我注意到即使下载配置为使用安全连接,人们也倾向于上传校验和。例如,GitHub 将所有流量重定向到 HTTPS,但仍然提供了 SHA 总和。https://github.com/prometheus/node_exporter/releases/tag/v0.18.1 这不完全是多余的吗?
AskOverflow.Dev
我注意到即使下载配置为使用安全连接,人们也倾向于上传校验和。例如,GitHub 将所有流量重定向到 HTTPS,但仍然提供了 SHA 总和。https://github.com/prometheus/node_exporter/releases/tag/v0.18.1 这不完全是多余的吗?
校验和可用于验证文件是否正确下载,但它们也可用于验证从作者控制之外的镜像或第三方站点下载的文件是否托管正确且未修改的文件。因此,它用于验证文件是否未被篡改。
它是否“多余”取决于用例。
校验和使您能够验证文件是否“完整”。文件可能不仅会被恶意修改损坏,还可能会被硬件故障、短暂的连接中断、位翻转或篡改它的安全软件“损坏”。SSL/TLS 未涵盖哪些内容。