Package Details: tor-browser-fr 8.0.8-1

Git Clone URL: https://aur.archlinux.org/tor-browser-fr.git (read-only)
Package Base: tor-browser-fr
Description: Tor Browser Bundle: Anonymous browsing using firefox and tor
Upstream URL: https://www.torproject.org/projects/torbrowser.html.en
Licenses: GPL
Submitter: None
Maintainer: atnanasi
Last Packager: atnanasi
Votes: 32
Popularity: 0.477870
First Submitted: 2012-10-14 19:57
Last Updated: 2019-03-26 04:36

Latest Comments

« First ‹ Previous 1 2 3 4 5 Next › Last »

Anonymous comment on 2015-01-19 23:04

La procédure pour linux et mac est identique, ici, vous utilisez juste un autre serveur de clef ;)

Si vous le voulez, vous pourriez même utiliser :
gpg --keyserver pgp.mit.edu --recv-keys 416F061063FEE659

ou encore plus simple :
gpg --recv-keys 416F061063FEE659

max-k commented on 2015-01-19 22:53

En fait ça c'est la procédure pour mac.

Sous Linux, il faut faire la commande suivante :

gpg --keyserver keys.mozilla.org --recv-keys 0x416F061063FEE659

++

Anonymous comment on 2015-01-19 22:37

Bonjour,

je n'ai pas tout compris non plus, mais apparemment, la nouvelle version de pacman aurait ajouté des contraintes point de vue sécurité (ce qui est bien !).

Et ici, comme il s'agit d'un package AUR, la clef de la mainteneuse Erinn Clark n'est pas ajoutée automatiquement dans le porte-clef de pacman, celui-ci ne contenant que celles des TU et des devs officiels. Il faut ajouter celle-ci à la main via la commande (trouvée sur la page https://www.torproject.org/docs/verifying-signatures.html.en) :

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659

Je me suis sans doute mal exprimé quand j'ai répondu à Mélodie (l'anglais n'étant pas mon point fort) : lorsque makepkg trouve un fichier .asc dont le nom est identique au paquet téléchargé, il vérifie automatiquement que celui-ci passe bien via GnuPG.
(vous pouvez vous reporter à la section "Mac Os X" de la page mentionnée ci-dessus)

Également, comme indiqué sur la page, et pour encore renforcer la sécurité, les sha256sum sont aussi contrôlés (dans mon commentaire anglais, j'ai oublié un mot, je voulais mettre "this is not the ONLY way security is ensured...")

Les clefs sont donc belles et bien vérifiées automatiquement, vous n'avez pas à vous en occuper ;-)

Bien à vous,

acaccia

teke commented on 2015-01-19 21:54

Bonjour,

Problème avec la vérification des signatures. Pendant longtemps les mises à jour ont fonctionnés sans problèmes, mais ce n'est plus le cas. J'ai le même soucis que Mélodie ci-dessous.

En fait, si j'ai bien compris la précédure, il faut vérifier à la main les sommes du paquet à chaques mises à jour. Si c'est bien ça, l'installation par AUR n'est absolument pas sure et il vaut mieux le faire à la main. Je me trompe?

N'est-il pas possible de faire vérifier les clés par le système normal de Arch?

Bonne semaine à tous.

Anty commented on 2014-09-26 19:19

hi,
The requested URL /dist/torbrowser/3.6.5/tor-browser-linux64-3.6.5_fr.tar.xz was not found on this server.

3.6.5 is not available,
now is 3.6.6
correct pkgbuild :)

Anty commented on 2014-09-26 19:16

Anonymous comment on 2014-06-16 19:47

Hi Mélodie,

First of all, I’m deeply sorry to answer this late, your message went to my spam folder for an unknown reason…

Actually, this is a really good question.

The signature is not checked this way for tor-browsers packages, please read this very interesting page coming from TorProject website: https://www.torproject.org/docs/verifying-signatures.html.en

So as you can see, signatures are provided in ".asc" file, but this is not the way security is ensured by the PKGBUILD.
Here, Tor Browser is controlled via its sha256sum (https://www.torproject.org/docs/verifying-signatures.html.en#BuildVerification)
Sha256sum are found there: https://www.torproject.org/dist/torbrowser/
(click on the version you want - at this moment, "3.6.2" - , then on "sha256sums.txt")
Then, your humble servant copy/paste them to the PKGBUILD, run the program "mkaurball" and submit it to AUR.

For your namcap's remarks:
- "any" isn’t right here: you can only have 32 or 64 bit package on tor website,
- we do not want to update MIME types' database for tor-browser,
- same as previous answer.

I hope I've clearly answered your questions.

Regards,
acaccia

melodie commented on 2014-06-14 12:01

Hi,

I get:
"==> Verifying source file signatures with gpg...
tor-browser-linux64-3.6.2_fr.tar.xz ... FAILED (unknown public key 416F061063FEE659)
"

It seems this message has not appeared in the comments since a while. What can I do to fix it?

Else, the namcap check command shows:
*****
tor-browser-fr W: No ELF files and not an "any" package
tor-browser-fr E: Mime type handler found. Add "update-desktop-database -q" to the install file
tor-browser-fr E: Dependency desktop-file-utils detected and not included (needed for update-desktop-database)

*****

I'll be waiting for answers here, especially regarding the unknown public key message.

Regards,
Mélodie

Anonymous comment on 2014-05-07 20:44

@hamgom95: thanks :-)

package updated : 3.6.1

hamgom95 commented on 2014-05-07 20:10

new tor version is 3.6.1
version 3.6 is NOT on the servers anymore
just have to change pkgver's and sha256sums's