当我下载文件时，如果我不检查其完整性，我会面临哪些安全风险？

如果校验和发布在同一台服务器上，该服务器也承载下载，那么不检查就没有太大的安全风险。如果攻击者能够操纵下载，他也可能能够操纵校验和。所以主要问题是您可能没有检测到下载已损坏。

如果校验和是在与下载不同的服务器上提供的，则是另一种情况。如果校验和由受良好保护的服务器提供并通过 https 提供，那么下载的文件本身是否托管在问题较多的站点上并且没有 http 并没有多大关系，至少只要每个用户验证下载的文件匹配已发布的校验和。因此，在这种情况下，不验证校验和将是一个更大的安全风险。

从安全的角度来看，验证校验和可以让您避免可能允许恶意包含的文件渗入您的系统或网络的挫败感，哈希允许进行验证，以确保您下载的内容没有受到损害或不完整在下载到您的系统期间。

实际上，当他们在同一个站点上时，不需要它，没有真正的安全奖励。它仅在尝试验证来自另一个来源的文件是否是同一个文件时具有安全价值（尽管由于对许多典型错误检测哈希的碰撞攻击成功，即使这也可能是可疑的。）

在大多数情况下，提供它是为了确保您的下载成功。

您可能会收到损坏的文件或不完整的下载。这是不太可能的，但我想这是远程可能的，不完整的下载可能会以某种方式损坏系统。

我想这可能适用的一种情况是下载主板的固件更新或在应用之前不执行固件映像验证的情况。不检查可能意味着你用无效的固件来砖你的设备。不过，从安全的角度来看，这似乎不太可能产生任何影响。