क्या हमें डाउनलोड की गई फ़ाइलों की अखंडता की जांच करने की आवश्यकता है? [डुप्लिकेट]


9

मैंने बड़ी मात्रा में फाइलें डाउनलोड कीं, लेकिन अभी हाल ही में अखंडता चेकर्स के रूप में md5 और sha के उपयोग की खोज की। तब से मैं हमेशा इसे बड़ी डाउनलोड की गई फ़ाइलों के लिए जांचना पसंद करता हूं, भले ही मैंने उन्हें कभी भ्रष्ट न पाया हो।

क्या हमें डाउनलोड की गई फ़ाइलों की अखंडता की जांच करने की आवश्यकता है?

उदाहरण के रूप में एक लिनक्स वितरण चुनें जिसे मैंने अभी डाउनलोड किया है, जो कि 1GB है, यदि आप चाहते हैं।

धन्यवाद


कई डाउनलोड http डाउनलोड होते हैं और कुछ में से कुछ बड़े सर्वर समय सीमा या कनेक्टिविटी समस्याओं के कारण समय से पहले बंद नहीं होते हैं, बिना किसी त्रुटि के। दूसरी ओर टॉरेंट और एफ़टीपी यह स्पष्ट करना चाहिए कि फ़ाइल पूरी हो गई है या नहीं।
Dan

5
हैश की तुलना करने की बात यह हो सकती है कि "किसी ने फ़ाइल (दुर्भावनापूर्ण रूप से) को बदल दिया है" की तुलना में "फ़ाइल सही ढंग से दर्ज की गई है"। एक प्रमुख उदाहरण एक गैर-आधिकारिक / भरोसेमंद स्रोत से एक विंडोज़ आईएसओ डाउनलोड करना और MSDN हैश की MSDN पर प्रकाशित एक Microsoft के साथ तुलना करके फ़ाइल की अखंडता की जांच करना है।
theUser1024

1
@ TheUser1024 यह मानता है कि आपके दो स्रोत समान हैं, MSDN संस्करण भिन्न हो सकता है।
एरिक जी

1
इस सवाल पर सुरक्षा पर अधिक प्रतिक्रियाएँ मिल सकती हैं। ई
एरिक जी

3
यह वास्तव में सुरक्षा की तुलना में अखंडता पर अधिक था, क्योंकि मैं केवल विश्वसनीय स्रोतों से डाउनलोड करता हूं, भले ही यह फ़ाइल डाउनलोड में एक महत्वपूर्ण बिंदु हो
अधिकतम

जवाबों:


6

यह कुछ कारकों पर निर्भर करता है।

  1. क्या आपके पास एक स्थिर इंटरनेट कनेक्शन है?
    यदि आपके पास एक स्थिर इंटरनेट कनेक्शन है, तो आपको फ़ाइल की पूर्णता की जांच करने की आवश्यकता नहीं है क्योंकि यह सबसे सही होने की संभावना है। मैं कभी भी हैश की जाँच नहीं करता और मेरे पास कभी भी भ्रष्ट फाइलें नहीं थीं। या शायद एक समय जब रिमोट सर्वर डिस्कनेक्ट हो गया।

  2. क्या आप सुरक्षा कारणों के आधार पर फ़ाइल को सत्यापित करना चाहते हैं?
    यदि आप उस फ़ाइल की सुरक्षा के बारे में चिंतित हैं, जिसे आप डाउनलोड कर रहे हैं, तो आप यह सत्यापित करने के लिए MD5 हैश का उपयोग कर सकते हैं कि फ़ाइल किसी तरह से परिवर्तित नहीं हुई थी। आप एक फ़ाइल डाउनलोड करते हैं और यदि MD5 हैश मेल नहीं खाता है, तो इसका मतलब है कि सर्वर पर फ़ाइल MD5 हैश से भिन्न है, और किसी तरह कुछ गलत है। यह केवल तभी मान्य होगा जब आप उस सर्वर पर भरोसा नहीं करेंगे, जिसे आप डाउनलोड कर रहे हैं, लेकिन आमतौर पर यदि कोई हैश प्रदान करता है, तो वे आमतौर पर चीजों को अपडेट रखने के लिए अपनी पूरी कोशिश करते हैं। लेकिन अगर उनकी साइट हैक हो गई, और आपने एमडी 5 हैश की जांच की, तो आपको थोड़ा बोनस मिला।

कुल मिलाकर, ये 2 ज्यादातर लोगों को एक नहीं देंगे। यदि यह आपके लिए नहीं है, तो पूरी तरह से आपके ऊपर है।


