> теперь создается SHA256-хэш, что дает возможность следить за целостностью установленных
> файлов;" Мимо тазика: если огреть сплойтом либу/прогу - совсем не обязательно ее потом изменять/заменять. Вирус/бэкдор/чтотамеще прилетевшее через сплойт в дырявой либе/проге может ведь и в новый файл записаться, например :). Или вообще - ты только представь себе, возможен даже чисто in-memory бестелесный экспонатец. Например таковыми были некоторые инкарнации MSBlast-подобной заразы. Он есть в виде сетевых пакетов и содержимого RAM. А в виде файлов - вообше нету. Прилетело, заразило, насканило еще лохов, получилась орава завирусованых. Умрет при ребуте? Да не страшно, потом опять с соседней машины прилетит. Такие забавные самоходы живут себе своей жизнью в любой большой LAN с виндой и выбить их оттуда сложно.
> Да, этот подход также используется в подписанных JAR-файлах для распространения защищённых
> от подделок Java-приложений.
Достал ты уже своей явой. Кстати троянов на ней - есть. Не в последнюю очередь потому что подпись нормальным сертификатом стоит баблосов, свой сертификат более-менее стандартными методами добавить нельзя, в отличие от репов например, поэтому уйма легитимных разработчиков резонно давится жабой, и для юзеров совершенно нормально что мидлеты - без подписей.
> уже был установлен другим пакетом, то вместо дублирования данных создается жесткая
> ссылка.
Угу. А еще возможны разные версии либ в разных программах. Разные версии либ не обязаны быть 100.0% совместимы. В общем, если грамотно себе подгадить - можно столько веселых проблем потом поиметь :)))
> то есть из 207.41 Mb VLC 1.1.7_1 будет установлено в систему только то,
> что необходимо в конкретном окружении.
А качать придется 207.4 Мб, равно как и на сидюк влезет 2.5 программы типа VLC :)