Ответ и выбор будут основаны на его / ее терпимости к риску и соображениях времени и усилий при проверке.
Проверка хэшей MD5 / SHA1 является хорошим первым шагом, и вы должны сделать это, когда у вас есть время. Однако вы должны учитывать свою способность доверять предоставленному хешу. Например, если веб-сайт автора с хешем взломан, то злоумышленник может изменить хеш, поэтому вы не узнаете. Если вычисляемый вами хэш не совпадает с предоставленным хешем, вы знаете, что что-то не так. Однако только то, что совпадение хэшей не гарантирует, что файл хорош.
Лучшей альтернативой для автора программного обеспечения для обеспечения целостности и подлинности является цифровая подпись распространяемых файлов . Это прикрепляет информацию о подлинности к файлу и не полагается на доверие к некоторому веб-сайту. Если автор подписывает файл цифровой подписью, единственный способ подделать это - скомпрометированный центр сертификации или кража ключа подписи разработчика. Оба эти случая гораздо реже, чем взломанный сайт в Интернете.
В конечном счете, вы должны провести свою собственную должную осмотрительность, чтобы определить, хотите ли вы доверять чему-либо, а затем принять контрмеры (запустить в песочнице, виртуальной машине и т. Д.), Чтобы смягчить любые неизвестные факторы или просчеты, которые вы допустили при принятии решения о том, доверять или нет. ,