1
एक स्थिर इंटरनेट कनेक्शन पर्याप्त नहीं है। आपको यह भी सुनिश्चित करना होगा कि आपकी रैम और स्टोरेज ड्राइव फाइलों को दूषित न करें। लेकिन हाँ, बहुत संभावना नहीं है। यदि आपकी मशीन BSOD'ing नहीं है, तो संभावना है कि आप केवल सुरक्षा की परवाह करेंगे।
क्रिसइन्डेमोंटोन

6
एक फाइल चेकसम एक सुरक्षा जांच नहीं है क्योंकि एक हमलावर जो फाइल को संशोधित कर सकता है वह संभवतः चेकसम को भी संशोधित कर सकता है।
जॉनी

1
अगर मैं एक साइट को हैक करने और एक दुर्भावनापूर्ण के साथ फ़ाइल को बदलने के लिए गया था, तो मुझे लगता है कि मैं हैश सूचीबद्ध करने के लिए जानने के लिए पर्याप्त स्मार्ट होगा।
कोल जॉनसन

3
MD5 अब यह सत्यापित करने के लिए पर्याप्त नहीं है कि किसी फ़ाइल की सामग्री को जानबूझकर नहीं बदला गया है। यह केवल अनैतिक भ्रष्टाचार के लिए अच्छा है। दोनों में समझौता करने वाले एक हमलावर का अंतर अलग-अलग होता है। कई मामलों में, हैश के लिए भंडारण, बड़े डाउनलोड के लिए बल्क फ़ाइल भंडारण के समान चैनलों के माध्यम से एक्सेस नहीं किया जाता है। सुरक्षा के लिए, क्रिप्टोग्राफ़िक हस्ताक्षर सरल हैश की तुलना में बेहतर हैं, खासकर यदि आपके पास हैश वितरित करने के लिए एक सुरक्षित चैनल नहीं है।
पर्किंस

मुझे लगता है कि हैश का विचार तब था जब आपूर्ति की गई फ़ाइल को हैश में एक अलग साइट पर होस्ट किया गया था। जैसे कि डेवलपर की साइट सोर्सफोर्ज या कहीं हैश लिंक के साथ।
मैथ्यू लॉक

6

एक उत्तर और विकल्प जो उसकी / उसके जोखिम सहिष्णुता और सत्यापन में समय और प्रयास के विचार पर आधारित होने जा रहा है।

MD5 / SHA1 हैश की जाँच करना एक अच्छा पहला कदम है और जब आपके पास समय हो तो आपको इसे करना चाहिए। हालाँकि, आपको प्रदान की गई हैश पर भरोसा करने की अपनी क्षमता पर विचार करना चाहिए। उदाहरण के लिए, यदि लेखक की हैश वाली वेबसाइट हैक हो गई है, तो हमलावर हैश को बदल सकता है, इसलिए आपको पता नहीं चलेगा। यदि आपके द्वारा गणना की गई हैश प्रदान की गई हैश के समान नहीं है, तो आप जानते हैं कि कुछ ऊपर है। हालाँकि, सिर्फ इसलिए कि हैश मैच गारंटी नहीं देता है कि फाइल अच्छी है।

सॉफ्टवेयर लेखक के लिए अखंडता और प्रामाणिकता प्रदान करने के लिए एक बेहतर विकल्प डिजिटल रूप से वितरित की जा रही फाइलों पर हस्ताक्षर करने के माध्यम से है । यह फ़ाइल के लिए प्रामाणिकता की जानकारी संलग्न करता है और कुछ वेबसाइट पर भरोसा करने पर निर्भर नहीं करता है। यदि कोई लेखक डिजिटल रूप से फाइल पर हस्ताक्षर करता है, तो इसके लिए एकमात्र तरीका एक नकली प्रमाणपत्र प्राधिकारी है या यदि डेवलपर की हस्ताक्षरित कुंजी चोरी हो गई है। ये दोनों मामले इंटरनेट पर हैक होने वाली वेबसाइट की तुलना में बहुत कम हैं।

अंत में, आपको यह निर्धारित करने के लिए अपना स्वयं का परिश्रम करना चाहिए कि क्या आप किसी चीज़ पर भरोसा करना चाहते हैं और फिर आपके द्वारा तय किए गए किसी भी अज्ञात कारक या मिसकॉलकुलेशन को कम करने के लिए काउंटरमेसर (सैंडबॉक्स, एक वर्चुअल मशीन, आदि) चलाएं। ।


4

सुरक्षा कारणों से, हाँ। गौर करें कि एक टो एग्जिट नोड को डाउनलोड के दौरान बायनेरिज़ को पैच करना पाया गया था , फिर याद रखें कि आपके आईएसपी में थोड़ी सी भी नैतिकता नहीं हो सकती है, और यह कि वे आपके इंटरनेट कनेक्शन के पूर्ण नियंत्रण में हैं।


