Fingerprints "Mozilla Corporation"-Zertifikat zur Überprüfung der Authentizität (keytool/apksigner) eines Downloads

  • Version
    116-0

    Hallo Leute,

    kurz: Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

    lang: Ich habe lineageos auf meinem moto edge 30 installiert. Läuft soweit problemlos.

    Nun würde ich gerne meinen liebgewonnenen Firefox installieren.

    Leider gibt es keine firefox-xxx.apk bei F-Droid oder Mozilla (?).

    Ich fand zwar schnell alternative Quellen, bin dann aber bei der Überprüfung der Authentizität des Downloads gescheitert.

    Oder ich interpretiere die Ergebnisse meiner Überprüfung falsch.

    oder

    Nach meinem - sehr bescheidenen Verständnis - bedeutet das, dass die Datei firefox-116-0.apk seit der Signierung nicht geändert wurde., aber nicht, dass das verwendete Zertifikat authentisch ist. Zur Bestätigung der Authentizität muss daher m.E. eine Fingerprintüberprüfung des Zeritikats erfolgen.

    Aber wie? Ich hab mir die Finger wund gesucht, aber nix dazu bei Mozilla gefunden. Und startpage findet nur die gleichen Fingerprints bei anderen apk-Downloadern. Oder blick ich "es" einfach nur nicht :/?

    Jede Hilfe herzlich willkommen und Danke im Voraus.

    ssy

  • Auf F-Droid heisst es immer noch "Fennec", ist ne Macke von denen, als das Teil wirklich noch "Fennec" hiess.

    Noch ältere Versionen findest du auf den etlichen apk mirror-Seiten, auf eigene Gefahr.

    Ich fand zwar schnell alternative Quellen

    Ohne Quellenangabe wird das wohl kaum jemand so bestätigen können.

    Zitat

    lineageos

    Ohne Google Play Store?

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Hi .DeJaVu,

    Danke für die schnelle Antwort.

    Auf F-Droid heisst es immer noch "Fennec", ist ne Macke von denen, als das Teil wirklich noch "Fennec" hiess.

    https://f-droid.org/de/packages/org.mozilla.fennec_fdroid/

    Danke für den Hinweis. ;)

    Noch ältere Versionen findest du auf den etlichen apk mirror-Seiten, auf eigene Gefahr.

    Ich fand zwar schnell alternative Quellen

    Ohne Quellenangabe wird das wohl kaum jemand so bestätigen können.

    Firefox (Android)
    Schnelles Surfen mit dem Smartphone
    firefox.de.uptodown.com
    Zitat

    lineageos

    Ohne Google Play Store?

    Ja.

    Teil meines - für mich sehr herausfordernden - Wegs zu mehr Datenselbstbestimmung und -sicherheit auf meinem Handy ist die Ab[k|w]ehr von Google. Aber auch die Überprüfung von (beliebigen) Paketen vor der Installation.

    Kannst Du mir noch bei meiner "Suche nach dem Zertifikat" weiterhelfen?

    Grüße

  • Zitat

    uptodown

    Dein Ernst?

    https://www.apkmirror.com/ ohne Gewähr!

    Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

    Aber um auf diese Frage einzugehen. Das sind grundlegende Möglichkeiten innerhalb von Android. Wenn deines das nicht bietet, solltest du dich fragen, was so eine Alternative wirklich taugt.

    Eine andere Frage dazu - wozu ist das überhaupt für dich wichtig?

    Wenn du Firefox aus einer vertrauenswürdigen Quelle beziehst, ist sowas hinfällig.

    Kannst du Firefox denn installieren? Falls ja, ist alles andere überflüssig.

    Und ich denke, dass

    CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US

    ausreichend sein sollte für eine visuelle Kontrolle.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Hallo .DeJaVu,

    Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

    Aber um auf diese Frage einzugehen. Das sind grundlegende Möglichkeiten innerhalb von Android. Wenn deines das nicht bietet, solltest du dich fragen, was so eine Alternative wirklich taugt.

    Ich habe das apk auf meinen Linux-Desktop heruntergeladen und auf diesem mit den o.g. Tools überprüft. Hierbei spielt das installierte OS auf dem Handy m.E. keine Rolle. Bei erfolgreicher Prüfung käme dann der push des apk auf das Handy mit anschließender Installation.

