Ви майже абсолютно праві. Єдине виправлення полягає в тому, що вони є хешами всього файлу.
Іноді файли можуть бути пошкоджені під час завантаження будь-яким способом їх передачі. Хеші є, щоб переконатися, що файл недоторканий. Особливо це корисно користувачам із поганим підключенням до Інтернету. Ще коли я використовував факс-модем, у мене часто виникали проблеми із пошкодженими завантаженнями.
Деякі менеджери завантажень (наприклад, GetRight, якщо я правильно пам’ятаю), навіть можуть автоматично обчислити хеш файлу і порівняти його з відомим значенням.
Ще один цікавий момент - безпека. Потенційна проблема з інструментами з відкритим кодом - наскільки ви можете довіряти дистриб'ютору. Найчастіше такі програми, як Eclipse, є основним інструментом, який використовують програмні компанії, і тому вкрай важливо перейти від розробника до користувача неушкодженим. Оскільки програми є відкритим кодом, можна, наприклад, зробити заражену версію, яка виглядатиме нормально, але просочити вихідний код на якийсь віддалений сервер або заразити програми, зроблені програмним забезпеченням вірусом (я думаю, що це насправді сталося з деякою версією Delphi) чи щось подібне. З цієї причини важливо мати офіційний правильний хеш, який можна використовувати, щоб перевірити, чи є розповсюджений файл тим, на що претендує.
Деякі думки про канали розповсюдження. Часто безкоштовне програмне забезпечення можна знайти на великій кількості сайтів, а на найбільш популярних сайтах, таких як SourceForge, наприклад, є велика кількість дзеркал. Скажімо, у Barland є сервер, який відображає великий веб-сайт із розповсюдження програмного забезпечення. FooSoft використовує програму, розповсюджувану по сайту, і вони знаходяться в Республіці Баз, яка знаходиться прямо біля Barland Якщо хтось захотів проникнути в FooSoft, він міг би змінити лише копію в дзеркалі Barland і сподіватися, що тоді програмне забезпечення геолокації переконається, що FooSoft отримає модифіковані версії. Оскільки версії інших дзеркал чудові, шанси на виявлення зловмисного програмного забезпечення нижчі. Ви також можете змусити зловмисне програмне забезпечення виявляти IP-адресу комп’ютера та активувати його, лише якщо він є з певного діапазону, і таким чином знижуються шанси на виявлення тощо.