Gostaria de baixar o Mercurial (não a versão "Tortoise"), mas só posso encontrar o link de download http://mercurial.selenic.com/release/windows/Mercurial-2.4.2.exe que não é um HTTPS ligação. O download desse arquivo me fornece um EXE "Publicador Desconhecido" não assinado.
Como posso ter certeza razoável de que tenho uma cópia inalterada da ferramenta deste programador?
Observe que esta pergunta não deve ser crítica para os editores do Mercurial. Só estou imaginando como outros usuários do Mercurial verificam se têm um bom download antes de executar o instalador.
Respostas:
Geralmente, a validade de qualquer arquivo pode ser fornecida por uma soma de verificação do MD5; portanto, verifique se você consegue encontrar uma soma MD5 aceitável publicada para o arquivo desejado e verifique o MD5 do seu arquivo específico após o download. A publicação de somas MD5 é uma prática bastante comum para muitas coisas, especialmente de código aberto como esse.
Pelo contrário, como @KeithThompson salienta que o SHA1 é melhor, embora seja importante saber que o MD5 e o SHA1 podem ser forjados com precisão, portanto, técnicas criptográficas mais complexas fornecerão um nível maior de garantia, mas não vejo assinatura publicada do MD5, SHA1 ou técnicas mais complexas, então minha sugestão é confiar na combinação MD5 / SHA1, graças ao comentário de Keith Thompson sobre:
e886b2d2469c848efd67af4c2b63d9d5
(MD5)a2f690fa544adac01fc9d8c66685129ac2d02cb1
(sha1)Eu imagino que seria mais difícil forjar um arquivo para combinar os dois algoritmos de hash do que apenas um, então há uma pequena ajuda. Ou seja, se confiarmos em Keith Thompson ...;)
fonte
e886b2d2469c848efd67af4c2b63d9d5
e o sha1sum éa2f690fa544adac01fc9d8c66685129ac2d02cb1
; que pode se proteger contra alguns ataques.Os do repositório Bitbucket do TortoiseHG (observe que também existe um Mercurial simples, com o THG) parecem ter uma assinatura digital válida, pelo menos o .msi (no entanto, você pode fazer o download de tudo via HTTPS). É estranho que não haja sequer uma soma de verificação no site da Mercurial.
fonte