    Zur Überprüfung brauche ich m.E. die angefragten Fingerprints.

    Das sehe ich grundlegend anders.

    "Vertraue auf Gott, aber binde Dein Kamel an"

    Grüße

  • Dann musst du halt selbst weitersuchen. Wenn du keine offiziellen Quellen nutzen kannst, oder willst, dann sieh zu, dass du auch eigene Lösungen dazu findest.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Hallo,

    Teil meines - für mich sehr herausfordernden - Wegs zu mehr Datenselbstbestimmung und -sicherheit auf meinem Handy ist die Ab[k|w]ehr von Google.

    Ohje. Vielleicht solltest du dann gar nicht erst Android nutzen, wenn Google so „böse“ ist und unbedingt gemieden werden muss? Einen rationalen Grund kann ich in dieser Begründung jedenfalls keinen erkennen.

    Du hast ganz sicher nicht mehr „Datenselbstbestimmung und -sicherheit“, indem du Firefox von einem unbekannten Dritten anststelle vom Hersteller selbst beziehst, dessen offizieller Distributionskanal nun einmal der Google Play Store ist. Der Bezug über den Google Play Store hat für dich vor allem die Vorteile, dass die Integrität gewährleistet ist, sprich du dir sicher sein kannst, dass du wirklich Firefox von Mozilla erhältst, dass die App durch Google zwecks Sicherheit geprüft worden ist und dass du automatisch Updates erhältst, was ebenfalls wichtig für die Sicherheit ist.

    Die APK-Dateien gibt es auch von Mozilla selbst. Auf die verlinke ich aber Sicherheitsgründen nicht, weil darüber keine automatischen Updates möglich sind.

    Von F-Droid / Fennec kann ich dir nur ausdrücklich abraten. Das ist ein von einem Dritten beschnittener Firefox und kein offizieller Firefox von Mozilla.

    PS: Wenn dir Sicherheit wichtig ist, sieh lieber zu, dass du deinen Firefox aktualisierst. Angegeben hast du zwar Firefox 116, aber hier im Forum online bist du immer noch mit Firefox 115.

  • Hallo Sören,

    Danke für Deinen Beitrag.

    Leider beantwortest auch Du mir meine eigentliche Frage nicht.

    Wo im Mozilla-Universum finde ich Fingerprints der Zertifikate, die von Mozilla zum signieren von firefox-xxx.apk verwendet werden?

    Kann mir bei dieser Frage jemand helfen?

    Danke im Voraus.

    Grüße

  • Hallo Leute,

    Zwischenstand meiner Bemühungen zur Verifikation des Zertifikats von Mozilla:

    Ich hab mir von mozilla.org ein ähnliches apk heruntergeladen und die certificate und public key digests mit apksigner verglichen. Die stimmen überein.

    Nach meinem - bescheidenen - Verständnis habe ich damit die Sicherheit, dass die beiden Pakete mit dem gleichen Signerzertifikat signiert wurden - also von Mozilla - und die Datei nicht verändert wurde.

    Stimmt das? :rolleyes:

    Oder habe ich etwas Grundlegendes übersehen, miss-, nicht verstanden...

    Grüße

    Einmal editiert, zuletzt von Sören Hentzschel (9. August 2023 um 21:06) aus folgendem Grund: Links entfernt

  • In meinem Artikel, den du verlinkt hast, steht nirgends der Link. Aber da du den Link ja nun eh schon gefunden hast, habe ich ihn aus dem vorherigen Beitrag entfernt, damit niemand über diesen Thread auf schlechte Ideen kommt.

    Ich rate ausdrücklich davon ab, eine Firefox-Version zu installieren, welche keine Updates erhält!

    Apropos, du nutzt immer noch Firefox 115…

  • In meinem Artikel, den du verlinkt hast, steht nirgends der Link.

    Das habe ich auch nicht behauptet. Ich habe auf wikipedia als Quelle einen Artikel bei DrWindows.de gefunden, der wiederum Deinen Artikel als Quelle angibt. Den habe ich gelesen und dadurch fiel bei mir der "Fenixgroschen".

    Der Rest war Durchklicken auf mozilla.org.

    Aber da du den Link ja nun eh schon gefunden hast, habe ich ihn aus dem vorherigen Beitrag entfernt, [...]

