Originariamente inviato da Habanero
Questa non l'ho assolutamente capita.
Semplicemente.
Se un attaccante riesce a modificare il file in download allora riesce anche a modificare la pagina dove sta scritto l'MD5: non sono sullo stesso sito, ma fanno parte di connessioni sniffate assieme.

neanche questo l'ho capito...
Che l'unico caso davvero sensato che vedo è qualora il sito dove sta l'hash utilizzi un tunnel SSL.
Ovvero non sarà possibile la modifica di quell'hash da un attaccante.