Полезная информация

Юристы зарабатывают огромные деньги и славу, оперируя хорошим знанием законов. Правила форума — простой путь к успешному общению.

№111-09-2021 21:37:05

Gtrnx
Участник
 
Группа: Members
Зарегистрирован: 11-09-2021
Сообщений: 5
UA: Firefox 77.0

Поддельные установочные файлы Firefox?

Не могу понять, что за файлы Firefox у меня скачиваются? Ситуация такая:
Скачал установочный файл с оффициального сайта mozilla.org напрямую, браузером Firefox, который у меня уже установлен.
Потом решил проверить скачанный файл таким способом: скачал тот же установочный файл через TOR. Сверил хэши: хэши разные! Провожу такую проверку, потому что не доверяю тем, кто контролирует здесь интернет.
Версия файла та же, операционная система та же, язык тот же. Даже размер скачанных файлов совпадает до байта!
Файл имеет имя Firefox Setup 92.0.exe

Стал экспериментировать дальше: нажал New Circuit for this site в своём TOR. Скачал ещё раз. Хэш опять другой! Не поверил: повторил эксперимент ещё 5 раз. Скачиваются файлы, имеющие разный хэш. Размер одинаковый. Имя одинаковое. Сигнатура всех файлов валидная. Подписано: Mozilla Corporation.
Но файлы имеют разный хэш!

Вопрос такой:
почему через TOR скачивается другой установочный файл Firefox? Хотя этот другой файл по всем очевидным признакам то же самое? (отличается только хэш)
Почему через разные узлы сети TOR скачиваются разные установочные файлы Firefox?

Отсутствует

 

№211-09-2021 21:43:00

sonyas75
Участник
 
Группа: Members
Откуда: Ставрополь
Зарегистрирован: 22-03-2011
Сообщений: 557
UA: Firefox 91.0

Re: Поддельные установочные файлы Firefox?

Gtrnx
исходники открыты, забирай и компилируй. только проверить их не забудь.

Отсутствует

 

№311-09-2021 23:02:27

zzzephire
Участник
 
Группа: Members
Зарегистрирован: 29-12-2017
Сообщений: 791
UA: Chrome 92.0

Re: Поддельные установочные файлы Firefox?

Gtrnx у меня хэши SHA256 и SHA512 совпали - всё окей. Другие алгоритмы не вижу смысла проверять. Скачивал через тор и без него.
Твой подход к сверке хэшей неправилен. Нужно сверять хэш, который указывает разработчик с тем хэшем, который получаешь ты из скачанного файла. [mozilla] выкладывает хэши для каждой версии своих продуктов - например, для Firefox 92.0 это хэши SHA256 и SHA512

Gtrnx пишет

Почему через разные узлы сети TOR скачиваются разные установочные файлы Firefox?

Видимо, это зависит от того в какой стране расположен выходной узел. Каждый раз после нажатия "New Circuit for this site" менялось и расположение выходного узла. Поэтому ты мог скачивать [firefox] с разной локализацией (язык). Хэш в таком случае будет отличаться.

Отредактировано zzzephire (11-09-2021 23:16:06)

Отсутствует

 

№412-09-2021 01:17:12

Gtrnx
Участник
 
Группа: Members
Зарегистрирован: 11-09-2021
Сообщений: 5
UA: Firefox 77.0

Re: Поддельные установочные файлы Firefox?

Повторил эксперимент ещё раз. Вот этот файл скачан через тот firefox, который у меня установлен: https://www.virustotal.com/gui/file/fb2a1ae356544978332460a1b6d64c982fe09868063e64971e4ffe5a734bac20/details
Вот этот скачан через tor: https://www.virustotal.com/gui/file/dcfec47ed56c0b3ea7bc97caa8c35d08718e789dc7661d064b79948f98e5c374/details

Размеры этих двух файлов совпадают с точностью до байта. А хэши разные.

Первый хэш есть на странице https://ftp.mozilla.org/pub/firefox/releases/92.0/SHA256SUMS
Второго хэша там нет.
В связи с этим вопрос: почему через tor скачивается какой-то странный инсталлятор?

Отсутствует

 

№512-09-2021 02:17:49

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5245
UA: Firefox 93.0

Re: Поддельные установочные файлы Firefox?

Gtrnx
Сейчас скачал https://ftp.mozilla.org/pub/firefox/rel … 2092.0.exe через [firefox], а потом через Tor-браузер. Хэши совпали и соответствуют данным в SHA256SUMS.


Do you feel lucky, punk?

Отсутствует

 

№612-09-2021 10:34:41

zzzephire
Участник
 
Группа: Members
Зарегистрирован: 29-12-2017
Сообщений: 791
UA: Chrome 92.0

Re: Поддельные установочные файлы Firefox?

