為何迷霧通等軟件的開發者沒有給出安裝包的校驗方式?

RIME輸入法亦是如此,既沒有哈希值,也沒有數字簽名,更別說GPG簽名了。

我看來是必要的,否則沒法確認下載到的安裝包是否安全(哪怕被篡改的可能性再低)

像這類軟件不應該比較重視安全性這一方面嗎?
其实我不是很明白为什么要有校验,如果他能控制发布页面,将挂在页面上发布的安装包替换为自己篡改的安装包,为什么不根据篡改后的安装包计算哈希之后,挂在原页面上

要发言请先登录注册