Come verificare l'integrità di un pacchetto plugin

Aggiungiamo a valore hash elaborato su ciascun file del pacchetto plug-in per aggiungere un modo per verificare che il contenuto sia trasferito correttamente e che non sia stato danneggiato durante il processo di download.

Inoltre, se non hai ottenuto il pacchetto di plug-in Maps Marker Pro direttamente da https://www.mapsmarker.com, puoi verificare che nessun file sia stato modificato e, ad esempio, che sia stato aggiunto malware.

Se non si ha familiarità con la verifica degli hash dei file, il modo più semplice per verificare l'integrità del pacchetto plug-in è procedere come segue:

  1. apri https://www.virustotal.com/
  2. Carica il pacchetto plugin (leaflet-maps-marker-pro.zip) che desideri verificare:
    virustotal-step-1
  3. Come passi successivi, viene generato un checksum SHA-256 e inoltre il pacchetto viene anche scansionato alla ricerca di virus noti (utile se è stato recuperato il pacchetto da un'altra fonte diversa da https://www.mapsmarker.com):
  4. aprire il file con tutti i valori hash SHA-256 per tutti i pacchetti plugin e confronta il valore hash in quel file con il valore hash generato da virustotal. Se i valori sono diversi, non installare il pacchetto e scaricare nuovamente il pacchetto originale da https://www.mapsmarker.com/download-pro anziché.

Per aggiungere un altro livello di sicurezza, abbiamo inoltre firmato il file con tutti gli hash SHA-256 con la nostra chiave di rilascio PGP (per il caso improbabile che il file hash su www.mapsmarker.com sia stato compromesso). Per verificare la firma digitale del file, procedere come segue:

  1. Scarica la nostra chiave pubblica PGP da https://www.mapsmarker.com/PGP-PUBLIC-KEY.asc e aggiungi il certificato al tuo keystore
  2. Scarica il file della firma da https://www.mapsmarker.com/SHA256SUMS.txt.sig
  3. Utilizzare il file della firma per verificare il file con tutti gli hash da https://www.mapsmarker.com/SHA256SUMS.txt

Si noti che sono disponibili diversi strumenti per l'esecuzione della verifica della firma, per Windows consiglio lo strumento freeware http://www.gpg4win.org/ - una buona panoramica di altre piattaforme e strumenti è disponibile all'indirizzo https://www.torproject.org/docs/verifying-signatures.html.en

0
0
8644
Valuta questa guida per l'utente
en English
X