什么是可靠的来源加密哈希Mozilla 应用程序的值?
更新 1:来自的值http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/latest/MD5SUMS,A344903A030EC2CA9630407C9736FE11,与输出匹配md5sum(在赛格威1.7.1)在下载的文件上。
特别是MD5Windows 版本的哈希雷鸟3.0.1?有一个列在 本网站,但我认为只有来自 Mozilla 控制域的内容才值得信任。
背景:我已经下载了 Thunderbird 3.0.1,但无法控制从哪个服务器下载。我想确保文件没有被篡改。
答案1
答案2
摘要:查看 URLhttps://ftp.mozilla.org/pub/找到应用程序目录的“releases”子目录,在releases目录中找到确切的版本,并且在那里有带有SHA256和SHA512哈希值的签名文件。
公认的答案已有 11 年历史,自那时以来,Mozilla 至少对其下载基础设施进行了一次改造,对其发布存储库目录结构进行了至少两次改造。目前,要找到签名的 SHA256 和 SHA512 总和,您确实需要知道在哪里查找,Mozilla 并不容易找到它们。
现在 Mozilla 下载页面没有包含应用程序版本的下载 URL,您需要知道该版本才能找到哈希值。如果您无论如何都要下载该应用程序,只需查看下载文件的(默认)文件名即可。否则,运行类似于以下 Python3 脚本的脚本将找到该文件名,而无需实际下载整个文件:
import urllib.request
# cert_file = "MITM.crt"
latest_url = "https://download.mozilla.org/?product=firefox-latest&os=win64&lang=en-US"
request = urllib.request.Request(latest_url)
request.get_method = (lambda : 'HEAD')
orbo_inspect_active = False
response = urllib.request.urlopen(request) # if need custom cert add : cafile = cert_file
latest_filename = response.geturl()
latest_filename = latest_filename[latest_filename.rfind("/") + 1 : ]
print("FILENAME =", latest_filename)
# and then look at contents of appropriate subdirectory of
# https://ftp.mozilla.org/pub/firefox/releases/
然后可以在 URL 中找到 SHA256 文件
"https://ftp.mozilla.org/pub/{application_name:s}/releases/{version_string:s}/SHA256SUMS".format(...)
我不会发布我个人的检查签名的解决方案,因为每个人都有自己的偏好(例如,使用“subprocess”模块调用“gpg”,或使用加密 PyPI 包等...)。