Не могу понять, что за файлы Firefox у меня скачиваются? Ситуация такая:
Скачал установочный файл с оффициального сайта mozilla.org напрямую, браузером Firefox, который у меня уже установлен.
Потом решил проверить скачанный файл таким способом: скачал тот же установочный файл через TOR. Сверил хэши: хэши разные! Провожу такую проверку, потому что не доверяю тем, кто контролирует здесь интернет.
Версия файла та же, операционная система та же, язык тот же. Даже размер скачанных файлов совпадает до байта!
Файл имеет имя Firefox Setup 92.0.exe
Стал экспериментировать дальше: нажал New Circuit for this site в своём TOR. Скачал ещё раз. Хэш опять другой! Не поверил: повторил эксперимент ещё 5 раз. Скачиваются файлы, имеющие разный хэш. Размер одинаковый. Имя одинаковое. Сигнатура всех файлов валидная. Подписано: Mozilla Corporation.
Но файлы имеют разный хэш!
Вопрос такой:
почему через TOR скачивается другой установочный файл Firefox? Хотя этот другой файл по всем очевидным признакам то же самое? (отличается только хэш)
Почему через разные узлы сети TOR скачиваются разные установочные файлы Firefox?
Отсутствует
Gtrnx у меня хэши SHA256 и SHA512 совпали - всё окей. Другие алгоритмы не вижу смысла проверять. Скачивал через тор и без него.
Твой подход к сверке хэшей неправилен. Нужно сверять хэш, который указывает разработчик с тем хэшем, который получаешь ты из скачанного файла. выкладывает хэши для каждой версии своих продуктов - например, для Firefox 92.0 это хэши SHA256 и SHA512
Почему через разные узлы сети TOR скачиваются разные установочные файлы Firefox?
Видимо, это зависит от того в какой стране расположен выходной узел. Каждый раз после нажатия "New Circuit for this site" менялось и расположение выходного узла. Поэтому ты мог скачивать с разной локализацией (язык). Хэш в таком случае будет отличаться.
Отредактировано zzzephire (11-09-2021 23:16:06)
Отсутствует
Повторил эксперимент ещё раз. Вот этот файл скачан через тот firefox, который у меня установлен: https://www.virustotal.com/gui/file/fb2a1ae356544978332460a1b6d64c982fe09868063e64971e4ffe5a734bac20/details
Вот этот скачан через tor: https://www.virustotal.com/gui/file/dcfec47ed56c0b3ea7bc97caa8c35d08718e789dc7661d064b79948f98e5c374/details
Размеры этих двух файлов совпадают с точностью до байта. А хэши разные.
Первый хэш есть на странице https://ftp.mozilla.org/pub/firefox/releases/92.0/SHA256SUMS
Второго хэша там нет.
В связи с этим вопрос: почему через tor скачивается какой-то странный инсталлятор?
Отсутствует
Gtrnx
Сейчас скачал https://ftp.mozilla.org/pub/firefox/rel … 2092.0.exe через , а потом через Tor-браузер. Хэши совпали и соответствуют данным в SHA256SUMS.
Do you feel lucky, punk?
Отсутствует
Gtrnx
У меня такое уже было, сначала качал через vpn, а на следующи день напрямую, но тут бесполезно что-то доказывать.
Качайте отсюда, это не гарантирует идентичности, но по крайней мере вы исключите вероятность загрузки другого языка.
Отсутствует
Качаю со страницы https://www.mozilla.org/en-US/firefox/all/#product-desktop-release
Там можно выбрать локализацию явным образом, я, разумеется, выбираю одну и ту же локализаци.
С той страницы через обычный firefox и через TOR файлы почему-то скачиваются с разных серверов.
Через обычный firefox файлы скачиваются с download-installer.cdn.mozilla.net
Через TOR файлы скачиваются с сервера cdn.stubdownloader.services.mozilla.com
Наверно, это объясняет, почему хэши разные.
В чём разница между этими серверами?
Отсутствует
При помощи обычного firefox и TOR зашёл на страницу https://www.mozilla.org/en-US/firefox/all/#product-desktop-release
Выбрал одинаковые опции.
Нажал кнопку download
В результате опять скачались разные файлы.
Вот ссылка для firefox:
https://download-installer.cdn.mozilla.net/pub/firefox/releases/92.0/win64/en-US/Firefox%20Setup%2092.0.exe
Вот ссылка для TOR:
https://cdn.stubdownloader.services.mozilla.com/builds/firefox-latest-ssl/en-US/win64/8d190619276e416b799be85ad6f827e64d097b84f93fc5fecffcdba52d895567/Firefox%20Setup%2092.0.exe
Ссылки очень разные. К тому же, ссылка для TOR содержит какой-то хэш. С чего бы этО?
