Door Anoniem: waarom tails niet gewoon op hun website aangeeft wat de hash van de download is, en uit hoeveel bytes de download bestaat. In plaats hiervan laten ze je een verifying addon installeren.
De Tails OS ontwikkelaars hebben het controleren van de SHA256 checksum en het flashen van het .IMG bestand op een bootable USB stick sterk vereenvoudigd. Dat is om het gebruik van Tails OS beter toegankelijk en meer frequent te maken. Een verificatie met GPG en flashen met DD vanaf de commandline kan uiteraard ook nog steeds:
https://tails.boum.org/install/expert/usb/index.en.htmlIn plaats van de addon te laden, kan je dus als je wil ook op genoemde link klikken om het zelf verifiëren,
en dit bestandje eventueel downloaden/opslaan (- save as - , to save your ass...)
Het risico van alleen het gebruik van die Tails verificatie add-on, op basis van het Let's Encrypt SSL certificaat van boum.org en de SHA256 hash, is evident, omdat zowel de betrokken CA organisatie, de download server zelf of de eigen webbrowser kan zijn gecompromitteerd. Verifieer om die reden ook altijd de GPG signature van het image bestand.
Overigens staat Tails versie 4.2.1 er aan te komen (met de laatste Firefox update / tor browser 9.0.4) Je kan hem hier en daar al downloaden, maar besef wel dat hij pas "stable" wordt geacht wanneer hij officieel uitkomt.
Tor Browser 9.0.3 onder Tails OS 4.2.0 is kwetsbaar vanwege Firefox CVE-2019-17026 IonMonkey. Dat is een gevaarlijk gat, want dat is een exploited 0day bug. Hopenlijk komt het Tails OS 4.2.1 stable image na de tests met Tor de nieuwe Browser 9.0.4 spoedig beschikbaar. Het goede nieuws is dat een Tails automactic upgrade eenvoudiger is geworden.
https://www.security.nl/posting/638503/Mozilla+dicht+actief+aangevallen+zerodaylek+in+Firefox