私の記憶は素晴らしいものではありませんが、5、6年前、パッケージをダウンロードしたとき、ウェブページのダウンロードアイコンの下にチェックサム行がなかったと思います。また、ダウンロードが正しいことを確認するための「チェックサムをチェックする」指示はありません。今、これらのものはどこにでもあります。それらについて2つの質問があります(MD5かどうか)。
彼らはいつからそんなに人気になり始めたのですか?つまり、サーバーXからパッケージをダウンロードする場合、正しいパッケージを提供していることを確認するのはサーバー次第です(とにかく)。
チェックサムはどのように確認しますか?通常、パッケージをダウンロードしてすぐにインストールします。たぶんこれはばかげている。
回答:
彼らはいつからそんなに人気になり始めたのですか?
いつ伝えるかはわかりませんが、少なくとも2つの理由で使用されています。
巨大なバイナリファイルをダウンロードする場合、送信中にシングルビットエラーがないことを確認できません。これは、サーバーからファイルをコンピューターに送信してドライブに保存するなど、さまざまな理由による可能性があります。すべての送信にエラーがないと想定することはできません。
このファイルを使用してコンピューターに何かをインストールすると、この単一のエラーが、明確な理由なしにプログラムがクラッシュするまで伝播する可能性があります。
別の一般的なシナリオは次のとおりです。ISOファイルをダウンロードしてDVDに書き込み、Linuxをインストールします。セットアップ中に、インストーラーはディスク上に破損したファイルがあることに気付きます。これは、ダウンロード中に発生したシングルビットエラーが原因である可能性があります。
ファイルの想定されるチェックサムを知っていて、このチェックサムと一致しない別のファイルをダウンロードする場合、エラーのあるファイルがあるか(上記を参照)、誰かがあなたをだまそうとしています。
ハイジャックされている有名なソフトウェアディストリビューターのダウンロードサイトを想像してください。これは頻繁に発生するわけではありませんが、セキュリティ上の問題と考えてください。
チェックサムはどのように確認しますか?
使用されるチェックサム方式に依存します。MD5およびSHAチェックサムは、md5or sha1sumコマンドを使用して* nixシステムで簡単にチェックできます。Windowsには、ファイルチェックサム整合性検証ツールがあります。
通常、パッケージをダウンロードしてすぐにインストールします。たぶんこれはばかげている。
とにかくダウンロードしてインストールできます。通常、インストーラーは、含まれているデータにエラーがなく、完了しているかどうかを確認する必要があります。16進エディターを使用して実行可能インストーラーから1バイトを削除し、それがまだ完了するかどうかを確認できます。私はそう疑うことはほとんどありません。
要約すると、チェックサムを確認する必要はありません(私は一度もやったことがありません)が、時間があれば害はありません。
主な使用例の1つは、ソフトウェアの配布です。たとえば、Apache Software Foundationのような人気のあるソフトウェアの一部は、ミラーサイトを使用して配布されます。ソフトウェアをダウンロードするための複数のミラーサイトがあります。そのような場合、元のApacheサイトで提供されているチェックサム/ハッシュを使用して、ダウンロードしたソフトウェアが実際に同じであることを確認できます。ミラーサイトは誰でも作成できますが、元の作成者が作成する必要はありません。チェックサムは、このような場合にサードパーティのサイトからのダウンロードを検証するための良い方法です。