Отсутствует
Gtrnx
Если сравнить файлы побинарно, то в файле с https://cdn.stubdownloader.services.mozilla.com/ добавлена строка вида:
__MOZCUSTOM__:campaign%3D%2528not%2Bset%2529%26content%3D%2528not%2Bset%2529%26dltoken%3Daff558aa-d4c6-43f1-b453-70689a9c09c0%26experiment%3D%2528not%2Bset%2529%26medium%3D%2528direct%2529%26source%3D%2528other%2529%26ua%3Dfirefox%26variation%3D%2528not%2Bset%2529
Покопался в коде, наткнулся на Bug 1630809 - Support partner repacks which add attribution to Windows full installers в частности на https://hg.mozilla.org/mozilla-central/ … ion.rst#l5.
In contrast to :ref:`partner repacks`, attributed builds only differ from the normal Firefox
builds by the adding a string in the dummy windows signing certificate. We support doing this for
full installers but not stub. The parameters of the string are carried into the telemetry system,
tagging an install into a cohort of users. This a lighter weight process because we don't
repackage or re-sign the builds.
Похоже, что файл с https://cdn.stubdownloader.services.mozilla.com помечен этой строкой, чтобы сообщить через телеметрию в Mozilla о своей установке.
Do you feel lucky, punk?
Отсутствует
Это что же получается? Каждый раз, когда кто-то скачивает firefox через Tor, инсталлятор каким-то образом помечается? Ну, например, в файл внедряется какой-то хэш, а потом, при инсталляции, он через телеметрию о чём то сообщает кому-то?
И цифровая подпись остаётся действительной. Значит, а стороне сервера, который раздаёт файлы, на лету, в файл внедряется особая метка, а потом файл подписывают цифровой подписью mozilla ?? Ведь изменить запускаемый файл таким образом, чтобы цифровая подпись осталась действительной, - это задача не тривиальная.
И зачем бы этО?
Отсутствует
Gtrnx
Очень интересная ссылка. Сделаю грубый автоперевод:
Каждая загрузка Firefox имеет уникальный идентификатор
Мартин Бринкманн, 17 марта 2022 г.Интернет-пользователи, которые загружают веб-браузер Firefox с официального веб-сайта Mozilla, получают уникальный идентификатор, прикрепленный к установщику, который отправляется в Mozilla при установке и первом запуске.
Идентификатор, называемый внутри Mozilla dltoken, используется для связывания загрузок с установками и первыми запусками браузера Firefox. Идентификатор уникален для каждого установщика Firefox, что означает, что он передается в Mozilla всякий раз, когда он используется.
Хотя можно загружать новые установщики каждый раз при выпуске новой версии Firefox, для этой цели также можно снова использовать загруженный установщик.
Отчет об ошибке на официальном веб-сайте отслеживания ошибок Mozilla подтверждает использование токена загрузки. Связанный документ не является общедоступным, но сам листинг подтверждает использование и дает объяснение того, почему он был реализован:
Эти данные позволят нам сопоставить идентификаторы телеметрии с токенами загрузки и идентификаторами Google Analytics. Это позволит нам отслеживать, какие установки являются результатом каких загрузок, чтобы определить ответы на такие вопросы, как «Почему мы видим так много установок в день, но не так много загрузок в день?»
Согласно описанию Mozilla, идентификатор используется, помимо прочего, для анализа тенденций загрузки и установки.
Эта функция основана на телеметрии в Firefox и применяется ко всем каналам Firefox.
Заинтересованные пользователи могут проверить выводы. Один из самых простых способов — проверить хеши двух или более загрузок установщика Firefox (одной и той же версии, языка и архитектуры). Каждый хеш отличается. Поиск dltoken с помощью любого шестнадцатеричного редактора показывает строку в установщике Firefox.
Пользователи Firefox, которые предпочитают загружать браузер без уникального идентификатора, могут сделать это двумя способами:
Загрузите установщик Firefox из HTTPS-репозитория Mozilla (бывший FTP-репозиторий).
Загрузите Firefox со сторонних сайтов загрузки, на которых размещен установщик, например, с Softonic.Загруженные установщики не имеют уникального идентификатора, поскольку они идентичны при каждой загрузке.
Mozilla отмечает, что механизм отказа является стандартным механизмом отказа от телеметрии. Как пользователи могут отказаться до установки Firefox, неясно. Быстрая проверка установщиков Chrome каждый раз возвращала одинаковые хэши.
Теперь: как вы думаете, насколько полезна эта информация для Mozilla? (спасибо PMC за подсказку)
Резюме
Название статьи:
Каждая загрузка Firefox имеет уникальный идентификатор
Описание:
Интернет-пользователи, которые загружают веб-браузер Firefox с официального веб-сайта Mozilla, получают уникальный идентификатор, прикрепленный к установщику, который отправляется в Mozilla при установке и первом запуске.
Автор
Мартин Бринкманн
Издатель
Ghacks Technology NewsО Мартине Бринкманне
Мартин Бринкманн — журналист из Германии, который основал Ghacks Technology News еще в 2005 году. Он увлечен всеми технологиями и знает Интернет и компьютеры как свои пять пальцев. Вы можете следить за Мартином в Facebook или Twitter.
Отсутствует
Отсутствует