为何在 FileZilla 官网下载的 .exe 安装包会校验码不对?

2020-12-23 17:10:50 +08:00
 he110comex
情况是这样的:

昨天我在 FileZilla 官网( https://filezilla-project.org/download.php?show_all=1 )下载了 win64 的 .exe 安装包( Chrome 浏览器下载),下载完之后也没多想就直接下一步、下一步给安装上了,软件可以正常使用,但是 Windows 安全中心老是提示有风险(安装路径里面的执行文件和 .exe 安装包都提示)。

然后我就跑去官网重新下载了一遍(两个文件名当然也是一样的),分别校验 SHA-512 值,和官网提供的对比,结果发现昨天下载的对不上,今天下载的是一致的(两个文件文件名、版本号都是一致的)。

我还能够看到 Chrome 浏览器昨天的下载历史记录。

这是不是说明通常的热门软件安装包,在下载时都有可能被掉包?
(有时候懒,侥幸心理就没有校验,不过国内的下载站应该是从来不提供校验值的)
929 次点击
所在节点    问与答
6 条回复
oott123
2020-12-23 17:26:27 +08:00
听起来不太可能,方便的话最好上传一下你昨天下载的安装包的样本。FileZilla 的安装包是有数字签名的。
he110comex
2020-12-23 17:46:38 +08:00
@oott123 我用 Windows 自带的安全中心全盘扫了一遍,提示风险的给删了,那个包现在没有了

我猜想很多软件会提供 校验值,是不是从侧面印证了,下载的安装包可能会原始包不一致(有掉包的可能)?
如果不存在不一致,很多网站提供校验值的目的是什么?
1 、下载工具出现下载错误(例如迅雷就会自动替换成自己服务器上的文件,以前出现过不一致的情况)?
2 、下载过程中链接被替换?
3 、官网提供的文件被掉包?
also24
2020-12-23 17:57:53 +08:00
@he110comex #2
1 、用户的浏览器 /下载工具 /宽带相对来说未必可信,存在作恶的可能

2 、许多软件为了方便下载,会主动加上 CDN 服务,或者分流站、镜像站,这些地方的内容存在被恶意替换的可能。

3 、除了官方授意的分流,还有第三方软件商店、下载站、BT 等途径,存在不受官方管控的分发方式。

4 、虽然概率极小,但是网络传输过程中仍然存在传输了一个『破损文件』的概率。

综上,需要提供一个简单直接的手段来让用户进行验证。
oott123
2020-12-23 18:25:29 +08:00
Windows 安全中心如果说的是 Defender 的话,应该是可以反删除的,可以找找隔离区。
在如今 https 普及的大背景下,已经很难在链路上发生普通的安装包被劫持掉包的事件了——也就是说一般是用户侧浏览器或者内容提供商(和它的合作分发者)这两者之一出了问题。
ljsh093
2020-12-23 18:56:24 +08:00
https 下很难调包吧
Whalko
2020-12-23 19:04:24 +08:00
你的问题,刚刚下了一个,用 certutil,100% hash 。
我的链接是: https://dl2.cdn.filezilla-project.org/client/FileZilla_3.51.0_win64-setup.exe?h=鉴权用&x=鉴权用

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/738318

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX