Я думал, что точка распределения md5 контрольные суммы была так конечным пользователем, мог проверить целостность загрузки.
Если бы сайт интенсивного трафика указывает на меня на зеркало сайта для загрузки, почему я хотел бы проверить свою загрузку против контрольной суммы, которая обеспечивается на зеркале?
Если бы кто-то собирался вмешаться в двоичные файлы на зеркале сайта, то они не могли бы также вмешаться в контрольные суммы? Разве авторитетный сайт не должен давать мне контрольную сумму, прежде чем я загружу с зеркала, таким образом, я могу проверить по основному источнику?
Вы правы в своем ожидании.
Проверьте этот пример в Apache.
И эта ссылка Ubuntu md5sum.
С точки зрения безопасности криптографические хеши, такие как MD5 допускают аутентификацию данных, полученных из небезопасных зеркал.
Хеш MD5 должен быть подписан или прибывать из безопасного источника (страница HTTPS) организации, которой Вы доверяете.
Обычно, этические зеркала не хочет интерпретироваться как "имитации". Они хотят быть зеркалами из-за видимости среди других преимуществ.
Они показывают контрольные суммы authorative источником, делают, чтобы дать им своего рода доверие: "эй, мы рекомендуем Вам проверить свои контрольные суммы, как говорит официальный сайт!".
Я полагаю, что это - POV зеркала. Как пользователь, я обычно сверяюсь с обоими источниками.
Ну, можно проверить, завершилась ли загрузка успешно - контрольные суммы arn't просто защита против злонамеренного вмешательства - они также помогают проверить, был ли файл полностью и правильно загружен