?前段時間鬧得沸沸揚揚的xcode事件,迅雷也成了躺槍的一份子——有網友反映即使是從原始地址下載xcode,最終也中了病毒。
今天我也遇到了這個棘手的問題。
晚上欲從jetbrains官網下載前端開發IDE——WebStorm:https://www.jetbrains.com/webstorm/download/download_thanks.jsp?os=mac
獲取到https下的直接地址為:https://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg
因為家里網不好,所以我特地購買了迅雷VIP,使用迅雷離線+特殊通道加速下載:
因為xcode事件,正好我下的軟件也是開發用的,所以我謹慎地對剛下載的WebStorm-10.0.4.dmg進行了sha256檢查:
?如題,檢查了兩遍,發現結果是db3ea8555767465b4febf950ebed5d7ef83a634250a1c4f121e9bbe88ba9a687
這是其sha256的hash值。(我事后用https的鏈接+迅雷VIP下載了至少3次,得到的哈希都是db3ea8,說明不是偶然BUG導致)
而令我恐懼的是,官網上給出的sha256值卻是:
https://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg.sha256
是截然不同的 ?0e444910001fc74b401c3b12738abedb823cc8064af53a304ce8e8c4d9d0ca6a !
我害怕官網給的值不準確或者是老版本的,我在日本vps(用vps下是因為速度較快,理論上不影響測試結果)上用同一個鏈接wget下載了WebStorm:
結果卻和官網一樣。
我開始慌了。
我在本地又測試了用http的下載鏈接 http://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg 下載了一次WebStorm,這一次hash的值正確無誤了:
那么https地址下載的鏈接究竟為何是錯誤的?不知道。
萬幸的是,我覺得這次事件可能與安全無關。因為我下載的錯誤的dmg是運行不了,所以可能不是被人替換了安裝文件,而是別的什么原因造成了文件的錯亂與錯誤。
但此次下載的dmg無法運行,不代表下一次,下兩次,下一百次下載的dmg無法運行、不被別有用心的替換。
再就是,無法運行原本就是一個巨大的BUG,為何我好不容易下載的軟件無法運行?如果我不使用迅雷下載,是否下載的就可以運行了?迅雷難道沒有檢查文件完整性、安全性的方法?
用正確的鏈接下載了一個錯誤的文件,原本就是一個可怕的東西,因為用戶并不知道自己下載的文件是什么,也許是一個木馬呢?
這個事情給我們提了個醒,迅雷下的東西很可能并不是我最初要求他下的東西。也警示我們在用此類三方下載工具的時候,多檢查下載的東西是否被替換過了,檢查方法就是計算哈希。
