Cálculo de suma de comprobación para descargas de bolas de alquitrán de código fuente

1
  1. Los sitios http como OpenSSL proporcionan una suma de comprobación para cada código fuente disponible para descargar

  2. Los sitios HTTPS como GitHub normalmente no proporcionan suma de comprobación con la opción ' descargar zip ' .

  3. Algunos sitios aunque HTTPS sí proporciona una suma de comprobación.

Entonces, si uno tiene HTTPS, ¿no es necesaria la suma de comprobación para las descargas de archivos?

Por favor, ayúdame con alguna explicación.

    
pregunta user49149 31.07.2015 - 11:00
fuente

2 respuestas

0

Se puede proporcionar una suma de comprobación por los siguientes motivos:

  1. para validar que la descarga está completa;
  2. para validar que está viendo la descarga correcta (más adelante);
  3. para asegurarse de que un servicio de descarga de terceros (proxy, torrent, etc.) le proporcione una descarga válida.

HTTPS lo ayuda con dos cosas: para asegurarse de que se conecta al servidor correcto en primer lugar y para proporcionar seguridad de transporte.

La suma de comprobación no lo ayudará si un atacante se hace pasar por un servidor, por lo que HTTPS puede proporcionarle seguridad adicional. Además, lo protege contra un atacante que cambia los datos en tránsito.

TCP ya suma de comprobación. Las posibilidades de que un paquete se dañe durante el transporte son insignificantes para conexiones estables. Yo diría que no se requiere HTTPS ni un hash seguro para detectar paquetes dañados.

Con respecto a 1 : por lo general, un navegador o cliente HTTP ya usa un archivo temporal mientras se descarga. Si solo se descarga directamente o si el traslado al nombre del archivo real se detiene prematuramente, un hash puede mostrarle que los datos no están completamente copiados.

Con respecto a 2 : las sumas de comprobación fueron muy útiles para conexiones lentas. Ahora, para programas más pequeños, solo descargo de nuevo a veces Sin embargo, debe reconocer que las descargas cuestan dinero para la persona que presta el servicio. Si puede evitar una descarga validando una suma de comprobación, hágalo.

También podría protegerlo contra proveedores de servicios que solo ofrecen setup.exe como descarga, aunque es poco probable que organizaciones como esa (¡en lo que respecta a Microsoft!) proporcionen cualquier tipo de suma de comprobación.

Con respecto a 3 : si las sumas de verificación se proporcionan en el sitio original (generalmente lo son), puede usarlas para verificar si el software que descargó de un sitio espejo puede ser confiable. Si el espejo no está actualizado, ha cometido un error al copiar los archivos o si está pirateado, el MD5 le dirá si el archivo que acaba de descargar es correcto o no.

Esto funciona incluso si el hash es MD5, ya que los ataques en MD5 requieren un hash precalculado.

Esta es probablemente la razón por la que sitios como GitHub no proporcionan sumas de comprobación; Si la descarga no está reflejada, hay menos necesidad de proporcionar una suma de comprobación

Notas:

  • la verificación de un hash puede ser demasiado trabajo para los consumidores, por lo tanto, los muchos instaladores que realizan la descarga y la suma de comprobación por sí mismos (probablemente utilizando un espejo)
  • un hash no es una firma: si el sitio original es hackeado, entonces no tienes suerte
respondido por el Maarten Bodewes 04.08.2015 - 14:44
fuente
2

Las sumas de comprobación están ahí solo para informarle que no se ha dañado nada durante el proceso de descarga. Debe saber que las sumas de comprobación no tienen nada que ver con características de seguridad como el cifrado. Están allí solo para estar seguros, hasta cierto punto, de que lo que recibió es lo que esperaba. Una solución más segura y mejor es comprobar la firma PGP como cuando intenta descargar un archivo de imagen ISO de Kali Linux.

En cuanto a HTTPS, se realiza el famoso ataque MITM, por ejemplo, utilizando la noción de SSL striping desarrollado por Moxie Marlinspike .

Lo que quiero decir es que cuando se trata de seguridad, nunca puede estar seguro al 100%, pero en su caso, es mejor descargar algo de un sitio web que combine confiabilidad (sumas de comprobación) y confianza / seguridad (HTTPS)

    
respondido por el user45139 31.07.2015 - 11:34
fuente

Lea otras preguntas en las etiquetas