    Du entfernst einen Link auf ein offizielles, öffentlich zugängliches Mozilla FTP Verzeichnis aus meinem Post.

    Das finde ich ziemlich verstörend.

    M.E. war dieser Link kein Verstoß gegen Forenregeln und seine Entfernung mit diesen nicht rechtfertigbar.

    Aber da du den Link ja nun eh schon gefunden hast, habe ich ihn aus dem vorherigen Beitrag entfernt, damit niemand über diesen Thread auf schlechte Ideen kommt.

    Hervorhebungen
    von ssy

    Deine Begründung der Entfernung meines Links besteht aus zwei Aussagen:

    1. ssy hat den Link gefunden
    2. niemand soll über diesen Thread auf schlechte Ideen kommen

    Zu 1.: Ja, ich habe den Link gefunden und damit mein Problem gelöst. Gepostet habe ich den Link aber nicht für mich. Mein Verständnis eines Forums beinhaltet das Teilen von Wissen mit mündigen Anderen und für eben diese war der Link gedacht.

    Zu 2.: M.M.n. ist es nicht die Aufgabe von Forumadministratoren Mitglieder vor sich selbst zu schützen ("schlechte Ideen"). Schon der (ernstgemeinte?) Versuch erscheint mir absurd[1].

    Ist es nicht vielmehr Sinn eines Forums, dabei zu helfen, dass Mitglieder mittels Austausch von Gedanken, Meinungen und Erfahrungen selbst eine informierte Entscheidung treffen können[2]?
    Die "Idee" ein "google-freies-Handy" mit aktuellem LineageOS und firefox aus "offiziellen Quellen" zu nutzen ist meiner Meinung nach nicht "schlecht". Es gibt bei jeder "idee" Vor- und Nachteile, aber diese zu beurteilen und dann zu entscheiden, sollte m.M.n. dem Nutzer vorbehalten sein.

    Weder 1. noch 2. rechtfertigen m.M.n. die Löschung von Teilen meines Posts.

    Ich rate ausdrücklich davon ab, eine Firefox-Version zu installieren, welche keine Updates erhält!

    Ich rate ausdrücklich davon ab Windows oder Apple zu nutzen.

    Ist aber nur meine Meinung. ;)

    Friedliche Grüße

    4 Mal editiert, zuletzt von Sören Hentzschel (10. August 2023 um 08:10) aus folgendem Grund: Links angepasst / entfernt

  • Du entfernst einen Link auf ein offizielles, öffentlich zugängliches Mozilla FTP Verzeichnis aus meinem Post.

    Das finde ich ziemlich verstörend.

    M.E. war dieser Link kein Verstoß gegen Forenregeln und seine Entfernung mit diesen nicht rechtfertigbar.

    Die dort verlinkten Versionen besitzen keine Update-Funktion und stellen damit eine massive Sicherheitsgefährdung dar. Die von dir genannte Seite ist nicht für Endnutzer gedacht. Und mal davon abgesehen, dass die Forenregeln nicht jeden Fall explizit benennen müssen (§ 1.2 Geltungsbereich), führt dies für Nutzer sehr schnell zur Nutzung veralteter Firefox-Versionen, wofür es laut Forenregeln keinen Support in diesem Forum gibt (§ 5.2 Support zu veralteten Versionen). Selbst wenn du durchschnittlich drei Mal im Monat Firefox neu herunterlädst und deine alte Version überschreibst (was ich ehrlich gesagt auch nicht glaube), kannst du nicht gewährleisten, dass das jeder macht, der auf diesen Thread stößt und sich darüber Firefox herunterlädt. Nicht dass das überhaupt gerechtfertigt werden müsste; Aber die Entfernung des Links ist aus diesem Grund in jedem Fall im Sinne der Forenregeln. Es steht jedem frei, danach zu recherchieren, aber ohne Grund zur Verbreitung beitragen müssen wir auch nicht.

    Im Übrigen ist das kein FTP-Verzeichnis. Das denkst du vielleicht, weil du noch eine veraltete Domain abgespeichert hast, die aus Kompatibilitätsgründen noch funktioniert. Die „kanonische“ Domain ist eine andere. Aber das nur am Rande.

