan / güvenilir olmayan bir kaynaktan Windows ISO'yu indirmek ve MD5 karma değerini MSDN'de yayınlanan Microsoft ile karşılaştırarak dosyanın bütünlüğünü kontrol etmektir.
TheUser1024
1
@ TheUser1024, bu iki kaynağınızın aynı olduğunu varsayar, MSDN sürümü farklı olabilir.
Eric G
1
Bu soru güvenlik hakkında daha fazla yanıt alabilir.
Eric G
3
Dosya indirmede önemli bir nokta olsa bile, yalnızca güvenilir kaynaklardan indirdiğim için aslında güvenlikten daha fazla dürüstlükteydi
maxpesa

Yanıtlar:

6

Birkaç faktöre bağlıdır.

  1. İnternet bağlantınız istikrarlı mı?
    İstikrarlı bir internet bağlantınız varsa, büyük olasılıkla doğru olacağından dosyanın bütünlüğünü kontrol etmeniz gerekmez. Karmayı asla kontrol etmem ve hiçbir zaman bozuk dosyaları olmadı. Veya uzak sunucunun bağlantısı kesildiğinde belki bir kez.

  2. Güvenlik nedenlerine göre dosyayı doğrulamak istiyor musunuz?
    İndirdiğiniz dosyanın güvenliği konusunda endişeleriniz varsa, dosyanın bir şekilde değiştirilmediğini doğrulamak için MD5 karma değerini kullanabilirsiniz. Bir dosya indirirsiniz ve MD5 karması eşleşmezse, sunucudaki dosyanın MD5 karmasından farklı olduğu ve bir şekilde yanlış olduğu anlamına gelir. Bu, yalnızca indirdiğiniz sunucuya güvenmiyorsanız geçerli olur, ancak genellikle birisi karma sağlarsa, genellikle işleri güncel tutmak için ellerinden geleni yaparlar. Ancak siteleri saldırıya uğradıysa ve MD5 karma değerini kontrol ettiyseniz, küçük bir bonus elde edersiniz.

Genel olarak, bu 2 çoğu insana hayır verecektir. Eğer bu sizin için bir hayırsa, bu tamamen size bağlı.

LPChip
kaynak
1
Sabit bir internet bağlantısı yeterli değildir. RAM'inizin ve depolama sürücünüzün dosyaları bozmadığından da emin olmalısınız. Ama evet, pek olası değil. Makineniz BSOD değilse, sadece güvenliği önemsiyor olabilirsiniz.
ChrisInEdmonton
6
Bir dosyayı sağlama toplamı bir güvenlik denetimi değildir, çünkü dosyayı değiştirebilen bir saldırgan sağlama toplamını da değiştirebilir.
Johnny
1
Bir siteyi hackleyip dosyayı kötü amaçlı bir siteyle değiştirseydim, listelenen karmayı değiştirecek kadar akıllı olacağımı düşünüyorum.
Cole Johnson
3
MD5 artık bir dosyanın içeriğinin kasıtlı olarak değiştirilmediğini doğrulamak için yeterli değildir. Sadece kasıtsız yolsuzluk için iyidir. Bir saldırganın her ikisinden de taviz verme olasılığı değişir. Karma için depolamaya, çoğu durumda, büyük bir indirme işlemi için toplu dosya depolamasıyla aynı kanallardan erişilmez. Güvenlik için, özellikle karmaları dağıtmak için güvenli bir kanalınız yoksa, şifreleme imzaları basit karmalardan daha iyidir.
Perkins
Bence karma fikri, sağlanan dosyanın karma için farklı bir sitede barındırıldığı zamandı. Örneğin, bir geliştiricinin Sourceforge veya başka bir yere karma bağlantıları olan sitesi
Matthew Lock
6

Birinin verdiği cevap ve seçim, risk toleransına ve doğrulamada zaman ve çaba ile ilgili düşüncelere dayanacaktır.

MD5 / SHA1 karmalarını kontrol etmek iyi bir ilk adımdır ve zamanınız olduğunda bunu yapmalısınız. Ancak, sağlanan karmaya güvenme yeteneğinizi düşünmelisiniz. Örneğin, yazarın karma içeren web sitesi saldırıya uğradıysa, saldırgan karma değerini değiştirebilir, böylece bilmezsiniz. Hesapladığınız karma sağlanan karma ile aynı değilse , bir şeylerin bittiğini bilirsiniz. Ancak, karmaların eşleşmesi dosyanın iyi olduğunu garanti etmez .

