All versions of the Windows XP SP2 code distributed through Microsoft's site beginning Aug 9 have a genuine Microsoft digital signature that you can verify by right-clicking and viewing properties. The MD5 checksum of the file named WindowsXP-KB835935-SP2-ENU.exe is 59a98f181fe383907e520a391d75b5a7. A network-install version released to MSDN subscribers between August 6 - 8 did not include this certificate and yields a different MD5 checksum; however, to ensure you have the latest release, we recommend checking for the presence of a valid certificate before installing any network-installable version.
Bron:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2top. mspx
Met andere woorden; er gaan verschillende SP2's de ronde. Eéntje die op de MSDN site stond zonder certificate en degene met certificate die iedereen op de site van Microsoft kan downloaden.
Daarom haal ik dit soort critische updates altijd van de oorspronkelijke bron (voor bedrijfstoepassingen) ook al heb ik hem eerder te pakken kunnen krijgen om mijn interesse te stillen.
Je zult maar 1000 PC's updaten met een niet officiële of kreupele servicepack die je van een duistere site geplukt hebt
/edit ik probeer hier aan te tonen dat een download via P2P niet legitiem de originele versie kan zijn. Microsoft wilt waarschijnlijk ook niet dat de verkeerde of beta servicepacks geïnstelleerd worden. Wees er dus voorzichtig mee.
Het lijkt me nog steeds geen SP dat je direct op je productie servers/workstations. Dus ach ... maak je daar nu nog niet te dik over zou ik zeggen OF je moet een bleeding-edge user zijn.
Verder ... had MS zelf net zogoed een tracker kunnen draaien en zelf de torrent kunnen distribueren. Het is een betrouwbaar systeem wat veel opensource producenten ook gebruiken. En die zouden het ook neit gebruiken als het niet een beproefd systeem is. (vooral RH die er geld mee verdient). Scheelt ze ook bandbreedte kopen natuurlijk.
Als de tracker op een MS ip-adres staat lijkt het me erg betrouwbaar
(Dit is volgens mij een utopie dat MS het voordeel van p2p zou gebruiken).
P2P is niet betrouwbaar.
Simpelweg doordat ik als consument geen onderscheid kan maken tussen een goede versie die door MS op de P2P netwerk is gezet en een gehackte versie die door een hacker op het zelfde P2P netwerk is gezet.
Enkel nadat ik het product heb binnen gehaald kan ik controleren of het de goede versie is. Maar helaas is 90% van de P2P gebruikers geen tweaker en zal die zijn download niet controleren. Resultaat een gehacked systeem en wie krijgt de schuld Microsoft. Hetzelfde geldt trouwens ook voor Open Source producten via P2P. In Principe heb je geen enkele garantie dat hetgene dat je download ook precies is wat je wilt downloaden.
En MD5 checksums zijn prima na te maken dus zelfs dat is geen echte garantie dat het het origineel is.
Zo jij kan een MD5 checksum namaken??
Ok stel voor dat je het voor melkaar krijgt om een 128bit encryption key na te maken en aan een file toevoegt.
Hoe hou je dan tegen dat de P2P programma de hash controleert met het checksum?
Als deze 2 niet gelijk zijn wordt de file of een deel daarvan "Rejected" en probeert hij van iemand anders dat deel opnieuw te downloaden.
En dat van je weet niet of je van te voren de goeie file heb.
Is te danken aan microsoft zelf het is namelijk de bedoeling dat microsoft het torrent verspreidt (of een secure mirror) en dan het file via P2P laat downloaden.
Het is veiliger dan hun eigen servers omdat er niet 1 centrale punt is die kwetsbaar is maar een gehele netwerk die ervoor zorgt dat er niks tussen kan komen.
Er zijn trouwens veel bedrijven tegenwordig die naast het standaard download van hun software ook Bittorrent aanbieden als alternative manier van verspreiding.
Simple weg omdat het veiliger is en extra gratis bandbreedte oplevert die geen enkel provider ter wereld via 1 lijn kan leveren.
-nofi-, maar Ik heb smakelijk zitten lachen om je reactie. Blijkbaar weet je _niet_ hoe bittorrent werkt en mag je jezelf bij die eigengenoemde 90% rekenen. Op Google zijn er vast nog wel een aantal mooie referentie uitleggen te vinden.
Blijkbaar heeft NDB-K7 wel de nodige dingen gelezen en had ik het niet beter kunnen verwoorden dan dat.
Het systeem is niet bone-head proof en is ook zeker niet [cr|h]ack proof, maar zo simpel als dit ligt het echt niet. Ik heb er met Open Source en andere projecten 100% vertrouwen in dat het _wel_ de goede distrobutie van bijv. CentOS opleverd of RH.
PS: als jij een MD5 sleutel kan namaken met een file die daarbij hoort en die als MD5 sleutel en file matched met de complete hash van het totaal en de opgegeven hash van die slice, [poker mode]dan wil ik je source code wel eens zien
[/poker mode]
En ze zeggen het zelf.
Als je zeker wilt zijn dat je de goeie update heb is een simple MD5 check goed genoeg.
Er kunnen immers nooit 2 files het zelfde MD5 checksum hebben.
Dus als de versie die je download hetzelfde MD5 checksum heeft als degene die microsoft zelf aanbied kan je er gif op innemen dat het goed zit.
Bittorrent gebruikt namelijk de MD5 hash als controle methode en kan daarom nooit een hack,virus,trojan of wat dan ook erin zitten.
Microsoft is gewoon bang voor opensource programmas en verbied daarom verspreiding op deze manier.
Dit heeft voor de rest totaal niks te maken met veiligheid.
De kans is zelfs groter dat de update server van microsoft gehackt wordt en het SP2 aangepast wordt. Dan dat er corrupties voordoen in P2P downloads.
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
20:46
19:34
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
Door 
