Überprüft ihr die Hashwerte von runtergeladenen Dateien?

Wenn ja, mit welchem Tool?

[x] gelegentlich
Ich nutze gelegentlich hashcalc (http://www.slavasoft.com/hashcalc/), in letzter Zeit immer öfter.

7-zip hat eine CRC-Funktion fürs Kontextmenü, seitdem mache ich das manchmal

[x] Praktisch immer, wo es möglich ist

Unter Windows: Die eingebaute Signaturprüfung, wenn ich eine .exe aufrufe (wie wahrscheinlich jeder, weil automatisch), den Windows Store und bei GPG was auch immer das Windows Subsystem for Linux gerade als GPG-Version oder Coreutils mitbringt

Unter Android: Was auch immer der Play Store macht

Chrome OS: Was auch immer Crostini als GPG-Version und Coreutils mitbringt

Ich gehe mal davon aus, dass hier generell gemeint ist, ob man Downloads auf Modifikationen prüft.

Bei Kunden und in der Firma ja, auf meinem Privatrechner nicht.

Wenn bei einem Download ein Hash dabei steht prüfe ich ihn, mittels HashTab oder auch mal Total Commander.
Konsequent mache ich es nur bei ISO-Images (Linux).

MfG
Rooter

[x] Gelegentlich. Ich sollte es öfter tun.

Ich benutze Md5Checker (http://getmd5checker.com/) vor allem für wichtige Dateien und was auf externen Festplatten landet.
Bei Downloads bei alles, was einen PE Header hat (ausführbar ist)

Md5Checker ist portable, schlank, läuft unter Windows 2003 und Windows 7.

Seit dem KDE 4 Desaster und der Zerstörung von Kmail benutze ich GNU/Linux
nicht mehr privat. Da habe ich md5sum im Terminal benutzt.

Ich nicht. Wer den Download hacken kann, der kann auch einen kompromittierten passenden Hashwert unterjubeln.

Hattet Ihr jemals einen falschen Hash?

Um ehrlich zu sein, nein.

Ich nicht. Wer den Download hacken kann, der kann auch einen kompromittierten passenden Hashwert unterjubeln.

Hashes können schon Sinn machen, wenn die Software auf zig Mirrors von Dritten lagert und davon einer kompromittiert wird.

Natürlich sollte man aber in allen Fällen Signaturen bevorzugen.

Ich nicht. Wer den Download hacken kann, der kann auch einen kompromittierten passenden Hashwert unterjubeln.
Richtig, der Entwickler kann in gutem Glauben die Malware selbst signieren. Aber: Wenn die Signatur ungültig ist, ist das schon ein ziemlich alarmierendes Zeichen.

Nein, noch nie und wird auch nie gemacht. Aber die Antwort mit dem 'rauchen' war am coolsten

Richtig, der Entwickler kann in gutem Glauben die Malware selbst signieren. Aber: Wenn die Signatur ungültig ist, ist das schon ein ziemlich alarmierendes Zeichen.Signatur und Hashwert sind zwei unterschiedliche Dinge.

mfg

Nur bei OS Downloads.

Nur @Work. Schon zig Images gehabt die beim installieren gesponnen haben. Wenn so Multimilliardenunternehmen DL Server für 10€ haben :P

Aktiv mache ich das privat tatsächlich nur bei warez o.ä, da findet man schon mal etwas anderes als angepriesen. Wenn es um Geld geht halte ich das wie die anderen Poster vor mir auch, keine Experimente

md5 und sha-1 sind unsicher. Darauf würde ich mich als Hashfunktion nicht verlassen.

es gibt unendlich viele Dateien, die den selben Hashwert haben...da habe ich absolut kein Vertrauen :wink::tongue: