Beiträge von ssy

Zitat von Sören Hentzschel

In meinem Artikel, den du verlinkt hast, steht nirgends der Link.

Das habe ich auch nicht behauptet. Ich habe auf wikipedia als Quelle einen Artikel bei DrWindows.de gefunden, der wiederum Deinen Artikel als Quelle angibt. Den habe ich gelesen und dadurch fiel bei mir der "Fenixgroschen".

Der Rest war Durchklicken auf mozilla.org.

Zitat von Sören Hentzschel

Aber da du den Link ja nun eh schon gefunden hast, habe ich ihn aus dem vorherigen Beitrag entfernt, [...]

Du entfernst einen Link auf ein offizielles, öffentlich zugängliches Mozilla FTP Verzeichnis aus meinem Post.

Das finde ich ziemlich verstörend.

M.E. war dieser Link kein Verstoß gegen Forenregeln und seine Entfernung mit diesen nicht rechtfertigbar.

Zitat von Sören Hentzschel

Aber da du den Link ja nun eh schon gefunden hast, habe ich ihn aus dem vorherigen Beitrag entfernt, damit niemand über diesen Thread auf schlechte Ideen kommt.

Hervorhebungen von ssy

Deine Begründung der Entfernung meines Links besteht aus zwei Aussagen:

1. ssy hat den Link gefunden
2. niemand soll über diesen Thread auf schlechte Ideen kommen

Zu 1.: Ja, ich habe den Link gefunden und damit mein Problem gelöst. Gepostet habe ich den Link aber nicht für mich. Mein Verständnis eines Forums beinhaltet das Teilen von Wissen mit mündigen Anderen und für eben diese war der Link gedacht.

Zu 2.: M.M.n. ist es nicht die Aufgabe von Forumadministratoren Mitglieder vor sich selbst zu schützen ("schlechte Ideen"). Schon der (ernstgemeinte?) Versuch erscheint mir absurd^[1].

Ist es nicht vielmehr Sinn eines Forums, dabei zu helfen, dass Mitglieder mittels Austausch von Gedanken, Meinungen und Erfahrungen selbst eine informierte Entscheidung treffen können^[2]?
Die "Idee" ein "google-freies-Handy" mit aktuellem LineageOS und firefox aus "offiziellen Quellen" zu nutzen ist meiner Meinung nach nicht "schlecht". Es gibt bei jeder "idee" Vor- und Nachteile, aber diese zu beurteilen und dann zu entscheiden, sollte m.M.n. dem Nutzer vorbehalten sein.

Weder 1. noch 2. rechtfertigen m.M.n. die Löschung von Teilen meines Posts.

Zitat von Sören Hentzschel

Ich rate ausdrücklich davon ab, eine Firefox-Version zu installieren, welche keine Updates erhält!

Ich rate ausdrücklich davon ab Windows oder Apple zu nutzen.

Ist aber nur meine Meinung.

Friedliche Grüße

Zitat von Sören Hentzschel

Die APK-Dateien gibt es auch von Mozilla selbst. Auf die verlinke ich aber Sicherheitsgründen nicht, weil darüber keine automatischen Updates möglich sind.

Jetzt hast Du mir doch dabei geholfen die APKs zu finden
Umstellung vom alten Firefox für Android auf Nachfolger „Fenix“ hat begonnen
Danke

Hallo Leute,

Zwischenstand meiner Bemühungen zur Verifikation des Zertifikats von Mozilla:

Ich hab mir von mozilla.org ein ähnliches apk heruntergeladen und die certificate und public key digests mit apksigner verglichen. Die stimmen überein.

Nach meinem - bescheidenen - Verständnis habe ich damit die Sicherheit, dass die beiden Pakete mit dem gleichen Signerzertifikat signiert wurden - also von Mozilla - und die Datei nicht verändert wurde.

Stimmt das?

Oder habe ich etwas Grundlegendes übersehen, miss-, nicht verstanden...

Grüße

Hallo Sören,

Danke für Deinen Beitrag.

Leider beantwortest auch Du mir meine eigentliche Frage nicht.

Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

Kann mir bei dieser Frage jemand helfen?

Danke im Voraus.

Grüße

Hi .DeJaVu,

Danke für Deine Mühe.

Grüße

Hallo .DeJaVu,

Zitat von .DeJaVu

Zitat von ssy

Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

Aber um auf diese Frage einzugehen. Das sind grundlegende Möglichkeiten innerhalb von Android. Wenn deines das nicht bietet, solltest du dich fragen, was so eine Alternative wirklich taugt.

Ich habe das apk auf meinen Linux-Desktop heruntergeladen und auf diesem mit den o.g. Tools überprüft. Hierbei spielt das installierte OS auf dem Handy m.E. keine Rolle. Bei erfolgreicher Prüfung käme dann der push des apk auf das Handy mit anschließender Installation.

Zur Überprüfung brauche ich m.E. die angefragten Fingerprints.

