He visto varios sitios donde pondrían el hash del archivo descargable junto al archivo. ¿Por qué hacen esto?
Comprendo el propósito de comparar el hash de tu archivo con el hash en línea, pero si un atacante podría cambiar el archivo de descarga, no debería tener ningún problema para cambiar el sitio o el hash en el sitio.
¿No hace que el hash sea casi inútil?
Estás pensando en el problema de manera incorrecta.
Una de las razones para tener los hashes cerca de la descarga es detectar si la descarga se ha dañado. No es raro tener una descarga dañada, por lo que el hash verificará si descargaste de forma limpia.
La otra razón es que es común en un sitio que hospeda los archivos en otro host, como una red de distribución de contenido. En esos casos, el propietario del sitio tiene menos control sobre los archivos, por lo que alguien podría manipularlos, incluso teniendo control directo sobre los archivos principales del sitio. Esto asegurará que nadie manipule los archivos en el host remoto.
Depende si la descarga y el hash están en el mismo servidor: no es raro que las descargas provengan de proveedores de CDN o sistemas como S3, que proporcionan alojamiento de archivos estáticos, mientras que el resto de la página proviene de un CMS en un servidor web Con contenido dinámico. En este caso, o cuando un archivo puede descargarse de una fuente alternativa, proporciona un buen indicador de que el archivo se generó originalmente.
Lo mismo se aplica a cosas como las distribuciones de Linux, donde Bittorrent podría usarse para la distribución. Al verificar la suma, proporciona seguridad de que se ha descargado el archivo correcto.
Si el archivo y el hash están en el mismo servidor, es menos útil aunque, como usted dice, si puede cambiar uno, probablemente pueda cambiar el otro.
¿No hace que el hash sea casi inútil?
Así que no, los hashes no son inútiles. No son perfectos, pero son una pieza del rompecabezas necesario para asegurar la distribución de software.
Lea otras preguntas en las etiquetas hash