Originariamente inviato da mark2x
Semplicemente.
Se un attaccante riesce a modificare il file in download allora riesce anche a modificare la pagina dove sta scritto l'MD5: non sono sullo stesso sito, ma fanno parte di connessioni sniffate assieme.



Che l'unico caso davvero sensato che vedo è qualora il sito dove sta l'hash utilizzi un tunnel SSL.
Ovvero non sarà possibile la modifica di quell'hash da un attaccante.

Non è assolutamente questo genere di problemi che la pubblicazione dell'hash vuole risolvere... come ho già detto, la problematica è molto più semplice e spiccia.