आईएसपी पर आपकी शिकायत इस तथ्य पर है कि वे मेरी कनेक्शन गति और प्राथमिकता और अन्य चीजों को बदल सकते हैं जो फाइलें भ्रष्ट कर सकती हैं?
मैक्सपासा 19

@maxpesa - यदि वे चाहें तो स्ट्रीम को संशोधित कर सकते हैं। फ़ाइल अभी संशोधित नहीं भ्रष्ट होगी।
रामहाउंड

@maxpesa - मैं इंगित कर रहा था कि आपका आईएसपी उसी स्थिति में है जो लिंक किए गए लेख में टोर एक्जिट नोड था - यह आपके तारों पर आने वाले नियंत्रण को नियंत्रित करने की क्षमता रखता है। यदि वे चाहते थे, तो वे आपके द्वारा डाउनलोड किए गए बायनेरिज़ को संशोधित करने की स्थिति में हैं।
माइकल कोहेन

2
यदि हमलावर बाइनरी को संशोधित कर सकता है, तो हमलावर अधिकांश हैश को भी संशोधित कर सकता है। हालांकि सभी बायनेरिज़ को पैच करने की तुलना में अधिक लक्षित हमले की आवश्यकता होगी, लेकिन अभी भी बहुत संभव है। हैश की जाँच के दौरान कर सकते हैं नुकसान से बचाने के लिए, वहाँ कोई गारंटी नहीं है। यदि आप सुरक्षा के बारे में परवाह करते हैं, तो पहला कदम केवल HTTPS पर डाउनलोड करना है - खासकर जब आप धड़ के साथ परदे के पीछे का उपयोग कर रहे हों!
kapex

1
@ Kapep की टिप्पणी में जोड़ने के लिए, क्रिप्टोग्राफ़िक हस्ताक्षरों (सुरक्षित चैनल के माध्यम से वितरित कुंजियों का उपयोग करके) को मान्य करना बेहतर है। इस तरह एक हमलावर को बाइनरी को बदलने के लिए किस्टोर और रिपॉजिटरी दोनों से समझौता करना होगा ।
जॉनी

4

उन फ़ाइलों के लिए जहाँ अखंडता महत्वपूर्ण है, हाँ

मुझे अक्सर यह आवश्यक लगता है जब मैं कुछ कर रहा हूं जहां यह महत्वपूर्ण है कि फ़ाइल में एक उच्च अखंडता है।

एक उदाहरण OpenWRT के साथ एक राउटर को फ्लैश कर रहा है। यदि फ़ाइल भ्रष्ट है, तो उस राउटर को ईंट कर दिया जाएगा, और फिर मुझे या तो करना होगा:

  • इसे बदलें (महंगा)
  • इसे ठीक करें (समय लगता है। खासकर अगर मुझे एक धारावाहिक केबल / जेटीजी की आवश्यकता है)

हैश की जाँच करने की सरलता की तुलना में ये दोनों असुविधाजनक हैं। इसलिए मैं इसे महत्वपूर्ण फाइलों के लिए करने की जोरदार सलाह दूंगा।


0

मैं आमतौर पर केवल यह जांचने के लिए परेशान होता हूं कि क्या मेरा डाउनलोड बाधित हो गया था और मैंने इसे बाद में फिर से शुरू किया, क्योंकि HTTP ऑफ़सेट की तलाश के साथ अनुरोधों का व्यापक रूप से उपयोग नहीं किया जाता है, इसलिए कुछ मूर्खतापूर्ण हो सकता है।

कई मामलों में, डाउनलोड एक संपीड़ित फ़ाइल है जो टूटने पर विघटित नहीं होगी। यदि ऐसा नहीं है, तो जाँच करना एक बुरा विचार नहीं है। मैं लिखने-एक बार मीडिया को जलाने से पहले एक आईएसओ की जांच कर सकता हूं।

इसे उसी साइट से हैश के साथ सत्यापित करने से जो मुझे मिला वह बहुत कम उपयोग, सुरक्षा-वार है, जैसा कि अन्य उत्तरों और टिप्पणियों ने कहा है। यदि आप दर्पण से डाउनलोड करते हैं तो यह अधिक उपयोगी हो सकता है, लेकिन हैश मूल अपस्ट्रीम से है। या यदि फ़ाइल नाम अस्पष्ट है, और किसी कारण से आप सुनिश्चित नहीं हैं कि आपको वह सटीक संस्करण मिल गया है जो आप चाहते थे।

मुद्दा यह है कि, हैश को प्रकाशित करने से एक ही साइट से फ़ाइल डाउनलोड करने के अलावा कई विशेष मामलों के लिए हैश प्रकाशन उपयोगी है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.