1 votos

¿Dónde puedo encontrar los hashes de las aplicaciones de Mozilla?

¿Cuál es una fuente fiable para hash criptográfico valores para las aplicaciones de Mozilla?


Actualización 1 el valor de http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/MD5SUMS A344903A030EC2CA9630407C9736FE11, coincide con la salida de md5sum (en Cygwin 1.7.1) en el archivo descargado.


En particular, ¿cuál es el MD5 para la versión de Windows de Thunderbird 3.0.1? Hay una lista en este sitio pero creo que sólo se puede confiar en los que provienen de un dominio controlado por Mozilla.

Antecedentes: He descargado Thunderbird 3.0.1, pero no he podido controlar de qué servidor. Me gustaría estar seguro de que el archivo no ha sido manipulado.

2voto

Borek Puntos 294

En el mozilla ftp , puede encontrar MD5 y SHA1 suma de comprobación.

Si lo necesitas, también puedes encontrar hashes para otras versiones de thunderbird o cualquier otro software de mozilla.

0voto

Ron Kaminsky Puntos 21

Resumen: buscar en la URL https://ftp.mozilla.org/pub/ para encontrar el subdirectorio "releases" del directorio de la aplicación, encontrar la versión exacta en el directorio "releases", y los archivos firmados con hashes SHA256 y SHA512 están allí.


La respuesta aceptada tiene 11 años, y Mozilla ha renovado su infraestructura de descargas al menos una vez desde entonces, y su estructura de directorios de repositorios de versiones al menos dos veces. Actualmente, para encontrar sumas firmadas SHA256 y SHA512 hay que saber realmente dónde buscar, Mozilla no las hace fáciles de encontrar.

Ahora las páginas de descarga de Mozilla no tienen URLs de descarga que incluyan la versión de la aplicación, y es necesario conocer esa versión para encontrar los hashes. Si de todos modos vas a descargar la aplicación, basta con mirar el nombre de archivo (por defecto) del archivo descargado. Si no, ejecutando un script similar al siguiente script de Python3 se encontrará ese nombre de archivo sin tener que descargar el archivo completo:

import urllib.request

# cert_file = "MITM.crt"

latest_url = "https://download.mozilla.org/?product=firefox-latest&os=win64&lang=en-US"

request = urllib.request.Request(latest_url)
request.get_method = (lambda : 'HEAD')

orbo_inspect_active = False

response = urllib.request.urlopen(request) # if need custom cert add : cafile = cert_file

latest_filename = response.geturl()
latest_filename = latest_filename[latest_filename.rfind("/") + 1 : ]

print("FILENAME =", latest_filename)

# and then look at contents of appropriate subdirectory of
#    https://ftp.mozilla.org/pub/firefox/releases/

y entonces el archivo SHA256 se encontraría en la URL

"https://ftp.mozilla.org/pub/{application_name:s}/releases/{version_string:s}/SHA256SUMS".format(...)

No voy a publicar mi solución personal para comprobar la firma porque cada uno tendrá su propia preferencia de cómo hacerlo (por ejemplo, invocar "gpg" usando el módulo "subproceso", o usar un paquete PyPI de criptografía, etc...).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: