Fragen? Antworten! Siehe auch: Alternativlos
Dieser Link veranschaulicht das Problem.
Nun fragt sich vielleicht jemand, was daran so schlimm ist. Nehmen wir an, jemand hackt einen der Debian Mirrors und uploaded da ein bösartiges .deb-File, dann kann der so eine geänderte URL mit der MD5-Checksumme seines bösen Files verbreiten, und paranoide User werden dann nur das kompromittierte nehmen, weil bei den anderen die Checksumme ja nicht überein stimmt.
Update: Debian hat das Problem jetzt gefixt, indem sie … (haltet euch fest) die LÄNGE auf 16 festschreiben. Der alte Link geht jetzt nicht mehr, aber der hier geht noch. Inbesondere gehen noch falsche MD5-Checksummen! (Danke, Jan)