La pregunta no es del todo correcta: la confianza no es binaria. Creo que realmente quieres saber " ¿Cómo puedo decidir cuánto confiar en un sitio web en particular? "
Al final, creo que todo se reduce a cuánto debo debo confiar en cada sitio en particular.
Los sitios en los que más confío (banco, corretaje, etc.) con los que tengo una relación física sin conexión. Las compañías que administran esos sitios web tienen una importante reputación y presencia fuera de línea; se corresponden conmigo en los árboles muertos a través del correo postal y tienen un número de teléfono donde puedes hablar con un humano. Esto está algo fuera del alcance de la pregunta, ya que ha dicho que la única información que tiene es de la propia web, pero incluso así puede verificar la presencia física a través de múltiples vías. (Google, WHOIS, Wikipedia, reseñas en línea, por ejemplo, sitios web de comparación de bancos, etc.) Además, si tengo que "confiar plenamente" en un sitio - para obtener información financiera u otra información confidencial - es poco probable que lo haga a menos que Puedo tener una razón para confiar en ellos respaldada por una presencia fuera de línea significativa y confiable.
Los sitios en los que menos confío son aquellos en los que no tengo que confiar. Game Zone de JimBob & Happy Fun Time , por ejemplo: hmm, ¿dices que tienes este divertido juego realmente que tengo para habilitar a Java para jugar? Lo siento, pero no gracias. (Lo mismo es cierto incluso para sitios un poco más reputados que todavía tienen, por ejemplo, calculadoras financieras basadas en Java que me gustaría usar. Puedo encontrar una alternativa que no me exponga a una gran superficie de ataque).
Entre ambos hay sitios en los que debes confiar un poco , pero no completamente. En otras palabras, es posible que deba exponerse a cierto riesgo. Por ejemplo, H & R Block tiene una calculadora que calcula la cantidad de impuestos que debo pagar el año pasado. Tengo que habilitar las secuencias de comandos y la memoria flash para que funcionen sus calculadoras, y debo ingresar datos personales (por ejemplo, ingresos, estado familiar), y tiene que ser preciso (aunque no perfectamente preciso) para que pueda obtener la respuesta. querer. No tengo que dar ninguna identificación, así que más allá de la exposición a las secuencias de comandos y algunos datos limitados, es un riesgo aceptable; Puedo acceder a través del proxy para ocultar mis datos de mi ISP y ocultar mi ubicación del sitio.
Otros sitios desean recopilar toneladas de datos de usted, desean identificarlo personalmente, etc., y le ofrecen un servicio a cambio. Facebook o Google, por ejemplo; En menor medida, Stack Exchange. Por mi parte, elijo desconfiar activamente los omnipresentes sitios: esto requiere un esfuerzo, ya que tiene que bloquear múltiples dominios a través de NoScript u otros complementos del navegador para evitar que la compañía lo rastree en la web. Elijo no usar Facebook. Utilizo varios productos de Google, pero aquí he elegido pagar su servicio con mis datos; Sigo bloqueando sus dominios de seguimiento cuando no uso sus productos.
El problema en cuestión en la pregunta vinculada es si confiar en una imagen ISO de Ubuntu descargada de un sitio web en particular. Basándome en lo que he escrito anteriormente, creo que la respuesta es que no tiene que confiar mucho en eso, por lo que no debería. ("Confíe, pero verifique"). Descargue la imagen desde cualquier lugar con suficiente reputación para que no pierda tiempo y ancho de banda. Probablemente tiraría el torrente: no tienes que confiar en un solo sitio. Luego verifique el hash a través de múltiples canales: consulte el sitio web de Canonical, consulte otros sitios web, use varios proxies para verificar esos sitios web (por lo que es menos probable que tenga MITM'd), pregunte en el IRC, llame a un amigo, etc.