個人積分:12928分
文章編號:63991212
因為一個 *.iso 映像檔,可能好幾 GB 的。有些地區網路爛,下載中途也許網路封包出錯,導致檔案不完整,安裝使用就會出錯。
官網下載的 ISO 檔,是不可能被偷加料的。比如 Ubuntu 官網下載的。
軟體就免錢的,官網下載也免錢的,而且高速下載,也不是烏龜速度。
有什麼理由要去那些 來路不明網站 下載?先不說來路不明,下載速度搞不好都沒官網快。
各大學 FTP 分流映射的站點,就比較不好說。但多數應該也不會被偷加料,因為偷加料一定會被檢舉,下次就會被踢出分流,不再信任。沒人會做那種損害自己大學名譽的事情。只要驗證一下 chacksums 碼,立馬就會被發現。
不過 chacksums碼,建議還是檢查一下,確保 iso 檔的完整性,下載沒有出錯。花不了幾秒鐘。
而 軟體中心、新立得、apt、yum庫....之類的。內建的安裝管道,如果沒去增加第三方「源」,只使用官方的套件庫「源」,照理說也不可能被偷加料的,因為官方的套件庫,是官方在管理的。
能被加入官方套件庫的軟體,一律是 自由軟體(開放原始碼)。官方不接受 閉源軟體(不提供原始碼的)。
如果想裝閉源軟體,或版權軟體,就必須自己找,或增加第三方「源」。官方套件庫是找不到的。
這意思就是說:假如只使用"官方套件庫"來安裝軟體,那些軟體都是公開原始碼的,如果裡面偷藏後門什麼的,會被人發現。
當然有一個疑慮是:誰會去看那些原始碼?
數百數千萬、數億行,雖然全世界無聊人士頗多,但真有人會去看那些原始碼嗎?
確實歷史上也曾經發生,有一個 SSL加密的軟體 出現漏洞,好幾年才被發現。緊急發布更新檔。說明雖有開放原始碼,但並不是都有閒人去檢查的。
但最終漏洞也被發現出來不是嗎,仍是歸功於開放原始碼。如果原始碼是不開放的,整個黑箱作業,恐怕那漏洞永遠也沒人會發現,只有作者知道。
個人積分:4分
文章編號:64102752
個人積分:4分
文章編號:64102760
個人積分:130分
文章編號:64191594
衝鋒吧!貓咪 wrote:
這個有檢查 @@"...(恕刪)
再請問樓主有檢查
那你能保證那些checksums就是官方上傳的?
舉個最有名的例子:
2014, 2015 和 2016最受歡迎的Linux distro就是Linux Mint
它的官網在去年初被駭,iso下載路徑被更改,新的checksum檔案
也被駭客上傳更換
雖然出包只是局部性而且也只是短暫的一天,那天下載安裝的電腦已被駭客控制
刊登這篇文章時駭客的僵屍網路還在運行
官網都出問題了我怎麼知道其它分流站會不會被有心人士動手腳?
Linux新手怎會曉得他下載安裝後的電腦已成為僵屍網路的一員?
所以驗證checksums官方上傳者的GPG key (signature)也是確保iso下載完整性
重要的一環
You lead, follow or get out of the way.
個人積分:57分
文章編號:64198024
個人積分:57分
文章編號:64198127