Gtrnx пишет

В связи с этим вопрос: почему через tor скачивается какой-то странный инсталлятор?

Это уже вопрос к тор, а не firefox

Отсутствует

 

№712-09-2021 17:26:22

_zt
Участник
 
Группа: Members
Зарегистрирован: 10-11-2014
Сообщений: 1419
UA: Firefox 78.0

Re: Поддельные установочные файлы Firefox?

Gtrnx
У меня такое уже было, сначала качал через vpn, а на следующи день напрямую, но тут бесполезно что-то доказывать.
Качайте отсюда, это не гарантирует идентичности, но по крайней мере вы исключите вероятность загрузки другого языка.

Отсутствует

 

№814-09-2021 03:41:55

Gtrnx
Участник
 
Группа: Members
Зарегистрирован: 11-09-2021
Сообщений: 5
UA: Firefox 77.0

Re: Поддельные установочные файлы Firefox?

Качаю со страницы https://www.mozilla.org/en-US/firefox/all/#product-desktop-release
Там можно выбрать локализацию явным образом, я, разумеется, выбираю одну и ту же локализаци.

С той страницы через обычный firefox и через TOR файлы почему-то скачиваются с разных серверов.
Через обычный firefox файлы скачиваются с download-installer.cdn.mozilla.net
Через TOR файлы скачиваются с сервера cdn.stubdownloader.services.mozilla.com
Наверно, это объясняет, почему хэши разные.
В чём разница между этими серверами?

Отсутствует

 

№914-09-2021 18:08:59

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5245
UA: Firefox 93.0

Re: Поддельные установочные файлы Firefox?

Gtrnx
Точные ссылки приведите.


Do you feel lucky, punk?

Отсутствует

 

№1014-09-2021 22:50:20

Gtrnx
Участник
 
Группа: Members
Зарегистрирован: 11-09-2021
Сообщений: 5
UA: Firefox 77.0

Re: Поддельные установочные файлы Firefox?

При помощи обычного firefox и TOR зашёл на страницу https://www.mozilla.org/en-US/firefox/all/#product-desktop-release
Выбрал одинаковые опции.
Нажал кнопку download

В результате опять скачались разные файлы.
Вот ссылка для firefox:
https://download-installer.cdn.mozilla.net/pub/firefox/releases/92.0/win64/en-US/Firefox%20Setup%2092.0.exe

Вот ссылка для TOR:
https://cdn.stubdownloader.services.mozilla.com/builds/firefox-latest-ssl/en-US/win64/8d190619276e416b799be85ad6f827e64d097b84f93fc5fecffcdba52d895567/Firefox%20Setup%2092.0.exe

Ссылки очень разные. К тому же, ссылка для TOR содержит какой-то хэш. С чего бы этО?

Отсутствует

 

№1115-09-2021 05:31:14

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5245
UA: Firefox 93.0

Re: Поддельные установочные файлы Firefox?

Gtrnx
Если сравнить файлы побинарно, то в файле с https://cdn.stubdownloader.services.mozilla.com/ добавлена строка вида:

Выделить код

Код:

__MOZCUSTOM__:campaign%3D%2528not%2Bset%2529%26content%3D%2528not%2Bset%2529%26dltoken%3Daff558aa-d4c6-43f1-b453-70689a9c09c0%26experiment%3D%2528not%2Bset%2529%26medium%3D%2528direct%2529%26source%3D%2528other%2529%26ua%3Dfirefox%26variation%3D%2528not%2Bset%2529

                                                                                                                                                                                                               

Покопался в коде, наткнулся на Bug 1630809 - Support partner repacks which add attribution to Windows full installers в частности на https://hg.mozilla.org/mozilla-central/ … ion.rst#l5.

In contrast to :ref:`partner repacks`, attributed builds only differ from the normal Firefox
builds by the adding a string in the dummy windows signing certificate. We support doing this for
full installers but not stub. The parameters of the string are carried into the telemetry system,
tagging an install into a cohort of users. This a lighter weight process because we don't
repackage or re-sign the builds.

Похоже, что файл с https://cdn.stubdownloader.services.mozilla.com помечен этой строкой, чтобы сообщить через телеметрию в Mozilla о своей установке.


Do you feel lucky, punk?

Отсутствует

 

№1228-09-2021 00:13:44

Gtrnx
Участник
 
Группа: Members
Зарегистрирован: 11-09-2021
Сообщений: 5
UA: Firefox 68.0

Re: Поддельные установочные файлы Firefox?