Zitat von .DeJaVu

Eine andere Frage dazu - wozu ist das überhaupt für dich wichtig?

Wenn du Firefox aus einer vertrauenswürdigen Quelle beziehst, ist sowas hinfällig.

Kannst du Firefox denn installieren? Falls ja, ist alles andere überflüssig.

Und ich denke, dass

CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US

ausreichend sein sollte für eine visuelle Kontrolle.

Alles anzeigen

Das sehe ich grundlegend anders.

"Vertraue auf Gott, aber binde Dein Kamel an"

Grüße

Hi .DeJaVu,

Danke für die schnelle Antwort.

Zitat von .DeJaVu

Auf F-Droid heisst es immer noch "Fennec", ist ne Macke von denen, als das Teil wirklich noch "Fennec" hiess.

https://f-droid.org/de/packages/org.mozilla.fennec_fdroid/

Danke für den Hinweis.

Zitat von .DeJaVu

Noch ältere Versionen findest du auf den etlichen apk mirror-Seiten, auf eigene Gefahr.

Zitat von ssy

Ich fand zwar schnell alternative Quellen

Ohne Quellenangabe wird das wohl kaum jemand so bestätigen können.

Firefox (Android)

Schnelles Surfen mit dem Smartphone

firefox.de.uptodown.com

Zitat von .DeJaVu

Zitat

lineageos

Ohne Google Play Store?

Ja.

Teil meines - für mich sehr herausfordernden - Wegs zu mehr Datenselbstbestimmung und -sicherheit auf meinem Handy ist die Ab[k|w]ehr von Google. Aber auch die Überprüfung von (beliebigen) Paketen vor der Installation.

Kannst Du mir noch bei meiner "Suche nach dem Zertifikat" weiterhelfen?

Grüße

Hallo Leute,

kurz: Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

lang: Ich habe lineageos auf meinem moto edge 30 installiert. Läuft soweit problemlos.

Nun würde ich gerne meinen liebgewonnenen Firefox installieren.

Leider gibt es keine firefox-xxx.apk bei F-Droid oder Mozilla (?).

Ich fand zwar schnell alternative Quellen, bin dann aber bei der Überprüfung der Authentizität des Downloads gescheitert.

Oder ich interpretiere die Ergebnisse meiner Überprüfung falsch.

:~> keytool  -printcert -jarfile firefox-116-0.apk  
Signaturgeber #1:
Certificate #1:
Eigentümer: CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US
Aussteller: CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US
Seriennummer: 4c72fd88
Gültig von: Tue Aug 24 01:00:24 CEST 2010 bis: Sat Jan 09 00:00:24 CET 2038
Zertifikatsfingerprints:
        SHA1: 92:0F:48:76:A6:A5:7B:4A:6A:2F:4C:CA:F6:5F:7D:29:CE:26:FF:2C
        SHA256: A7:8B:62:A5:16:5B:44:94:B2:FE:AD:9E:76:A2:80:D2:2D:93:7F:EE:62:51:AE:CE:59:94:46:B2:EA:31:9B:04
Signaturalgorithmusname: SHA1withRSA (disabled)
Public Key-Algorithmus von Subject: 2048-Bit-RSA-Schlüssel
Version: 3

oder

:~> apksigner verify --print-certs firefox-116-0.apk   
Verifies

Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): false
Verified using v3.1 scheme (APK Signature Scheme v3.1): false
Verified using v4 scheme (APK Signature Scheme v4): false
Verified for SourceStamp: false
Number of signers: 1
Signer #1 certificate DN: CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US
Signer #1 certificate SHA-256 digest: a78b62a5165b4494b2fead9e76a280d22d937fee6251aece599446b2ea319b04
Signer #1 certificate SHA-1 digest: 920f4876a6a57b4a6a2f4ccaf65f7d29ce26ff2c
Signer #1 certificate MD5 digest: b1e1bcee2733025ece9456e419a814a3
Signer #1 key algorithm: RSA
Signer #1 key size (bits): 2048
Signer #1 public key SHA-256 digest: aac36655156876c894b09d512e74a0c7bb3301a1c871f200820d099ef1520ae1
Signer #1 public key SHA-1 digest: 3d4fff78408b159058428bff8d07589a4c18aa8b
Signer #1 public key MD5 digest: fe669db38a1eae305b8573293e5c35d8

Nach meinem - sehr bescheidenen Verständnis - bedeutet das, dass die Datei firefox-116-0.apk seit der Signierung nicht geändert wurde., aber nicht, dass das verwendete Zertifikat authentisch ist. Zur Bestätigung der Authentizität muss daher m.E. eine Fingerprintüberprüfung des Zeritikats erfolgen.

Aber wie? Ich hab mir die Finger wund gesucht, aber nix dazu bei Mozilla gefunden. Und startpage findet nur die gleichen Fingerprints bei anderen apk-Downloadern. Oder blick ich "es" einfach nur nicht ?

Jede Hilfe herzlich willkommen und Danke im Voraus.

ssy