Jawaban dan pilihan yang diambil akan didasarkan pada toleransi risikonya dan pertimbangan waktu dan upaya dalam verifikasi.
Memeriksa hash MD5 / SHA1 adalah langkah pertama yang baik dan Anda harus melakukannya ketika Anda punya waktu. Namun, Anda harus mempertimbangkan kemampuan Anda untuk mempercayai hash yang disediakan. Misalnya, jika situs web penulis dengan hash diretas, maka penyerang dapat mengubah hash, jadi Anda tidak akan tahu. Jika hash yang Anda hitung tidak sama dengan hash yang diberikan, Anda tahu ada sesuatu yang terjadi. Namun, hanya karena pencocokan hash tidak menjamin file tersebut baik.
Alternatif yang lebih baik bagi pembuat perangkat lunak untuk memberikan integritas dan keaslian adalah dengan menandatangani secara digital file yang didistribusikan. Ini melampirkan informasi keaslian ke file dan tidak bergantung pada kepercayaan beberapa situs web. Jika penulis menandatangani file secara digital, satu-satunya cara untuk memalsukan ini adalah otoritas sertifikat yang disusupi atau jika kunci tanda tangan pengembang dicuri. Kedua kasus ini jauh lebih kecil kemungkinannya daripada peretasan situs web di Internet.
Pada akhirnya, Anda harus melakukan uji tuntas sendiri untuk menentukan apakah Anda ingin mempercayai sesuatu dan kemudian mengambil tindakan balasan (dijalankan di kotak pasir, mesin virtual, dll.) Untuk mengurangi faktor-faktor yang tidak diketahui atau kesalahan perhitungan yang Anda buat saat memutuskan apakah akan percaya atau tidak. .