Bir yazılım yazarının bütünlük ve özgünlük sağlaması için daha iyi bir alternatif , dağıtılan dosyaları dijital olarak imzalamaktır . Bu, kimlik doğrulama bilgilerini dosyaya ekler ve bazı web sitelerine güvenmeye dayanmaz. Bir yazar dosyayı dijital olarak imzalarsa, bunun taklit edilmesinin tek yolu güvenliği ihlal edilmiş bir sertifika yetkilisidir veya geliştiricinin imzalama anahtarının çalınmasıdır. Bu durumların her ikisi de Internet'teki bir web sitesinin saldırıya uğramasından çok daha az olasıdır.

Sonuçta, bir şeye güvenmek isteyip istemediğinizi belirlemek için gerekli özeni göstermeniz ve ardından güvenip güvenmeme konusunda karar verirken yaptığınız bilinmeyen faktörleri veya yanlış hesaplamaları azaltmak için karşı önlemleri (bir sanal alanda çalıştırın, sanal bir makine vb.) Almanız gerekir. .

Eric G
kaynak
4

Güvenlik nedeniyle EVET. Bir Tor çıkış düğümünün indirme sırasında ikili dosyaları yamaladığını düşünün , sonra ISS'nizin en ufak ahlaklara sahip olabileceğini veya olmayabileceğini ve internet bağlantınızın tam kontrolünde olduğunu unutmayın.

Michael Kohne
kaynak
ISS'ye şikayetiniz bağlantı hızımı ve önceliğimi ve dosyaları bozabilecek diğer şeyleri değiştirebilecekleri gerçeğidir?
maxpesa
@maxpesa - İsterse akışı değiştirebilirler. Dosya bozulmayacak, sadece değiştirilecek.
Ramhound
@maxpesa - ISS'nizin bağlantılı makaledeki Tor çıkış düğümü ile aynı konumda olduğuna dikkat çekiyordum - kablolarınızın üzerinden gelenleri kontrol etme yeteneğine sahip. Eğer isterlerse, anında indirdiğiniz ikili dosyaları değiştirebileceklerdir.
Michael Kohne
2
Saldırgan ikiliyi değiştirebilirse, saldırgan da karma değerini değiştirebilir. Bu, tüm ikili dosyaları yamalamaktan daha hedefli bir saldırı gerektirir, ancak yine de çok mümkündür. Karma kontrolü hasar görmesini önlerken , garanti yoktur. Güvenliği önemsiyorsanız, ilk adım yalnızca HTTPS üzerinden indirmektir - özellikle tor gibi proxy'ler kullanıyorsanız!
kapex
1
@ Kapep'in yorumuna eklemek için, kriptografik imzalar kullanarak (güvenli bir kanal üzerinden dağıtılan anahtarlar kullanarak) doğrulamak daha da iyidir. Bu şekilde bir saldırganın ikili dosyayı değiştirmek için hem anahtar deposunu hem de depoyu tehlikeye atması gerekir.
Johnny
4

Bütünlüğün kritik olduğu dosyalar için, evet

Sık sık dosyanın yüksek bir bütünlüğe sahip olduğu kritik bir şey yaparken gerekli buluyorum.

Bir örnek OpenWRT ile bir yönlendirici yanıp sönüyor. Dosya bozuksa, o yönlendirici tuğla olurdu ve sonra da ya ikisinden biri:

  • Değiştirin (pahalı)
  • Düzelt (zaman alıcı. Özellikle bir seri kablo / JTAG lehimlemem gerekiyorsa)

Bunların her ikisi de bir karma kontrol etmenin basitliğine kıyasla elverişsizdir. Bu nedenle, kritik dosyalar için şiddetle tavsiye ediyorum.

George
kaynak
0

Genellikle sadece indirme işlemimin yarıda kesilip kesilmediğini kontrol etmek için uğraştım ve daha sonra devam ettim, çünkü bir arama ofseti ile HTTP istekleri yaygın olarak kullanılmıyor, bu yüzden aptalca bir şey olmuş olabilir.

Çoğu durumda, indirme, kırılırsa sıkıştırılmayacak sıkıştırılmış bir dosyadır. Durum böyle değilse, kontrol etmek kötü bir fikir değildir. Bir kez yazma ortamına yazmadan önce ISO'yu kontrol edebilirim.

Aldığım aynı siteden bir karma ile doğrulamak, diğer cevaplar ve yorumların söylediği gibi, güvenlik açısından çok az kullanışlıdır. Bir aynadan indirdiyseniz daha yararlı olabilir, ancak karma orijinal yukarı akıştan. Veya dosya adı belirsizse ve herhangi bir nedenle tam olarak istediğiniz sürüme sahip olduğunuzdan emin değilseniz.

Mesele şu ki, hash yayınlamak, hash'ı barındıran aynı siteden dosyayı indirmek dışında birçok özel durum için yararlıdır.

Peter Cordes
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.