Algunos sitios nos permiten usar hashes para asegurarnos de que el archivo que descargamos sea el que debería ser y de que no se manipule.
Algunos sitios pueden tener sus hashes en un dominio diferente, probablemente en un servidor diferente al que está en el enlace de descarga, como el sitio para Ubuntu (Esto puede evitar que alguien piratee el sitio y luego modifique el enlace de descarga y el hash para engañar a la gente), pero algunos sitios como Kali Linux tienen los hashes en la misma página que el enlace de descargas.
¿No es esto malo? ¿Qué impide que alguien modifique el hash si ya puede modificar el enlace de descarga?