Más que a menudo, junto al botón de descarga de un archivo, hay una variedad de sumas de comprobación.
Cuando descargo un archivo, ¿a qué riesgos de seguridad estoy expuesto si no compruebo su integridad?
Más que a menudo, junto al botón de descarga de un archivo, hay una variedad de sumas de comprobación.
Cuando descargo un archivo, ¿a qué riesgos de seguridad estoy expuesto si no compruebo su integridad?
Cuando descargo un archivo, ¿a qué riesgos de seguridad estoy expuesto si no compruebo su integridad?
Si las sumas de comprobación se publican en el mismo servidor que también aloja las descargas, no hay muchos riesgos de seguridad al no verificar. Si un atacante pudiera manipular las descargas, probablemente también podría manipular las sumas de comprobación. Por lo tanto, el problema principal es que es posible que no detecte que la descarga está dañada.
Es otro caso si la suma de comprobación se proporciona en un servidor diferente al de las descargas. Si las sumas de comprobación son servidas por un servidor bien protegido y se sirven a través de https, no importa mucho si los archivos descargados están alojados en sitios más problemáticos y sin http, al menos mientras cada usuario verifique que el archivo descargado coincida Las sumas de comprobación publicadas. Por lo tanto, en este caso, sería un mayor riesgo para la seguridad no validar las sumas de comprobación.
La verificación de una suma de comprobación le ahorra la frustración de permitir que un archivo comprendido maliciosamente se infiltre en su sistema o red, desde un punto de vista de seguridad, el hash permite que se realice una verificación que permita garantizar que no se ha descargado lo que ha descargado. comprometido o incompleto durante la descarga a su sistema.
En realidad, no es necesario cuando están en el mismo sitio, no hay un bono de seguridad real. Solo tiene un valor de seguridad cuando se intenta verificar que un archivo de otra fuente sea el mismo (aunque incluso eso puede ser dudoso gracias al éxito de los ataques de colisión contra muchos hashes típicos de detección de errores).
En la mayoría de los casos, se proporciona para asegurarse de que la descarga se realizó correctamente.
Podrías obtener un archivo dañado o una descarga incompleta. Es muy poco probable, pero creo que es remotamente posible, que una descarga incompleta podría dañar un sistema de alguna manera.
Un caso en el que imagino que esto podría aplicarse sería el caso de descargar una actualización de firmware para una placa base o algo que no realiza la validación de la imagen del firmware antes de aplicarla. El hecho de no verificarlo significaría que bloquearía su dispositivo con un firmware no válido. Parece muy poco probable que esto tenga alguna implicación desde el punto de vista de la seguridad.
Lea otras preguntas en las etiquetas hash vulnerability