Al descargar un archivo, a veces el propietario del sitio web coloca un MD5, SHA1, SHA256 o un hash / suma de comprobación similar del archivo justo al lado; ya sea en la página donde puede descargarlo, o como un archivo separado que puede descargar.
Es maravilloso como una forma de verificar la integridad; Si la suma de comprobación que puedo calcular localmente desde el archivo y la suma de comprobación observada no coinciden, entonces algo salió mal durante la descarga.
Sin embargo, con frecuencia sucede que estas sumas de comprobación se muestran en páginas que son (solo) accesibles por una conexión cifrada que no es de extremo a extremo.
Si no está utilizando una conexión cifrada de extremo a extremo, ¿eso no significa que todo este enfoque está abierto a los ataques de intermediarios, y que una suma de comprobación no es muy buena? (Después de todo, Trudy, el intruso, podría reemplazar tanto el archivo que descargue como la suma de comprobación que percibiría con variantes propias, archivos maliciosos).
¿Me estoy perdiendo algo aquí? ¿Hay algún propósito para proporcionar sumas de comprobación en una ubicación que no sea HTTPS?