    Zu 1.: Ja, ich habe den Link gefunden und damit mein Problem gelöst. Gepostet habe ich den Link aber nicht für mich. Mein Verständnis eines Forums beinhaltet das Teilen von Wissen mit mündigen Anderen und für eben diese war der Link gedacht.

    Das ist auch nett von dir gemeint gewesen. Aber als Betreiber dieses Forums ist es meine Aufgabe, übergeordnete Interessen abzuwägen. Und das Interesse, nicht die Sicherheit von Nutzern zu gefährden, ist um ein Vielfaches größer als das Interesse, einen Link zu verbreiten, den ohnehin kein Endnutzer als Quelle nutzen sollte, nur weil es ihn gibt.

    Zu 2.: M.M.n. ist es nicht die Aufgabe von Forumadministratoren Mitglieder vor sich selbst zu schützen ("schlechte Ideen"). Schon der (ernstgemeinte?) Versuch erscheint mir absurd[1].

    Ich kann nur hoffen, dass du mit dem Link nicht ernsthaft versuchst, mich zu beleidigen („Dummheit“), nur weil dir eine Entscheidung nicht gefällt. Aber selbstverständlich ist es die Aufgabe eines seriösen und verantwortungsbewussten Supports, Tipps in bester Absicht für den Nutzer zu geben und dementsprechend zu handeln. Und das schließt ausdrücklich nicht nur mich als Admininstrator ein, sondern auch alle Mitglieder dieser ehrenamtlichen Support-Gemeinschaft.

    Ist es nicht vielmehr Sinn eines Forums, dabei zu helfen, dass Mitglieder mittels Austausch von Gedanken, Meinungen und Erfahrungen selbst eine informierte Entscheidung treffen können[2]?

    Erstens ist das hier kein belangloses „Laber-Forum“, sondern die größte und wichtigste Support-Plattform zu Firefox im deutschsprachigen Raum. Auf das, was wir hier raten, müssen sich Menschen verlassen können. Wir tragen eine Verantwortung und müssen daher höhere Ansprüche haben als es beispielsweise bei Reddit der Fall wäre. Zweitens hast du von mir einen Input erhalten, der dir dabei helfen sollte, eine informierte Entscheidung zu treffen. Was du damit machst, bleibt dir überlassen. Drittens benötigt es für eine informierte Entscheidung nicht den Link auf den Download. Der Download ist der Schritt, nachdem bereits eine Entscheidung getroffen worden ist. Deine Argumentation passt also nicht.

    Die "Idee" ein "google-freies-Handy" mit aktuellem LineageOS und firefox aus "offiziellen Quellen" zu nutzen ist meiner Meinung nach nicht "schlecht". Es gibt bei jeder "idee" Vor- und Nachteile, aber diese zu beurteilen und dann zu entscheiden, sollte m.M.n. dem Nutzer vorbehalten sein.

    Natürlich entscheidet das der Nutzer selbst. Wer hat das in Frage gestellt? Und war es nicht gerade noch deine eigene Aussage, es ginge um den Austausch mit dem Ziel einer begründeten Entscheidung? Nichts anderes als einen Denkansatz hast du diesbezüglich erhalten.

    Weder 1. noch 2. rechtfertigen m.M.n. die Löschung von Teilen meines Posts.

    Das kannst du in deinem eigenen Forum gerne anders handhaben. Hier interessiert es mich ehrlich gesagt nicht, ob du das doof findest. Denn hier geht es nicht um dich, sondern um andere Nutzer. Für die Entfernung des Links gab es eine nachvollziehbare Begründung.

    Ich verweise neben den bereits genannten Paragraphen auch noch auf § 2.9 Moderation von Beiträgen, § 3.1 Entscheidungen des Teams sowie § 3.2 Verhalten bei Nicht-Einverständnis mit einer Entscheidung - wonach ich mir die ganze Diskussion eigentlich auch hätte sparen können. Aber ich hoffe wohl unterbewusst noch auf wachsendes Verständnis für die Situation…

    Ich rate ausdrücklich davon ab Windows oder Apple zu nutzen.

    Ist aber nur meine Meinung. ;)

    Hauptsache dir ist klar, dass du mit unsachlichen und kindischen Äußerungen dieser Art deine Glaubwürdigkeit reduzierst und damit automatisch auch deine anderen Aussagen abwertest. Würde ich nicht machen…