Ok, jeg hade ikke forstået at du ville have man skulle trykke på "Past releases", men den linker så også direkte ind til releases.ubuntu.com Jeg mener så også den side burde være til at stole på lige så meget som at skulle navigere sig igennem alle de links, den er jo et subdomæne for ubuntu.com, og så er det tros alt også der den entlige download af iso kommer fra. Det kunne dog være godt om hash sums kunne hentes fra en side med SSL.
Din instrukser kunne forkortes til:
1. http://www.ubuntu.com/
2. Klik på "Alternative downloads" i bunden af siden.
3. Klik på "Past releases" nederst på siden.
4. Vælge din udgave og der efter den *SUMS fil du vil bruge hash for.
Det spare mindst 2 sider i forløbet.
Her er sha256 hashsums for ubuntu 14.04 iso'er.
-
- Admin
- Indlæg: 20874
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
-
- Admin
- Indlæg: 3652
- Tilmeldt: 5. mar 2010, 19:58
- IRC nickname: nicky
- Geografisk sted: 192.168.20.42
Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.
AJenbo skrev:gtr skrev:Dem, der har mest viden om hashsums, betragter md5 sums som kompromiterede.
En fil kan manipuleres, og stadig have den samme md5 sum.
Var det ikke mere specifikt at det lykkes nogen at lave 2 programmer med samme sum, men ikke at det er lykkes nogen at manipulere programmet uden at ændre summen?
Jo, MD5 er at betragte som forældet, da den blev delvis brudt tilbage i 2005. Al brug frarådes.
Det er netop muligt at 2 forskellige filer får den samme tjeksum, i det der hedder en "collision vulnerability"
https://en.wikipedia.org/wiki/MD5#Collision_vulnerabilities
-
- Admin
- Indlæg: 3652
- Tilmeldt: 5. mar 2010, 19:58
- IRC nickname: nicky
- Geografisk sted: 192.168.20.42
Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.
NickyThomassen skrev:AJenbo skrev:gtr skrev:Dem, der har mest viden om hashsums, betragter md5 sums som kompromiterede.
En fil kan manipuleres, og stadig have den samme md5 sum.
Var det ikke mere specifikt at det lykkes nogen at lave 2 programmer med samme sum, men ikke at det er lykkes nogen at manipulere programmet uden at ændre summen?
Jo, MD5 er at betragte som forældet, da den blev delvis brudt tilbage i 2005. Al brug frarådes.
Det er netop muligt at 2 forskellige filer får den samme tjeksum, i det der hedder en "collision vulnerability"
https://en.wikipedia.org/wiki/MD5#Collision_vulnerabilities
Det følgende skulle være et bevis for sårbarheden, men det meste går mildest talt over hovedet på mig
http://www.mscs.dal.ca/~selinger/md5collision/
-
- Admin
- Indlæg: 20874
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.
Hvis man bare vil beskytte sig mod fejlbrænding eller overførsels fejl er md5 stadig fin, men hvis man vil sig at der ikke er nogen der har fusket med filerne er den ikke helt så god.
Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.
Ajenbo
Jeg skrev, at jeg ikke ville bruge et link, fx http://releases.ubuntu.com/trusty/SHA256SUMS, fordi det
er et link, jeg ikke umiddelbart kender.
I stedet skulle jeg have skrevet, at jeg ikke bruger noget link andre end links, der fremkommer ved en søgning med
en søgemaskine, når det drejer sig om sikkerhedsmæssigt vigtig software.
Min vejledning er skrevet således. at man finder sha256 sums og dette uden at bruge et link i vejledningen.
Jeg lader mig ikke overbevise om andet.
Jeg kommenterer ikke flere indlæg, der omhandler om man kan bruge links, som er listet fx i dette forum.
Jeg skrev, at jeg ikke ville bruge et link, fx http://releases.ubuntu.com/trusty/SHA256SUMS, fordi det
er et link, jeg ikke umiddelbart kender.
I stedet skulle jeg have skrevet, at jeg ikke bruger noget link andre end links, der fremkommer ved en søgning med
en søgemaskine, når det drejer sig om sikkerhedsmæssigt vigtig software.
Min vejledning er skrevet således. at man finder sha256 sums og dette uden at bruge et link i vejledningen.
Jeg lader mig ikke overbevise om andet.
Jeg kommenterer ikke flere indlæg, der omhandler om man kan bruge links, som er listet fx i dette forum.
-
- Admin
- Indlæg: 20874
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: Her er sha256 hashsums for ubuntu 14.04 iso'er.
https://www.google.com/search?&q=site%3Areleases.ubuntu.com%2Ftrusty%2FSHA256SUMS
Jeg kan ikke helt følge hvad det er der gøre at du started med ubuntu.com frem for releases.ubuntu.com
Min største bekymring er at siderne ikke er https, i sådan et tilfælde ville jeg så mene at whois er det næste beste for at validere siden. Men da releases.ubuntu.com er et subdomain af ubuntu.com har de samme whois og DNS.
Jeg kan ikke helt følge hvad det er der gøre at du started med ubuntu.com frem for releases.ubuntu.com
Min største bekymring er at siderne ikke er https, i sådan et tilfælde ville jeg så mene at whois er det næste beste for at validere siden. Men da releases.ubuntu.com er et subdomain af ubuntu.com har de samme whois og DNS.