আমাদের ডাউনলোড করা ফাইলগুলির সত্যতা যাচাই করা দরকার? [নকল]


9

আমি প্রচুর পরিমাণে ফাইল ডাউনলোড করেছি, তবে এমডি 5 এবং শা এর ব্যবহারটি বেশ সম্প্রতি ইন্টিগ্রেশন চেকার হিসাবে আবিষ্কার করেছি। তারপরে আমি সর্বদা এটি ডাউনলোড করা বড় ফাইলগুলির জন্য যাচাই করতে পছন্দ করি, এমনকি যদি সেগুলি কখনও দুর্নীতিগ্রস্থ নাও হতে পারি।

আমাদের ডাউনলোড করা ফাইলগুলির সত্যতা যাচাই করা দরকার?

উদাহরণস্বরূপ একটি লিনাক্স বিতরণ চয়ন করুন যা আমি সবে ডাউনলোড করেছি, যা আপনি চাইলে 1 জিবি।

ধন্যবাদ


অনেকগুলি ডাউনলোড হ'ল এইচটিপি ডাউনলোড হয় এবং সার্ভারের সময়সীমা বা সংযোগের কারণে কোনও ত্রুটি না করেই বড় লোকের মধ্যে অল্প সময়ের মধ্যেই থামে না। অন্যদিকে টরেন্টস এবং এফটিপি ফাইলটি সম্পূর্ণ হলে তা পরিষ্কার করা উচিত।
ড্যান

5
হ্যাশের তুলনা করার বিন্দুটি "ফাইলটি সঠিকভাবে ডাউনলোড করা হয়েছে" এর চেয়ে "কেউ ফাইল পরিবর্তন করেছে (দূষিতভাবে)" হতে পারে। একটি প্রধান উদাহরণ হ'ল একটি বেসরকারী / বিশ্বাসযোগ্য নয় এমন উত্স থেকে উইন্ডোজ আইএসও ডাউনলোড করা এবং এমএসডিএন-তে প্রকাশিত মাইক্রোসফ্টের সাথে এমডি 5 হ্যাশের তুলনা করে ফাইলটির অখণ্ডতা পরীক্ষা করা।
TheUser1024

1
@ TheUser1024 এটি ধরে নিয়েছে যে আপনার দুটি উত্স একই, এমএসডিএন সংস্করণটি আলাদা হতে পারে।
এরিক জি

1
এই প্রশ্নটি সুরক্ষা সম্পর্কে আরও প্রতিক্রিয়া পেতে পারে
এরিক জি

3
এটি সুরক্ষার চেয়ে সত্যিকারের চেয়ে বেশি ছিল, যেহেতু আমি কেবল বিশ্বস্ত উত্স থেকে ডাউনলোড করি, যদিও এটি ফাইল ডাউনলোডের গুরুত্বপূর্ণ বিষয় is
হলেও

উত্তর:


6

এটি কয়েকটি কারণের উপর নির্ভর করে।

  1. আপনার কি একটি স্থির ইন্টারনেট সংযোগ আছে?
    আপনার যদি একটি স্থিতিশীল ইন্টারনেট সংযোগ থাকে তবে আপনার ফাইলটির ইন্টিগ্রিটি পরীক্ষা করার দরকার নেই কারণ সম্ভবত এটি সঠিক হবে। আমি কখনই হ্যাশ যাচাই করি না এবং আমার কাছে কখনও দুর্নীতিযুক্ত ফাইলও ছিল না। বা রিমোট সার্ভারটি সংযোগ বিচ্ছিন্ন হওয়ার পরেও হতে পারে।

  2. সুরক্ষার কারণে আপনি কি ফাইলটি যাচাই করতে চান?
    আপনি যে ফাইলটি ডাউনলোড করছেন সেটির সুরক্ষার বিষয়ে যদি আপনি উদ্বিগ্ন হন তবে আপনি MD5 হ্যাশটি ফাইলটি কোনওভাবেই পরিবর্তিত হয়নি তা যাচাই করতে পারেন। আপনি একটি ফাইল ডাউনলোড করেন এবং যদি MD5 হ্যাশ মেলেনি তবে এর অর্থ সার্ভারে থাকা ফাইলটি MD5 হ্যাশের চেয়ে আলাদা এবং কোনওরকম কিছু ভুল। আপনি কেবল যে সার্ভারটি ডাউনলোড করছেন তার উপর যদি আপনি বিশ্বাস না করেন তবে এটি কেবলমাত্র বৈধ হবে তবে সাধারণত যদি কেউ হ্যাশ সরবরাহ করে তবে তারা সাধারণত জিনিস আপডেট রাখার জন্য যথাসাধ্য চেষ্টা করে। তবে যদি তাদের সাইটটি হ্যাক হয়ে যায়, এবং আপনি MD5 হ্যাশটি পরীক্ষা করে দেখেন তবে আপনি সামান্য বোনাস পেয়েছেন।

সামগ্রিকভাবে, এই 2 বেশিরভাগ লোককে একটি নম্বর দেবে। যদি এটি আপনার কাছে না হয় তবে অবশ্যই এটি আপনার উপর নির্ভর করবে।


1
একটি স্থিতিশীল ইন্টারনেট সংযোগ যথেষ্ট নয়। আপনার অবশ্যই নিশ্চিত হতে হবে যে আপনার র‌্যাম এবং স্টোরেজ ড্রাইভটি ফাইলগুলিকে দূষিত করে না। তবে হ্যাঁ, বেশ সম্ভাবনা নেই। যদি আপনার মেশিন BSOD'ing না করে তবে সম্ভাবনা রয়েছে আপনি কেবলমাত্র সুরক্ষা সম্পর্কে যত্নশীল।
ক্রিসইনএডমন্টন

6
কোনও ফাইল চেকসাম কোনও সুরক্ষা চেক নয় যেহেতু কোনও আক্রমণকারী যে ফাইলটি সংশোধন করতে পারে তা চেকসামটিও সংশোধন করতে পারে।
জনি

1
যদি আমি কোনও সাইট হ্যাক করে ফাইলটিকে কোনও দূষিত জায়গায় প্রতিস্থাপন করতে চাই, তবে আমি মনে করি তালিকাভুক্ত হ্যাশটি পরিবর্তন করতে আমি যথেষ্ট স্মার্ট হতে পারি।
কোল জনসন 21

3
কোনও ফাইলের বিষয়বস্তু ইচ্ছাকৃতভাবে পরিবর্তন করা হয়নি তা যাচাই করার জন্য এমডি 5 আর পর্যাপ্ত নয়। এটি কেবল অনিচ্ছাকৃত দুর্নীতির পক্ষে ভাল। আক্রমণকারী উভয়ের মধ্যে সমঝোতা করার মতভেদগুলি পৃথক হয়। অনেক ক্ষেত্রে হ্যাশের সঞ্চয়স্থান একই চ্যানেলগুলির মাধ্যমে বড় ডাউনলোডের জন্য বাল্ক ফাইল স্টোরেজ হিসাবে অ্যাক্সেস করা যায় না। সুরক্ষার জন্য, ক্রিপ্টোগ্রাফিক স্বাক্ষরগুলি সাধারণ হ্যাশগুলির চেয়ে ভাল, বিশেষত যদি আপনার কাছে হ্যাশগুলি বিতরণের জন্য সুরক্ষিত চ্যানেল না থাকে।
পারকিনস

আমি মনে করি হ্যাশগুলির ধারণাটি যখন সরবরাহ করা ফাইলটি হ্যাশকে অন্য কোনও সাইটে হোস্ট করা হয়েছিল। উদাহরণস্বরূপ বিকাশকারীর সাইট হ্যাশ সহ সোর্সফোর্জে বা অন্য কোথাও links
ম্যাথু লক

6

উত্তর এবং পছন্দটি তার / তার ঝুঁকি সহনশীলতা এবং যাচাইকরণের সময় এবং প্রচেষ্টার বিবেচনার ভিত্তিতে তৈরি হতে চলেছে।

