验证来自GeoIP的GeoIP数据库

Question

我希望自动下载和安装免费的GeoIP数据库，我想知道在MD5变得更容易受到前映像攻击的情况下，是否有其他可用的验证选项。

此外，MD5总和存储在同一台服务器上，这意味着任何闯入该服务器的攻击者都可以上传潜在的恶意数据库，并在没有任何客户端知道的情况下为其提供服务。

GPG是一种常见的验证工具，如果大多数Linux用户的包管理器已经执行了这种验证，那么为大多数Linux用户设置GPG就很简单了。

Answer 1

maxmind.com在其下载链接上支持TLS SSL HTTPS (只需自己添加's‘)，因此请确保您的证书和库是最新的，并且您应该尽可能安全。

即使假设他们的the服务器被劫持了，在这一点上，你也没有必要担心MD5和SHA还是GPG，因为你对攻击的广度和广度没有合理的保证或概念。这很可能是公司自己故意做的内部工作。无论如何，maxmind不能保证不会出现人为或自动错误，因此请谨慎使用。

为了一项免费的服务(免费的数据库，免费的带宽，每周大量的更新)，你不能去乞求空隙的诺克斯堡费率安全。TLS已经比你需要的更好了。

欢迎您针对以前下载的数据库对新下载的数据库执行自己的健全性检查，以确保任何更改或更正都是名义上微不足道的。更好的是，你可以使用他们的GeoIP更新程序或直接下载补丁。这样，您一开始只下载名义上无关紧要的更新，并且可以在将它们合并到数据库之前自己检查它们。你将为每个人节省带宽。