"L'integrità del file x non è stata verificata" un errore dell'utente o un problema con un pacchetto Chocolatey?

0

Ottengo l'errore durante l'installazione Java SE Runtime Environment (con AutoHotkey (portatile) troppo), il sesto pacchetto Chocolatey più scaricato: 

The integrity of the file 'jre8Install.exe' from 'http://javadl.oracle.com/webapps/download/AutoDL?BundleId=211997' has not been verified by a checksum in the package scripts.

L'installazione è sicura? C'è un problema con questo pacchetto o nel mio sistema? 

Chocolatey v0.10.0
Installing the following packages:
jre8
By installing you accept licenses for the packages.

jre8 v8.0.101 [Approved]
The package jre8 wants to run 'chocolateyInstall.ps1'.
Note: If you don't run this script, the installation will fail.
Note: To confirm automatically next time, use '-y' or consider setting
 'allowGlobalConfirmation'. Run 'choco feature -h' for more details.
Do you want to run the script?([Y]es/[N]o/[P]rint): y

Searching if new version exists...
Downloading jre8
  from 'http://javadl.oracle.com/webapps/download/AutoDL?BundleId=211997'
Progress: 100% - Completed download of C:\Users\user\AppData\Local\Temp\chocolatey\jre8\8.0.101\jre8Install.exe (52.63 MB).
Download of jre8Install.exe (52.63 MB) completed.
WARNING: Missing package checksums are not allowed (by default for HTTP/FTP,
 HTTPS when feature 'allowEmptyChecksumsSecure' is disabled) for
 safety and security reasons. Although we strongly advise against it,
 if you need this functionality, please set the feature
 'allowEmptyChecksums' ('choco feature enable -n
 allowEmptyChecksums')
 or pass in the option '--allow-empty-checksums'.
The integrity of the file 'jre8Install.exe' from 'http://javadl.oracle.com/webapps/download/AutoDL?BundleId=211997' has not been verified by a checksum in the package scripts.
chocolatey 
user598527
fonte

Risposte:

3

Chocolatey 0.10.0 richiede la verifica del checksum per tutti i pacchetti (vedi Requisiti e miglioramenti del checksum ).

Vedi questo errore, perché l'autore del jre8 il pacchetto non forniva il checksum.

Per forzare l'installazione del pacchetto che dovresti mettere --allow-empty-checksums parametro: 

choco install jre8 --allow-empty-checksums

Puoi anche contattare un manutentore e chiedere di aggiungere il supporto per la verifica del checksum:

Contact Maintainers

agabrys
fonte
Pensi di forzare l'installazione non sicura? Immagino di potermi fidare dei pacchetti Chocolatey.
user598527
In questo momento significa che il file viene scaricato su HTTP senza verificare il checksum del file. Se dovessi scaricare il file da te stesso su HTTP, avresti la stessa quantità di sicurezza se non avessi verificato anche l'integrità del file. Cose come l'avvelenamento del DNS e le reti WiFi aperte sono luoghi in cui possono facilmente verificarsi attacchi MITM (Man in the middle). Se ti fidi della tua rete e non hai problemi, è meno probabile che accada.
ferventcoder
Quello che alcuni non si rendono conto è che questi pacchetti presenti nel repository della comunità pubblica sono soggetti alle leggi sul copyright / ai diritti di distribuzione, quindi non sempre contengono il software che i pacchetti rappresentano e devono scaricarli dai punti di distribuzione ufficiali. Questo significa un download da qualche luogo. I checksum in pkgs servono a garantire che tu stia ottenendo il file che i maintainer (e i moderatori) hanno inteso.
ferventcoder
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.