checksum bij downloads - Geachte redactie

maandag 27 juli 2015 20:25

Acties:

0 Henk 'm!

Topicstarter

Misschien is het een leuk en praktisch idee om voortaan bij de software updates ook de sha256 hash te publiceren van het bestand waar het over gaat. Dit heeft als voordeel dat er een public record ontstaat die door derden onafhankelijk gecontroleerd kan worden, waardoor wijzigingen eerder zullen opvallen.

Ik ben zelf een bescheiden poging begonnen op http://slasa.us/checksums.txt, maar geinspireerd door de discussie op [1] lijkt jullie software tracker me nog een veel mooier medium om meer bekendheid te geven aan de exacte inhoud van een bestand. Wat dat betreft mogen van mij op veel meer publieke plaatsen hashes afgebeeld worden zodat er ook zinnig op een bepaalde hash gegoogled kan worden.

[1] SlaSauS in 'downloads: PuTTY 0.65 bèta'

maandag 27 juli 2015 20:27

Acties:

0 Henk 'm!

ThinkPad

Dat is toch niet te doen? Dan moet de nieuwssubmitter van Tweakers alle bestanden eerst downloaden en een hash genereren. En wie zegt dat de versie van Tweakers als 'de waarheid' moet worden gezien?

maandag 27 juli 2015 20:34

Acties:

0 Henk 'm!

SlaSauS

Topicstarter

Vaak gaat het natuurlijk maar om één bestand, de zip, exe, tgz, whatever die gedownload wordt. Verder is het niet zozeer een manier om te zien of het correct is, maar meer om te zien of meerdere mensen in het publiek dezelfde versie krijgen. Op deze manier kun je dus makkelijker zien of jouw versie die jezelf download afwijkt van wat anderen downloaden. Ook kun je op deze manier zien of er over langere periode, bijvoorbeeld weken of maanden onverwachte wijzigingen plaatsvinden. Hoe meer mensen iets downloaden en daarvan op hun eigen server/twitter/facebook de hash publiceren, hoe sneller afwijkingen opvallen.

maandag 27 juli 2015 20:37

Acties:

0 Henk 'm!

ThinkPad

Ik zie het nut van hashes wel in, maar denk dat het voor Tweakers gewoon niet te doen is om dat bij elke download te publiceren.

maandag 27 juli 2015 20:44

Acties:

0 Henk 'm!

SlaSauS

Topicstarter

Mij lijkt het niet zoveel werk, kan makkelijk automatisch en met name bij de firmware downloads lijkt het mij van grote toegevoegde waarde.

$ curl -s http://the.earth.li/~sgtatham/putty/0.65/x86/putty.exe | shasum -a 256
8aafc0858cb440910b9b7f237124f373389591a488a77d3d367da56bbf462678 -

maandag 27 juli 2015 20:48

Acties:

0 Henk 'm!

RGAT

Maar wat is het nut als het automatisch gedaan wordt?
Iemand moet de downloads controleren op allerlei troep, en als er ook maar 1 dingetje door glipt wijst iedereen naar Tweakers ipv de ontwikkelaar, lijkt me een hoop moeite voor niks...

Fixing things to the breaking point...

maandag 27 juli 2015 20:51

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

ThinkPadd schreef op maandag 27 juli 2015 @ 20:27:
Dat is toch niet te doen? Dan moet de nieuwssubmitter van Tweakers alle bestanden eerst downloaden en een hash genereren. En wie zegt dat de versie van Tweakers als 'de waarheid' moet worden gezien?

Precies dit. 3rd party checksums zijn in mijn ogen niet veel waard omdat je nooit weet of die versie de officiële onaangepaste releaseversie is. De enige betrouwbare bron is de leverancier zelf.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 27 juli 2015 20:54

Acties:

0 Henk 'm!

SlaSauS

Topicstarter

@Bor, de enige betrouwbare bron is en blijft de leverancier, dat klopt. Maar om te zien of een levenrancier gehacked is en dus malware serveert is het wel een vereiste dat de hashes ook op andere plaatsen bekend zijn. Elke aanvaller die een binary kan aanpassen op de site van de leverancier kan ook de hash files op die locatie aanpassen. Die hash files hebben alleen nut als ze gemirrord worden.

maandag 27 juli 2015 20:56

Acties:

0 Henk 'm!

vanaalten

Dan moet de meukposter dus ook kijken of er enkel een windows-versie, windows 64-bit versie, OS-X, linux-versie in smaken A, B en C zijn, al die dingen downloaden en hash berekenen en op de een of andere manier in het bericht zetten.

Lijkt mij onhandig te automatiseren en een hoop meerwerk opleveren, waar het doen van een meukpost nu waarschijnlijk minuten-werk is.

maandag 27 juli 2015 20:57

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

SlaSauS schreef op maandag 27 juli 2015 @ 20:54:
@Bor, de enige betrouwbare bron is en blijft de leverancier, dat klopt. Maar om te zien of een levenrancier gehacked is en dus malware serveert is het wel een vereiste dat de hashes ook op andere plaatsen bekend zijn.

Dat klopt maar als je daarover zekerheid wilt hebben zul je ze digitaal moeten ondertekenen oid. Een simpele hashvermelding op een 3rd party site is wellicht meer betrouwbaar dan niets maar nog steeds niet fool proof. Dit aangevuld met het extra werk en (naar ik vermoed) het kleine aantal mensen dat ook echt een hash gaat controleren lijkt me dit persoonlijk op dit moment niet interessant genoeg. Veel producenten en leveranciers leveren zelf bijvoorbeeld al geen hashes aan.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 27 juli 2015 21:01

Acties:

0 Henk 'm!

SlaSauS

Topicstarter

@vanaalten: true, soms zijn er natuurlijk veel versies, zeker als je kijkt naar linux releases o.i.d. (hoewel die vaak dan juist weer wel heel veel mirrors hebben van de hashes).

Maargoed, eerste punt lijkt me dat we het niet eens eens zijn over het nut ervan.

Ik zie gewoon bij veel downloads een SHA256 file die ik vervolgens niet op andere sites kan vinden ter controle en mij lijkt publiek goed bekend maken, mirroren, een mooie methode.

maandag 27 juli 2015 21:02

Acties:

0 Henk 'm!

SlaSauS

Topicstarter

Veel producenten en leveranciers leveren zelf bijvoorbeeld al geen hashes aan.

@Bor: klopt, *groot* gemis. Zelfs niet van SSD firmware en dergelijke.

Pagina: 1

Reageer