Validierung der gehosteten Dateien des Phishing-Reporter 3.0

Mit dem Phishing-Reporter 3.0 haben wir unser Build-System derart erweitert, dass für jedes individuelle Add-In ein eigens checksums.txt generiert wird. Dieses enthält Prüfsummen für alle relevanten Dateien des Add-Ins. Anhand der dazugehörigen Signatur checksums.txt.sig kann die Validität des checksums.txt überprüft werden.

Welche Vorteile biete die Validierung?

Der private Schlüssel der für die Erstellung der Signatur genutzt wird, ist lediglich in unserem Build-System verfügbar. Somit kann von aussen geprüft werden, ob die von unseren Webservern ausgelieferten Dateien auch wirklich diejenigen sind, die gemäss den Prüfsummen aktuell ausgeliefert werden sollen. Wir möchten Ihnen damit ein Möglichkeit bieten die Authentizität der augeführten Dateien zu prüfen.

Wie wird die Validierung durchgeführt?

Die Validierung kann mit einem von uns erstellten Skript validate-add-in.sh durchgeführt werden. Dies ist in unserem öffentlichen Bitbucket-Repository verfügbar. Beachten Sie dabei dass es sich um ein Bash-Skript handelt, die notwendigen Abhängigkeiten sind im Skript dokumentiert. Wird das Skript erfolgreich ausgeführt, wird die folgende Meldung gezeigt: Add-In passed all validation checks.