Wo finde ich Hashes für Mozilla-Anwendungen?

1174
Peter Mortensen

Was ist eine zuverlässige Quelle für kryptographische Hashwerte für Mozilla-Anwendungen?

Update 1 : Der Wert von http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/MD5SUMS, A344903A030EC2CA9630407C9736FE11, entsprach der Ausgabe von md5sum (in Cygwin 1.7.1) in der heruntergeladenen Datei.

Was ist insbesondere der MD5- Hash für die Windows-Version von Thunderbird 3.0.1? Auf dieser Site ist eine aufgelistet, aber ich denke, nur denjenigen, die aus einer von Mozilla kontrollierten Domäne stammen, kann vertraut werden.

Hintergrund: Ich habe Thunderbird 3.0.1 heruntergeladen, konnte jedoch nicht von welchem ​​Server aus steuern. Ich möchte sichergehen, dass die Datei nicht manipuliert wurde.

1
Die Windows-Installationsprogramme von Mozilla sind ebenfalls selbst signiert. Sie können die Signaturinformationen in den Dateieigenschaften anzeigen. grawity vor 14 Jahren 0

1 Antwort auf die Frage

2
Studer

Auf dem Mozilla-FTP finden Sie die Prüfsumme MD5 und SHA1 .

Bei Bedarf können Sie auch Hashes für andere Versionen von Thunderbird oder andere Mozilla-Software finden.

Es scheint nur eine PGP-Signatur für die Windows-Version von Thunderbird 3.0.1 zu geben, http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/win32/en-US/ Is not a öffentlicher Schlüssel zum Überprüfen der Datei erforderlich? Wenn ja, welcher öffentliche Schlüssel wäre das? (ZB für die Bewerbung oder für Mozilla?) Peter Mortensen vor 14 Jahren 0
Schauen Sie sich nur diese Datei an (MD5-Datei, die ich oben verlinkt habe): http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/MD5SUMS -> dort sehen Sie "a344903a030ec2ca9630407c9736fe11 ./win32/en- US / Thunderbird Setup 3.0.1.exe " Studer vor 14 Jahren 0
@Studer: Ah ja. Vielen Dank. Peter Mortensen vor 14 Jahren 0
Es ist wichtig, GPG zu verwenden, um die Integrität der SHA1SUMS-Datei zu überprüfen. Es kann leicht während des Transports manipuliert werden, da die Site kein HTTPS verwendet. Matthew Flaschen vor 14 Jahren 1
@Matthew Flaschen: Woher kommt der öffentliche Schlüssel? Ist http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/KEY nicht auch unsicher? Peter Mortensen vor 14 Jahren 1
Im Idealfall bitten Sie jemanden, dem Sie vertrauen, den Schlüssel zu signieren (http://www.rubin.ch/pgp/weboftrust.de.html). Ich stimme jedoch zu einem bestimmten Zeitpunkt zu, dass sich die zusätzliche Überprüfung nicht lohnt. Matthew Flaschen vor 14 Jahren 0

Verwandte Probleme