Việc xác minh ISO được tải xuống từ trang web chính thức có đáng không?

Tôi đã tải xuống ISO từ https://www.ubfox.com/doad , chọn tùy chọn "Ubuntu Desktop" mặc định.

Trang web liên kết trang https://tutorials.ubfox.com/tutorial/tutorial-how-to-verify-ubfox hướng dẫn cách xác minh ubfox.

Điều này có vẻ khá tẻ nhạt, và tôi tự hỏi thực tế như thế nào khi có vấn đề với ISO được tải xuống từ trang web chính thức. Tôi lưu ý rằng quá trình xác minh tự nó yêu cầu tôi tải xuống phần mềm mới đối với tôi, do đó giới thiệu một vectơ tấn công khác cho tôi ngay cả khi tôi đang đóng một phần mềm khác.

Để biết giá trị của nó, tôi dự định chỉ sử dụng Live USB và không cài đặt đầy đủ Ubuntu. Điều đó làm cho một sự khác biệt?

Vâng, nó đáng giá.

Chỉ mất vài giây để md5sum / etc một ISO được tải xuống và nó đảm bảo bạn không bị MITM tấn công, v.v. Ngoài ra, những giây đó là bảo hiểm cho [giờ] lãng phí nếu bạn có một vài lỗi và gỡ lỗi cần thiết đuổi theo lỗi mà không ai khác mắc phải do quá trình tải xuống của bạn (ví dụ: bạn có vấn đề về mạng & vì vậy hãy cố gắng gỡ lỗi; nhưng mạng bị nhồi vì đó là những gì sai vài bit là ...) Hãy nghĩ rằng séc kiểm tra là bảo hiểm rất rẻ.

Phần mềm cần thiết cho md5sum một cái gì đó sẽ là từ một nguồn khác thường (một phiên bản cũ hơn, thậm chí là os / distro khác nhau), rất nhỏ và đã có mặt cho nhiều / hầu hết chúng ta.

Hơn nữa, nó cho phép tôi tải xuống từ một máy nhân bản cục bộ, nhưng vì tôi lấy md5sum từ nguồn Canonical; Tôi đã bảo hiểm rằng chiếc gương không chơi với nó. Một lần nữa bảo hiểm rất rẻ mà chi phí của tôi ~ 3 giây.

Có, RẤT NHIỀU KHUYẾN NGHỊ rằng bạn xác minh hình ảnh bạn đã tải xuống, đây là một số lý do:

• Chỉ mất vài giây và có thể cho bạn biết nếu tính toàn vẹn của tệp là chính xác, ý tôi là, tệp không bị hỏng. (Một nguyên nhân phổ biến của tham nhũng là lỗi chuyển vì các lý do kỹ thuật như kết nối internet không ổn định từ nhận xét @sudodus.)
• Nếu tệp bị hỏng và bạn ghi hình ảnh ISO này vào ổ đĩa CD / USB và nó sẽ không hoạt động hoặc trong quá trình cài đặt có thể không thành công, điều này sẽ gây lãng phí thời gian và đĩa CD.
• Bạn chắc chắn rằng bạn đang sử dụng phiên bản SẠCH chính thức của bất kỳ loại hình ảnh hoặc phần mềm ISO nào và không phải là phiên bản sửa đổi (có thể là của những kẻ tấn công), xem báo cáo này: Cướp biển Watch Dogs bị tấn công bởi phần mềm độc hại khai thác Bitcoin

Nếu bạn đã có bản phân phối GNU Linux, bạn có thể sử dụng md5sum , nếu bạn ở Windows, bạn có thể sử dụng: WinMD5Free .

Hy vọng nó giúp.

Đúng vậy, nhưng Ubuntu dường như làm cho nó khó hơn nó nên.

Trong trường hợp tốt nhất, bạn chỉ cần tải xuống foo.iso và foo.iso.sig và nhấp vào tệp .sig (hoặc sử dụng gpg trên trình bao trên tệp .sig) sau khi bạn nhập khóa một lần. Cái này tốn vài giây.

Ubuntu dường như làm cho nó phức tạp hơn bằng cách buộc bạn kiểm tra tổng số sha256 từ một tệp trong khi chỉ bản thân tệp được ký. Điều đó thuận tiện cho họ, nhưng làm việc nhiều hơn cho người dùng của họ.

Mặt khác, khi tệp được tạo chỉ bằng cách sha256sum * >SHA256SUMS, bạn có thể kiểm tra nó bằng cách sử dụng sha256 -cvà lấy OK/Bad/Not-Foundlàm đầu ra.

Kiểm tra của bạn /proc/net/devvà xem có bao nhiêu khung TCP xấu bạn đã nhận được cho đến nay. Nếu bạn thấy giá trị một chữ số (hy vọng là 0), hãy đọc tiếp. Nếu bạn có nhiều lỗi hoặc lỗi mạng, thì bằng mọi cách, hãy sử dụng MD5 để xác minh các bản tải xuống của bạn (mặc dù tôi muốn điều tra nguyên nhân gốc, vì mạng không đáng tin cậy có nghĩa là bạn không thể tin tưởng bất cứ điều gì bạn nhận được qua HTTP).

