アカウント名:
パスワード:
皆さんは普段から何かしらのソフトウェア(WindowsやGNU/Linuxのインストール用イメージ、各種アプリケーションのソースコードやビルド済みバイナリなど)をダウンロードして使っていることかと思いますが、その際にダウンロードしたファイルが改竄されていないかを確認していますか?
これにはいくつか宗派があると思いますが、ポイントとなるのはこのへんですかね?- HTTP/HTTPS- 公式のサーバーか否か- ハッシュ値の確認- 電子署名の確認
「何もやっていない」という人もいれば、「公式のサイトからhttpsでダウンロードしていればOK」という人もいるでしょうし、「一応ハッシュ値をSHA256SUMSとかの値と比較する」「電子署名を必ず確認する」といった人もいるでしょう。皆さんの意見をお聞かせください。
決定的に重要なものは、電子署名 > ハッシュ値 > 出所、とみてる。CDNの場合、httpでも問題にしない。どうでもいいものはノーガード。ただし、OSインスタンスごと定期的に使い捨て。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
スラドに聞け!ソフトウェアのintegrity (スコア:0)
皆さんは普段から何かしらのソフトウェア(WindowsやGNU/Linuxのインストール用イメージ、各種アプリケーションのソースコードやビルド済みバイナリなど)をダウンロードして使っていることかと思いますが、その際にダウンロードしたファイルが改竄されていないかを確認していますか?
これにはいくつか宗派があると思いますが、ポイントとなるのはこのへんですかね?
- HTTP/HTTPS
- 公式のサーバーか否か
- ハッシュ値の確認
- 電子署名の確認
「何もやっていない」という人もいれば、「公式のサイトからhttpsでダウンロードしていればOK」という人もいるでしょうし、「一応ハッシュ値をSHA256SUMSとかの値と比較する」「電子署名を必ず確認する」といった人もいるでしょう。皆さんの意見をお聞かせください。
Re: (スコア:0)
決定的に重要なものは、電子署名 > ハッシュ値 > 出所、とみてる。CDNの場合、httpでも問題にしない。
どうでもいいものはノーガード。ただし、OSインスタンスごと定期的に使い捨て。