MD5 / SHA1 হ্যাশগুলি চেক করা একটি ভাল প্রথম পদক্ষেপ এবং আপনার সময় থাকলে আপনার এটি করা উচিত। যাইহোক, আপনাকে অবশ্যই সরবরাহিত হ্যাশকে বিশ্বাস করার নিজের ক্ষমতা বিবেচনা করতে হবে। উদাহরণস্বরূপ, যদি হ্যাশ সহ লেখকের ওয়েবসাইট হ্যাক হয় তবে আক্রমণকারী হ্যাশটি পরিবর্তন করতে পারে, তাই আপনি জানতেন না। আপনি যে হ্যাশটি গণনা করেছেন তা যদি হ্যাশ সরবরাহ করা একই রকম না হয় তবে আপনি জানেন যে কিছু শেষ। তবে, হ্যাশ ম্যাচগুলি ফাইলটি ভাল হওয়ার গ্যারান্টি দেয় না বলেই ।

নিখরচায়তা এবং সত্যতা প্রদানের জন্য সফ্টওয়্যার লেখকের পক্ষে আরও ভাল বিকল্প হ'ল ডিজিটালি ফাইলগুলিতে সই করা বিতরণ হচ্ছে। এটি ফাইলের সত্যতা সম্পর্কিত তথ্য সংযুক্ত করে এবং কিছু ওয়েবসাইটে বিশ্বাস করার উপর নির্ভর করে না। যদি কোনও লেখক ডিজিটালি এই ফাইলটিতে স্বাক্ষর করেন তবে এটি নকল হওয়ার একমাত্র উপায় হ'ল আপোস করা শংসাপত্রের কর্তৃপক্ষ বা যদি বিকাশকারীর স্বাক্ষর কীটি চুরি হয়ে যায়। এই দুটি ক্ষেত্রেই ইন্টারনেটে কোনও ওয়েবসাইট হ্যাক হওয়ার চেয়ে কম সম্ভাবনা রয়েছে।

শেষ পর্যন্ত, আপনি কোনও কিছুর উপর নির্ভর করতে চান কিনা তা নির্ধারণ করার জন্য আপনার নিজের যথাযথ অধ্যবসায় করতে হবে এবং তারপরে বিশ্বাস বা না রাখার সিদ্ধান্ত নেওয়ার সময় আপনি যে কোনও অজানা কারণ বা বিভ্রান্তি তৈরি করেছিলেন তা প্রশমিত করার জন্য কাউন্টারমেজারগুলি (একটি স্যান্ডবক্স, ভার্চুয়াল মেশিনে চালনা করুন) নিতে হবে must ।


4

সুরক্ষার কারণে, হ্যাঁ। বিবেচনা করুন যে টর থেকে বেরোনোর ​​নোডটি ডাউনলোডের সময় বাইনারিগুলি প্যাচ করছে বলে মনে হয়েছে, তারপরে মনে রাখবেন যে আপনার আইএসপি সামান্যতম নৈতিকতা থাকতে পারে বা নাও থাকতে পারে এবং তারা আপনার ইন্টারনেট সংযোগের সম্পূর্ণ নিয়ন্ত্রণে রয়েছে।


আইএসপি-তে আপনার অভিযোগ এটাই যে তারা আমার সংযোগের গতি এবং অগ্রাধিকার এবং অন্যান্য জিনিস যা ফাইলকে দূষিত করতে পারে তা পরিবর্তন করতে পারে?
ম্যাক্সেপ্সা

@ ম্যাক্স্পেসা - তারা চাইলে স্ট্রিমটি সংশোধন করতে পারে। কেবলমাত্র সংশোধিত ফাইলটি দুর্নীতিগ্রস্থ হবে না।
রামহাউন্ড

@ ম্যাক্স্পেসা - আমি ইঙ্গিত করছিলাম যে আপনার আইএসপি একই অবস্থানে রয়েছে লিঙ্কযুক্ত নিবন্ধে টোর প্রস্থান নোড - এটি আপনার তারের উপর দিয়ে কী আসে তা নিয়ন্ত্রণ করার ক্ষমতা রাখে। যদি তারা চাইত তবে তারা অন-ফ্লাইয়ে ডাউনলোড করা বাইনারিগুলি সংশোধন করতে পারে।
মাইকেল কোহেন

