andy hat geschrieben:Wenn du vergleichst, musst du die Prüfsumme der Datei nehmen, dann vergleichen, nicht die Prüfsumme die der Drittanbieter in die Info schreibt.
Wenn du sowieso "vergleichst", wozu dann die Prüfsumme in der vorab Information. Das trägt weder zur Transparenz noch zur Glaubwürdigkeit bei. Nur eine Zahl die, wenn Sie nicht nochmals überprüft wird, keine Aussagekraft hat.
Es scheint Ich rede gegen die Wand, Auf die Argumente warte Ich wohl vergeblich.
Vielleicht hast Du es ja wirklich nicht verstanden.
Wenn die Pruefsummen der Download Quellen (Herausgeber und Drittanbieter) mit den auf den Downloadseiten angezeigten Pruefsummen uebereinstimmen ist alles ok. Wenn irgendeine der Pruefsummen(von einem der Downloads oder nur einem der Angezeigten) nicht gleich ist, stimmt etwas nicht und ich als Downloadender kann das Problem sogar ganz gut adressieren.
Wie schon erwaehnt wurde, koennen ja einige nicht auf die Downloadseite des Herausgebers. Ich als Downloadender bin in so einem Fall auf andere Quellen angewiesen. Jetzt finde ich aber eine Seite, die es zur Verfuegung stellt, aber man zeigt mir keine Info zum Verifizieren an, sondern behauptet schlicht, man stellt auf seiner Webseite die Originalsource zur Verfuegung. Die gleiche Info sieht auch ein Attackierender. Also tauscht er die Datei auf dem Server das Drittanbieters einfach aus oder laesst sich eine andere Schweinerei einfallen, diesen Mangel an Info(bzw. Transparenz) auszunutzen. Er macht zum Beispiel genau das Gleiche, wie der zuvor gefundene Drittanbieter und bietet einfach seine Datei zum Download, ebenfalls ohne Checksumme (Es koennte ja jemanden auf die Idee bringen ide Checksummen zu vergleichen).
Jetzt zu Deinem Einwand, der Drittanbieter selbst hat die Datei des Originalanbieters ausgetauscht und zeigt die fuer seine manipulierte Datei korrekte Pruefsumme an. Das waere schon reichlich keck, da er ja nun wirklich nicht davon ausgehen kann, das beispielsweise der Herausgeber der Datei nicht regelmaessig prueft, wer wo seine Datei herausgibt und entsprechende Hinweise postet bzw posten laesst.
Wenn alle Drittanbieter die Checksumme posten wuerden, haette man sogar per Suchmaschine einen schnellen Ueberblick. Womoeglich schneller als man in China zensieren kann.
Man spricht von Transparenz, wenn die beteiligten Parteien moeglichst viel von sich Preis geben.
Je mehr Info rausgegeben wird, desto eher koennen andere was nachpruefen, desto glaubwuerdiger wirds. Klingt total verrueckt oder?
Mein "Halbwissen" hab ich ueber 12 Jahre zu Markte getragen und als Kunden hatte ich auch ein paar DAX Konzerne. Zum Schluss war ich ein paar Jahre in den deutschen Behoerden taetig und habe zum Missfallen einiger IT Manager(da wirst Du wohl auch bald dazugehoeren) und zur Entlastung der Sachbearbeiter fuer Transparenz gesorgt.
Generell habe ich gute Erfahrungen damit, auf Fachausdruecke zu verzichten. Das ausgerechnet ein Wannabe-Informatiker dann nichts mehr verstehen will ...
, wen interessierts.
Für mich ist die Diskussion damit beendet.
Ich habe erklärt warum die Prüfsumme in der in der Vorabinformation bei Drittanbietern keinen Sinn macht, damit belasse Ich es auch dabei.
Schade und ich hatte gehofft, Du kannst etwas weiterhelfen:
besserwessies blog
/usr/bin/openssl sha1 fg698p.exe
SHA1(fg698p.exe)= c07207b20b68c07ffbb7f43e07e566608bd77daa
Dynaweb Download
/usr/bin/openssl sha1 fg679e2c.exe
SHA1(fg679e2c.exe)= 26442b65d4b3755abf04eb71bb6c8d61d25cbf60
/usr/bin/openssl sha1 fg679p2c.exe
SHA1(fg679p2c.exe)= 7d5c19b49a9bb3181167793d1c4b50daa27e5e55
Die fg698p.exe ist auch noch mehr als 3 mal so gross, wie die von Dynaweb offiziell zum Download Angebotene. Dafuer braucht man noch nicht einmal die Pruefsummen. Offensichtlich ist die im Forum angebotene Software ein paar Versionen weiter oder eben doch manipuliert. Vertrauenswuerdig ist das nicht.
