¿Qué tan seguras son las copias de Firefox que se encuentran en varios sitios espejo de Mozilla?

Las descargas de Mozilla siempre están firmadas. En Windows, haga clic derecho en el archivo descargado y vaya a la pestaña "Firmas digitales". Allí puede ver la firma (debe ser "Mozilla Corporation") y si es válida. Cuando intentes ejecutar este archivo después de descargarlo desde la web, recibirás una advertencia de todos modos y verás la firma allí también.

No estoy seguro de los pasos específicos para hacer lo mismo en OS X, pero sé que los archivos .dmg también están firmados y que el sistema operativo puede validar la firma por usted.

Me alegra que hayas preguntado por Firefox, porque hacen algo raro.

Puedo sugerir tres formas de validar una descarga:

• El método más sencillo es asegurarse de descargarlo a través de HTTPS y de un sitio que tenga buena reputación y en el que confíe. (No es un sitio espejo).
• Lo siguiente más fácil es verificar la firma en el instalador. Algunos lugares firmarán el instalador, y usted puede verificar la firma como sugiere Wladimir Palant y verificar que esté firmada por la organización que espera.
• El método más difícil es obtener por separado una suma de comprobación de hash del archivo correcto de una fuente confiable, y luego verificar que el hash de lo que descargó coincida con la suma de comprobación de hash en buen estado. Pero luego tienes que preguntar: ¿cómo nos aseguramos de obtener el hash correcto? Para eso, vea las respuestas anteriores: o lo descarga a través de HTTPS de una fuente confiable y confiable, o obtiene una versión firmada y luego de alguna manera valida que fue firmada con la clave correcta.

Todos estos métodos tienen dificultades importantes. Al realizar la descarga a través de HTTPS, debe asegurarse de no haber estado expuesto a alguna cadena de redirecciones que lo lleve de vuelta a HTTP. Al verificar la firma, debe asegurarse de que el firmante coincida con quien espera y que el nombre de la organización sea correcto. Al obtener hashes, debe asegurarse de que el hash sea confiable, o todo fue una pérdida de tiempo.

Resulta que el sistema de lanzamiento de Firefox hace que sea especialmente difícil descargar una buena versión de Firefox. Consulte esta publicación del blog para obtener más información. En esencia:

• Si ya tiene Firefox instalado y usa el proceso de actualización automatizado, Firefox ofrece una protección sólida para asegurarse de obtener una copia válida del binario actualizado. Descarga el binario a través de HTTP desde un sitio de réplica, pero también descarga el hash correcto sobre HTTPS directamente desde Mozilla y comprueba que coincidan antes de usar la descarga. Por lo tanto, utilizar el proceso de actualización integrado de Mozilla es un método bueno y seguro.

• Si está descargando Firefox manualmente, buena suerte. Es muy complicado validar la descarga. Cuando hace clic en descargar, lo redirigen automáticamente a un sitio de réplica a través de HTTP, por lo que no tiene la protección de HTTPS. No parece haber ninguna forma de descargar los binarios de Firefox directamente desde Mozilla a través de HTTPS. Afortunadamente, puede descargar los hashes de todos los archivos, a través de HTTPS, aquí: enlace Bien suerte al encontrar esa URL por tu cuenta sin pasar por HTTP; Es un verdadero dolor. Este aspecto del proceso de distribución de software de Firefox podría mejorar.

Son un poco difíciles de encontrar, pero Mozilla proporciona hashes de todos los archivos en la distribución actual de Firefox en:

enlace

Tenga en cuenta que puede usar la misma URL para descargar Firefox directamente desde los mismos mozilla, evitando los espejos por completo.