2
আক্রমণকারী যদি বাইনারি সংশোধন করতে পারে তবে আক্রমণকারী বেশিরভাগ লাইকলে হ্যাশও সংশোধন করতে পারে। এর জন্য সমস্ত বাইনারি প্যাচিংয়ের চেয়ে আরও বেশি লক্ষ্যবস্তু আক্রমণ দরকার তবে এটি এখনও খুব সম্ভব। হ্যাশ পরীক্ষা করার সময় করতে ক্ষতি এড়ানো, কোন গ্যারান্টি নেই। আপনি যদি সুরক্ষা সম্পর্কে যত্নশীল হন তবে প্রথম পদক্ষেপটি কেবল এইচটিটিপিএস-এর মাধ্যমে ডাউনলোড করা হয় - বিশেষত যখন আপনি টর্সের সাথে প্রক্সি ব্যবহার করছেন!
কেপেক্স

1
@ কেপ্পের মন্তব্যে যুক্ত করতে, ক্রিপ্টোগ্রাফিকাল স্বাক্ষরগুলি (একটি নিরাপদ চ্যানেলের মাধ্যমে বিতরণ করা কীগুলি ব্যবহার করে) ব্যবহার করে যাচাই করা আরও ভাল। বাইনারি পরিবর্তন করতে কোনও আক্রমণকারীকে কীস্টোর এবং সংগ্রহস্থল উভয়কেই সমঝোতা করতে হবে ।
জনি

4

ফাইলগুলির জন্য যেখানে অখণ্ডতা গুরুত্বপূর্ণ, হ্যাঁ

আমি প্রায়শই এটি প্রয়োজনীয় মনে করি যখন আমি এমন কিছু করি যেখানে ফাইলের উচ্চতর সততা থাকে তা সমালোচনামূলক।

একটি উদাহরণ ওপেনডব্লিউআরটি দিয়ে একটি রাউটার ফ্ল্যাশ করা। যদি ফাইলটি দূষিত হয়, তবে সেই রাউটারটি ব্রিক করা হবে এবং তারপরে আমাকে হয় হয়:

  • এটি প্রতিস্থাপন (ব্যয়বহুল)
  • এটি ঠিক করুন (সময়সাপেক্ষী। বিশেষত যদি আমাকে সিরিয়াল কেবল / জেটিএল লাগাতে হয়)

হ্যাশ যাচাইয়ের সরলতার সাথে তুলনা করে উভয়ই অসুবিধাজনক। অতএব আমি সমালোচনামূলক ফাইলগুলির জন্য এটি করার দৃ strongly়ভাবে সুপারিশ করব।


0

আমি সাধারণত আমার ডাউনলোডটি বাধাগ্রস্ত হয়েছিল কিনা তা যাচাই করার জন্য বিরক্ত করেছিলাম এবং পরে এটি পুনরায় শুরু করেছি, কারণ একটি সন্ধান অফসেটের সাথে এইচটিটিপি অনুরোধগুলি ব্যাপকভাবে ব্যবহৃত হয় না, তাই বোকামি কিছু ঘটেছে।

অনেক ক্ষেত্রে ডাউনলোডগুলি একটি সংকুচিত ফাইল যা এটি ভেঙে গেলে সংক্ষেপণ দেয় না। যদি এটি না হয় তবে চেক করা কোনও খারাপ ধারণা নয়। আমি কোনও আইএসও বার বার লেখার আগে এটি একবারে মিডিয়াতে লিখে ফেলতে পারি।

অন্যান্য উত্তর এবং মতামত যেমনটি বলেছে, একই সাইট থেকে এটি একটি হ্যাশ দিয়ে যাচাই করা খুব কম ব্যবহারের, সুরক্ষার ভিত্তিতে কার্যকর। আপনি যদি আয়না থেকে ডাউনলোড করেন তবে এটি আরও কার্যকর হতে পারে তবে হ্যাশটি মূল উজান থেকে। অথবা যদি ফাইলের নাম অস্পষ্ট হয় এবং কোনও কারণে আপনি নিশ্চিত হন না যে আপনি চান ঠিক সংস্করণ পেয়েছেন।

মুল বক্তব্যটি হ্যাশ হোস্টিং একই সাইট থেকে কেবল ফাইল ডাউনলোড করা ব্যতীত প্রচুর বিশেষ ক্ষেত্রে হ্যাশ প্রকাশ করা কার্যকর publish

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.