В рамках проекта Binary Transparency (https://wiki.mozilla.org/Security/Binary_Transparency) для Firefox развивается возможность, которая предоставит средства для подтверждения корректности любых публично распространяемых бинарных файлов и даст гарантии, что файлы не содержат вредоносных изменений. В отличие от проверки пакетов по цифровой подписи и контрольной сумме, верификация затрагивает не общий архив, а непосредственно исполняемые или библиотечные файлы по отдельности, которые могут загружаться не только из официальных, но из сторонних источников.
Проверку планируется интегрировать в систему автоматической установки обновлений, которая будет проверять все предлагаемые для загрузки обновления. В дальнейшем наработки проекта выступят основой для формирования повторяемых сборок, позволяющих удостовериться, что бинарные файлы собраны из предоставленных исходных текстов, что позволит охватить и сторонние сборки.
Информация о всех бинарных файлах будет распространяться в виде лога, доступного для публичного аудита и размещаемого с использованием инфраструктуры Certificate Transparency (https://www.certificate-transparency.org/). Для каждого выпуска будет создаваться отдельный сертификат X509 и присваиваться доменное имя, содержащее поддомен с хэшем на основе дерева Меркла (https://ru.wikipedia.org/wiki/TTH), сконструированного на основе SHA256-хэшей связанных с релизом отдельных бинарных файлов. Например, с Firefox 51.0b9 будет связан поддомен вида 151ac...51-0b9.0.fx-trans.net.Для верификации вначале загружаются только SHA256-хэши бинарных файлов и связанный с релизом сертификат. На основе SHA256-хэшей строится дерево Меркла и формируется доменное имя. Далее проверяется наличие сертификата в публичном и доступном для аудита логе Certificate Transparency, после чего проверяется соответствие сгенерированного доменного имени сертификату. Если всё в порядке, загружаются файлы с релизом и выполняется проверка соответствия заявленных хэшей SHA256 и бинарных файлов.
URL: https://news.ycombinator.com/item?id=13990732
Новость: http://www.opennet.ru/opennews/art.shtml?num=46291
Лучше бы сделали менее геморройную систему сборки.
А что с ней?
он просто Хромиум не собирал.
Сразу видно опытного гурмана, члена сообщества бесплатного браузера.
> Сразу видно опытного гурмана, члена сообщества бесплатного браузера.Как там зонды, не слишком распирают?
Анон дело говорит.
> https://www.opennet.ru/opennews/art.shtml?num=46291#8А ты и дальше кушай большой ложкой свою бесплатную шквабодку.
> Анон дело говорит.
>> https://www.opennet.ru/opennews/art.shtml?num=46291#8
> А ты и дальше кушай большой ложкойПонимаю – зелен виногад, да и "зондом больше, зондом меньше".
> свою бесплатную шквабодку.Что сказать-то хотели? Не можете собрать сами, с патчами - кушайте, что дают.
Или вы про вантуз с эджем? Так там уже все в ЕУЛе расписано - с вас деньги и данные, с них обещание не продавать кому попало, а только проверенным партнерам:
https://privacy.microsoft.com/en-us/privacystatement
> We share data we collect with third parties such as AOL and AppNexus so that they can select and deliver some of the ads you see on our sites and apps, as well as other sites and apps serviced by these partners.
>
О, это будет теперь, как с аддонами? Сначала вводим цифорвые подписи, всем говорим не волноваться, что никаких манипуляций через них не будет, пьюр трансперенси, секьюрити и прочая шелуха. А потом всех так же прокинут через одно место.
Найс опенсорц!
"Упыри и вурдалаки приготовились к атаке" (с)Короче, тихой сапой закручивают гайки в мире ПО в целом и СПО в частности.
Потом посадят агента влияния из департамента OSE/ЦРУ и будут всех несогласных резать: "этому давать ЭЦП (он встроил бэкдор), этому - не давать!"
А у вас лично, простите, кто гайки закручивает?
Шквабодка принадлежит тому, кто её оплачивает, всё просто.
> ШквабодкаК логопеду!
Лучше бы они повторяемые сборки сделали. А то какие это средства верификации, когда мозиле нужно доверять?
> Лучше бы мы сделалиFixed!
И жирно-жирно донатили за разработку полезной, нужной функциональности.
>> Лучше бы мы сделали
>Fixed!Аферисты из мозилы, на секундочку, обули Yahoo на $100 млн. И теперь всему комьюнити предлагается пройти куда-подальше со всеми своими хотелками.
Деньги, мол, есть и теперь МЫ будем пилить СВОЙ браузер. Который МЫ захотим, который НАМ будет удобно поддерживать. А вот вы все - разработчики аддонов все эти, всякие там пользователи вимператоров, три стайл табов, CTR-ов и т.д., все те отличные парни и девченки, благодаря которым яху и гуглы с яндексами вообще смотрели в сторону нашего кривого недоподелия - валите, куда хотите. Ваше мнение теперь никого не интересует.
И плевать нам на ваши трудозатраты. Они же бесплатные. Мы еще, с определенного момента, перестанем подписывать ваши аддоны, если вы вдруг еще не поняли, кто тут холоп, ничтожество и чье мнение тут для нас ничего не значит.А так - да. Лучше мы бы сделали. И задонатили. И еще что-нибудь. Но в итоге мы имеем Palemoon, а мозилловские фан-бои - очередной хромоклон.
Тебя кто-то заставляет обновлять браузер?
он вероятно плагино-писатель, так что заставляют... они руками пользователями, косвенно.
* он вероятно плагино-писатель, так что заставляют... руками пользователей, косвенно.
>МЫ будем пилить СВОЙ браузерСо смузями и покемонами!
Лучше бы разбили этот монстр на библиотеки, как в принято в свободном/открытом ПО! И другие смогут пользоваться, и проверять будет проще.
/me глядя на over40MB blob
Там ведь пара сотен мегабайт источников, кто в этом всём копается?
> /me глядя на over40MB blob
> Там ведь пара сотен мегабайт источников, кто в этом всём копается?блоб win95 - весь был аж на 70 МБ - и это многих ужасало по началу,
сейчас - win7-10 с их размерами при почти той же функциональности...
...не ужасает - только потому что привыкли,
как и никсоиды - к размерам своих дистров, которые "типа не блобы",
а вот мне - не понятно: зачем столько занимать той же бубунте, чем она лучше всё той же двадцати-летней win95[+опционально: GUI shell типа Astone с кучей реально-разных типов шелов!, размером в аж ~1 MB? не тормозя на последних даже из 486 или первых пнях66.6Mhz]
- чтобы занимать и тормозить как гипер-размерные блобы что то там прячущие: win7-10?...
>И другие смогут пользоватьсяПотому и не разбивают, что всякие Seamonkey смогут пользоваться.
Тут работы на пару вечерков, о чем новость?
Когда аудитория - миллионы и надо чтобы работало у всех - "пара вечерков" запросто превращается в пару лет
> В отличие от проверки пакетов по цифровой подписи и контрольной сумме, верификация затрагивает не общий архив, а непосредственно исполняемые или библиотечные файлы по отдельности, которые могут загружаться не только из официальных, но из сторонних источников.Объясните кто-нибудь, что за ****** они опять страдают?
У них 90% дополнений сейчас придут в негодность, а они хвастают тем, что очередной велосипед начали пилить?
> Объясните кто-нибудь, что за ****** они опять страдают?Создают видимость наличия защищённости пользователей в сети...
Мозилла опять занята непонятно чем. Web Driver доделайте, сволочи.