Quanto sono sicure le copie di Firefox che si trovano su vari siti di mirror di Mozilla?

I download di Mozilla sono sempre firmati. Su Windows fai clic con il pulsante destro del mouse sul file scaricato e vai alla scheda "Firme digitali". Qui puoi vedere la firma (dovrebbe essere "Mozilla Corporation") e se è valida. Quando provi ad eseguire questo file dopo averlo scaricato dal web, riceverai comunque un avviso e vedrai la firma anche lì.

Non sono sicuro dei passaggi particolari per fare lo stesso su OS X, ma so che i file .dmg sono firmati e il sistema operativo può convalidare la firma per te.

Sono contento che tu abbia chiesto informazioni su Firefox, perché fanno qualcosa di funky.

Posso suggerire tre modi per convalidare un download:

• Il metodo più semplice è assicurarti di scaricarlo su HTTPS e da un sito con una buona reputazione e di cui ti fidi. (Non è un sito mirror.)
• Il più semplice è controllare la firma sul programma di installazione. Alcuni luoghi firmano l'installer e puoi controllare la firma come suggerisce Wladimir Palant e verificare che sia firmata dall'organizzazione che ti aspetti.
• Il metodo più difficile è ottenere separatamente un checksum hash del file corretto da un'origine attendibile, quindi verificare che l'hash di ciò che è stato scaricato corrisponda al checksum hash noto. Ma poi devi chiedere: come ci assicuriamo di avere l'hash corretto? Per questo, vedi le risposte sopra: puoi scaricarlo su HTTPS da una fonte affidabile e attendibile, oppure ottieni una versione firmata e poi convalidi in qualche modo che sia stata firmata dalla chiave giusta.

Tutti questi metodi presentano significative insidie. Quando esegui il download su HTTPS, devi assicurarti di non essere stato esposto a qualche catena di reindirizzamenti che ti riporta a HTTP. Quando si controlla la firma, è necessario assicurarsi che il firmatario corrisponda a ciò che si aspetta e che il nome dell'organizzazione sia corretto. Quando ottieni gli hash, devi assicurarti che l'hash sia affidabile, o è stata tutta una perdita di tempo.

Si scopre che il sistema di rilascio di Firefox rende particolarmente complicato scaricare una versione conosciuta di Firefox. Vedi questo post del blog per i dettagli. In sostanza:

• Se hai già installato Firefox e utilizzi il processo di aggiornamento automatico, Firefox offre una protezione avanzata per assicurarti di ottenere una copia valida del file binario aggiornato. Scarica il binario su HTTP da un sito mirror, ma scarica anche l'hash corretto su HTTPS direttamente da Mozilla e verifica che corrispondano prima di utilizzare il download. Quindi, utilizzare il processo di aggiornamento integrato di Mozilla è un metodo valido e sicuro.

• Se stai scaricando Firefox manualmente, allora buona fortuna. È molto difficile convalidare il download. Quando fai clic su Download, ti reindirizzano automaticamente a un sito mirror su HTTP, quindi non hai la protezione di HTTPS. Non sembra esserci alcun modo per scaricare i binari di Firefox direttamente da Mozilla su HTTPS. Fortunatamente, puoi scaricare gli hash di tutti i file, tramite HTTPS, qui: link Buono fortuna nel trovare quell'URL da solo senza passare attraverso HTTP; è un vero dolore. Questo aspetto del processo di distribuzione del software di Firefox potrebbe migliorare.

Sono un po 'difficili da trovare, ma Mozilla fornisce gli hash di tutti i file nella distribuzione corrente di firefox in:

link

Si noti che è possibile utilizzare lo stesso URL per scaricare firefox direttamente da Mozilla stesso, ignorando del tutto gli specchi.