Khi bạn đang tải xuống qua TCP để kiểm tra tất cả dữ liệu được truyền, sẽ có rất ít khả năng tải xuống bị hỏng với cùng kích thước. Nếu bạn tự tin rằng bạn đang tải xuống từ trang web chính thức (thông thường là nếu bạn đang sử dụng HTTPS và kiểm tra chứng chỉ vượt qua), xác minh rằng quá trình tải xuống của bạn đã hoàn tất là đủ. Các trình duyệt web của Decent thường kiểm tra cho bạn bằng mọi cách, nói điều gì đó dọc theo dòng "tải xuống không thành công" nếu họ không nhận được lượng dữ liệu họ mong đợi, mặc dù tôi đã thấy các trình duyệt chỉ quyết định giữ tệp không đầy đủ mà không nói gì cho người dùng, trong trường hợp đó bạn có thể kiểm tra kích thước tệp theo cách thủ công.

Tất nhiên, việc xác minh tổng kiểm tra vẫn có giá trị của nó, bao gồm bạn trong trường hợp tệp bạn đang tải xuống bị hỏng trên máy chủ, nhưng điều đó không xảy ra quá thường xuyên. Tuy nhiên, nếu bạn sẽ sử dụng tải xuống của mình cho một cái gì đó quan trọng, đó là một bước đáng để thực hiện.

Như @sudodus đã nói trong các bình luận, sử dụng Bittorrent thay vì HTTPS là một lựa chọn khác, vì các máy khách torrent thực hiện công việc tốt hơn nhiều khi xử lý dữ liệu không đầy đủ / hỏng như trình duyệt web.

Lưu ý rằng tổng kiểm tra không thực sự ngăn bạn khỏi bị tấn công, đó là những gì HTTPS dành cho.

Tôi phát hiện ra một cách khó khăn về việc không kiểm tra tổng kết. Tôi sẽ ghi một đĩa CD có ISO bị hỏng trong quá trình tải xuống và không thể khởi động nó hoặc nó có lỗi khi chạy.

Giống như những người khác nói, nó mất ít thời gian.

Bạn đang nhìn thấy nó chỉ với một trường hợp sử dụng, trong một thiết lập với tự động hóa hàng loạt, nó giúp xác minh nó; tập lệnh chạy kiểm tra, trước khi tiếp tục với những gì chúng ta cần làm với hình ảnh

Những người khác đã đưa ra câu trả lời với các chi tiết kỹ thuật mà tôi đã quên mặc dù tôi là một lập trình viên (công việc của tôi không liên quan đến giao tiếp qua mạng), vì vậy tôi sẽ chỉ cho bạn biết một trải nghiệm cá nhân.

Một dài thời gian trước đây, khi tôi sử dụng để ghi đĩa CD thường xuyên, nó một lần tình cờ tôi đã tải phân phối Linux này ISO mà dường như đã tải một cách chính xác. CD đã làm tôi thất bại, vì vậy tôi đã kiểm tra tệp đã tải xuống và nó không khớp. Vì vậy, tôi đã tải xuống một lần nữa và nó hoạt động. Vì vậy, điều này chỉ xảy ra một lần trong 15 năm kể từ khi tôi là người dùng máy tính và lập trình tiên tiến (đã sử dụng máy tính từ năm 11, 19 năm trước và tôi đã đốt hơn một nghìn đĩa). Nhưng nó là bằng chứng rằng nó có thể xảy ra.

Nó cũng xảy ra với tôi thông qua BitTorrent một hoặc hai lần, do đó cũng không an toàn. Khi buộc kiểm tra lại tệp đã tải xuống, nó đã xác định phần bị hỏng.

Kết luận của tôi là HTTP (dựa vào TCP) có thể an toàn như nó có, nhưng Internet có nghĩa là có các nút trung gian giữa thiết bị của bạn và máy chủ và không có điều gì có thể xảy ra trên đường đi (các gói thậm chí bị mất tất cả thời gian), và đôi khi máy tính không thể nói rằng dữ liệu sai tôi đoán.

Không ai có thể trả lời liệu nó có đáng để gây rắc rối cho bạn hay không - điều này phụ thuộc vào ngữ cảnh và tôi chắc chắn bạn có thể tự đánh giá điều đó. Đối với tôi, nó không đáng giá hầu hết thời gian. Nếu tôi định cài đặt một hệ điều hành, tôi sẽ kiểm tra hình ảnh đã tải xuống trước đó.

Lưu ý: thực tế là tôi chỉ một hoặc hai lần nhận thấy tải xuống bị hỏng không có nghĩa là nó chỉ xảy ra sau đó. Có thể những lần khác nó không cản trở bạn nên bạn không để ý.

EDIT: Tôi thậm chí còn có các lập trình viên có kinh nghiệm khác trong công việc tranh luận (thậm chí có chút phẫn nộ) rằng các băm xác minh tính toàn vẹn dữ liệu này có thể biết liệu một tệp có giống với bản gốc hay không, nhưng tôi biết (tôi đã đọc) thực tế là hai tệp dẫn đến cùng một hàm băm không có nghĩa là chúng giống hệt nhau - điều đó chỉ có nghĩa là chúng cực kỳ khó xảy ra. Cách chúng hữu ích là khi các tệp không giống nhau và đặc biệt là khi chúng rất khác nhau, mã băm kết quả của chúng thực tế sẽ không bao giờ giống nhau (thậm chí ít có khả năng thử nghiệm này sẽ thất bại). Nói ít hơn - nếu mã băm khác nhau, bạn biết các tệp khác nhau.