?前段時(shí)間鬧得沸沸揚(yáng)揚(yáng)的xcode事件，迅雷也成了躺槍的一份子——有網(wǎng)友反映即使是從原始地址下載xcode，最終也中了病毒。

今天我也遇到了這個(gè)棘手的問(wèn)題。

晚上欲從jetbrains官網(wǎng)下載前端開(kāi)發(fā)IDE——WebStorm：https://www.jetbrains.com/webstorm/download/download_thanks.jsp?os=mac

獲取到https下的直接地址為：https://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg

因?yàn)榧依锞W(wǎng)不好，所以我特地購(gòu)買了迅雷VIP，使用迅雷離線+特殊通道加速下載：

因?yàn)閤code事件，正好我下的軟件也是開(kāi)發(fā)用的，所以我謹(jǐn)慎地對(duì)剛下載的WebStorm-10.0.4.dmg進(jìn)行了sha256檢查：

?如題，檢查了兩遍，發(fā)現(xiàn)結(jié)果是db3ea8555767465b4febf950ebed5d7ef83a634250a1c4f121e9bbe88ba9a687

這是其sha256的hash值。（我事后用https的鏈接+迅雷VIP下載了至少3次，得到的哈希都是db3ea8，說(shuō)明不是偶然BUG導(dǎo)致）

而令我恐懼的是，官網(wǎng)上給出的sha256值卻是：

https://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg.sha256

是截然不同的 ?0e444910001fc74b401c3b12738abedb823cc8064af53a304ce8e8c4d9d0ca6a ！

我害怕官網(wǎng)給的值不準(zhǔn)確或者是老版本的，我在日本vps（用vps下是因?yàn)樗俣容^快，理論上不影響測(cè)試結(jié)果）上用同一個(gè)鏈接wget下載了WebStorm：

結(jié)果卻和官網(wǎng)一樣。

我開(kāi)始慌了。

我在本地又測(cè)試了用http的下載鏈接 http://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg 下載了一次WebStorm，這一次hash的值正確無(wú)誤了：

那么https地址下載的鏈接究竟為何是錯(cuò)誤的？不知道。

萬(wàn)幸的是，我覺(jué)得這次事件可能與安全無(wú)關(guān)。因?yàn)槲蚁螺d的錯(cuò)誤的dmg是運(yùn)行不了，所以可能不是被人替換了安裝文件，而是別的什么原因造成了文件的錯(cuò)亂與錯(cuò)誤。

但此次下載的dmg無(wú)法運(yùn)行，不代表下一次，下兩次，下一百次下載的dmg無(wú)法運(yùn)行、不被別有用心的替換。

再就是，無(wú)法運(yùn)行原本就是一個(gè)巨大的BUG，為何我好不容易下載的軟件無(wú)法運(yùn)行？如果我不使用迅雷下載，是否下載的就可以運(yùn)行了？迅雷難道沒(méi)有檢查文件完整性、安全性的方法？

用正確的鏈接下載了一個(gè)錯(cuò)誤的文件，原本就是一個(gè)可怕的東西，因?yàn)橛脩舨⒉恢雷约合螺d的文件是什么，也許是一個(gè)木馬呢？

這個(gè)事情給我們提了個(gè)醒，迅雷下的東西很可能并不是我最初要求他下的東西。也警示我們?cè)谟么祟惾较螺d工具的時(shí)候，多檢查下載的東西是否被替換過(guò)了，檢查方法就是計(jì)算哈希。