<html xmlns="http://www.w3.org/1999/xhtml"><head> <title></title> <meta name="viewport" content="width=device-width, initial-scale=1.0, user-scalable=no"> </head> <body style="font-family:Helvetica;color:#000000;font-size:13px;"><div id="CanaryBody"> <div> Hi,</div><div><br></div><div>Thank you for reporting this.</div><div><br></div><div>We do have a link to “Verify Tor Browser Signature” on that page as well as a link to the signatures themselves under the "Advanced Install Options” link.</div><div><br></div><div>We appreciate your feedback, this will help us evaluate ways to highlight this process and make it more visible from the main download page. </div><div><br></div><div>Pili</div> <div><br></div> </div> <div id="CanarySig"> <div> <div style="font-family:Helvetica;color:#000;font-size:13px;">—<div><span style="caret-color: rgb(96, 108, 118); color: rgb(96, 108, 118); font-family: -apple-system, "Helvetica Neue", Helvetica, Arial, sans-serif; letter-spacing: 0.12999999523162842px;">Project Manager: Tor Browser, UX and Community teams</span></div><div><font color="#606c76" face="-apple-system, Helvetica Neue, Helvetica, Arial, sans-serif"><span style="caret-color: rgb(96, 108, 118); letter-spacing: 0.12999999523162842px;">pili at torproject dot org </span></font></div><div><font color="#606c76" face="-apple-system, Helvetica Neue, Helvetica, Arial, sans-serif"><span style="caret-color: rgb(96, 108, 118); letter-spacing: 0.12999999523162842px;">gpg </span></font><font color="#4d5862">3E7F A89E 2459 B6CC A62F 56B8 C6CB 772E F096 9C45</font></div></div> <div><br></div> </div> </div> <div id="CanaryDropbox"> </div> <blockquote id="CanaryBlockquote"> <div> <div>On Saturday, Mar 30, 2019 at 10:44 PM, mwnx <<a href="mailto:mwnx@gmx.com">mwnx@gmx.com</a>> wrote:<br></div> <div>Hello,<br><br>The new download page [1] does not provide links to the signature<br>files needed to check that the provided tor browser bundles have<br>indeed been produced and/or approved by the tor browser team.<br><br>Such signatures are important for software in general, but it is<br>especially worrying when they are lacking from an inherently privacy<br>and security focused project like tor. In the end, I managed to find<br>the signature file by appending `.asc` to the bundle URL, but others<br>might not think of doing that, and besides, I feel like we should<br>promote security best practices by encouraging people to check the<br>signature.<br><br>While I'm at it, thank you all for your contributions to this<br>critical piece of FOSS software.<br><br>[1] https://www.torproject.org/download/<br><br>--<br>mwnx<br>GPG: AEC9 554B 07BD F60D 75A3 AF6A 44E8 E4D4 0312 C726<br>________________________________________________________________________<br>Tor Website Team coordination mailing-list<br><br>To unsubscribe or change other options, please visit:<br>https://lists.torproject.org/cgi-bin/mailman/listinfo/www-team<br></div> </div> </blockquote> </body></html>