Это что же получается? Каждый раз, когда кто-то скачивает firefox через Tor, инсталлятор каким-то образом помечается? Ну, например, в файл внедряется какой-то хэш, а потом, при инсталляции, он через телеметрию о чём то сообщает кому-то?

И цифровая подпись остаётся действительной. Значит, а стороне сервера, который раздаёт файлы, на лету, в файл внедряется особая метка, а потом файл подписывают цифровой подписью mozilla ?? Ведь изменить запускаемый файл таким образом, чтобы цифровая подпись осталась действительной, - это задача не тривиальная.

И зачем бы этО?

Отсутствует

 

№1318-03-2022 08:24:05

momo2000
Участник
 
Группа: Members
Зарегистрирован: 03-09-2015
Сообщений: 228
UA: Firefox 98.0

Re: Поддельные установочные файлы Firefox?

https://www.ghacks.net/2022/03/17/each-firefox-download-has-a-unique-identifier/

Отсутствует

 

№1418-03-2022 22:27:38

Пандёнок
Участник
 
Группа: Extensions
Зарегистрирован: 04-11-2008
Сообщений: 5543
UA: Firefox 98.0

Re: Поддельные установочные файлы Firefox?

Gtrnx

Очень интересная ссылка. Сделаю грубый автоперевод:

Каждая загрузка Firefox имеет уникальный идентификатор
Мартин Бринкманн, 17 марта 2022 г.

Интернет-пользователи, которые загружают веб-браузер Firefox с официального веб-сайта Mozilla, получают уникальный идентификатор, прикрепленный к установщику, который отправляется в Mozilla при установке и первом запуске.

Идентификатор, называемый внутри Mozilla dltoken, используется для связывания загрузок с установками и первыми запусками браузера Firefox. Идентификатор уникален для каждого установщика Firefox, что означает, что он передается в Mozilla всякий раз, когда он используется.

Хотя можно загружать новые установщики каждый раз при выпуске новой версии Firefox, для этой цели также можно снова использовать загруженный установщик.

Отчет об ошибке на официальном веб-сайте отслеживания ошибок Mozilla подтверждает использование токена загрузки. Связанный документ не является общедоступным, но сам листинг подтверждает использование и дает объяснение того, почему он был реализован:

Эти данные позволят нам сопоставить идентификаторы телеметрии с токенами загрузки и идентификаторами Google Analytics. Это позволит нам отслеживать, какие установки являются результатом каких загрузок, чтобы определить ответы на такие вопросы, как «Почему мы видим так много установок в день, но не так много загрузок в день?»

Согласно описанию Mozilla, идентификатор используется, помимо прочего, для анализа тенденций загрузки и установки.

Эта функция основана на телеметрии в Firefox и применяется ко всем каналам Firefox.

Заинтересованные пользователи могут проверить выводы. Один из самых простых способов — проверить хеши двух или более загрузок установщика Firefox (одной и той же версии, языка и архитектуры). Каждый хеш отличается. Поиск dltoken с помощью любого шестнадцатеричного редактора показывает строку в установщике Firefox.

Пользователи Firefox, которые предпочитают загружать браузер без уникального идентификатора, могут сделать это двумя способами:

  1. Загрузите установщик Firefox из HTTPS-репозитория Mozilla (бывший FTP-репозиторий).
  2. Загрузите Firefox со сторонних сайтов загрузки, на которых размещен установщик, например, с Softonic.

Загруженные установщики не имеют уникального идентификатора, поскольку они идентичны при каждой загрузке.

Mozilla отмечает, что механизм отказа является стандартным механизмом отказа от телеметрии. Как пользователи могут отказаться до установки Firefox, неясно. Быстрая проверка установщиков Chrome каждый раз возвращала одинаковые хэши.

Теперь: как вы думаете, насколько полезна эта информация для Mozilla? (спасибо PMC за подсказку)

Резюме
Название статьи:
Каждая загрузка Firefox имеет уникальный идентификатор
Описание:
Интернет-пользователи, которые загружают веб-браузер Firefox с официального веб-сайта Mozilla, получают уникальный идентификатор, прикрепленный к установщику, который отправляется в Mozilla при установке и первом запуске.
Автор
Мартин Бринкманн
Издатель
Ghacks Technology News

О Мартине Бринкманне
Мартин Бринкманн — журналист из Германии, который основал Ghacks Technology News еще в 2005 году. Он увлечен всеми технологиями и знает Интернет и компьютеры как свои пять пальцев. Вы можете следить за Мартином в Facebook или Twitter.

Отсутствует

 

№1520-03-2022 08:57:51

momo2000
Участник
 
Группа: Members
Зарегистрирован: 03-09-2015
Сообщений: 228
UA: Firefox 98.0

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]