多くのオープンソースツール(Eclipseなど)をダウンロードすると、MD5およびSHA1チェックサムへのリンクがあり、これらが何であるか、またはそれらの目的が何であるかがわかりませんでした。
私はこれらがハッシュアルゴリズムであることを知っており、ハッシュを理解しています。したがって、これらはダウンロードターゲットの一部のコンポーネントのハッシュに使用され、サーバー側に格納された「公式の」ハッシュ文字列と比較するために使用されていると思います。おそらくその方法で、(セキュリティやその他の目的で)ターゲットが正しいバージョンから変更されているかどうかを判断できます。
私は閉じているか、完全に間違っていますか?間違っている場合、それらは何ですか?!?!
ありがとう!
回答:
あなたはほぼ完全に正しいです。唯一の修正は、ファイル全体のハッシュであることです。
場合によっては、ダウンロード中にファイルを転送するために使用される方法にかかわらず、ファイルが破損することがあります。ハッシュは、ファイルが完全であることを確認するためにあります。これは、インターネット接続が悪いユーザーに特に役立ちます。FAXモデムを使用していたときに、ダウンロードの破損に関する問題がよく発生しました。
一部のダウンロードマネージャー(正しく覚えていればGetRightなど)は、ファイルのハッシュを自動的に計算して既知の値と比較することもできます。
もう1つの興味深い点は、セキュリティです。オープンソースツールの潜在的な問題は、ディストリビューターをどれだけ信頼できるかです。多くの場合、Eclipseなどのプログラムはソフトウェア会社が使用する主要なツールであるため、開発者からユーザーにそのまま移行することが非常に重要です。プログラムはオープンソースであるため、たとえば、正常に見える感染したバージョンを作成することは可能ですが、リモートサーバーにソースコードをリークするか、ソフトウェアによって作成されたプログラムをウイルスに感染させます(これは、Delphiの一部のバージョンで実際に起こったと思います)または似たようなもの。そのため、配布されたファイルが主張どおりのものであるかどうかを確認するために使用できる、公式の正しいハッシュを持つことが重要です。
流通チャネルについてのいくつかの考え。多くの場合、フリーソフトウェアは多数のサイトで見つかり、SourceForgeなどの最も人気のあるサイトには多数のミラーがあります。大規模なソフトウェア配布サイトをミラーリングするサーバーがバーランドにあるとします。FooSoftはサイトで配布されているプログラムを使用しており、バーランドのすぐ隣のバズ共和国にいます。誰かがFooSoftに潜入したい場合、彼はバーランドミラーのコピーだけを変更し、ジオロケーションソフトウェアがFooSoftが変更されたバージョンを確実に取得することを期待できます。他のミラーのバージョンでも問題ないため、マルウェアが検出される可能性は低くなります。また、マルウェアがコンピュータのIPアドレスを検出し、それが特定の範囲からのものである場合にのみアクティブにして、発見などの可能性を低くすることもできます。