The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Mozilla развивает средства верификации бинарных файлов Firefox "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Mozilla развивает средства верификации бинарных файлов Firefox "  +/
Сообщение от opennews (??) on 31-Мрт-17, 22:55 
В рамках проекта Binary Transparency (https://wiki.mozilla.org/Security/Binary_Transparency) для Firefox развивается возможность, которая предоставит средства для подтверждения корректности любых публично распространяемых бинарных файлов и даст гарантии, что файлы не содержат вредоносных изменений. В отличие от проверки пакетов по цифровой подписи и контрольной сумме, верификация затрагивает не общий архив, а непосредственно исполняемые или библиотечные файлы по отдельности, которые могут загружаться не только из официальных, но из сторонних источников.


Проверку планируется интегрировать в систему автоматической установки обновлений, которая будет проверять все предлагаемые для загрузки обновления. В дальнейшем наработки проекта выступят основой для формирования повторяемых сборок, позволяющих удостовериться, что бинарные файлы собраны из предоставленных исходных текстов, что позволит охватить и сторонние сборки.


Информация о всех бинарных файлах будет распространяться в виде лога, доступного для публичного аудита и размещаемого с использованием инфраструктуры Certificate Transparency (https://www.certificate-transparency.org/). Для каждого выпуска будет создаваться отдельный сертификат X509 и присваиваться доменное имя, содержащее поддомен с хэшем на основе дерева Меркла (https://ru.wikipedia.org/wiki/TTH), сконструированного на основе  SHA256-хэшей связанных с релизом отдельных бинарных файлов. Например, с Firefox 51.0b9 будет связан поддомен вида 151ac...51-0b9.0.fx-trans.net.

Для верификации вначале загружаются только SHA256-хэши бинарных файлов и связанный с релизом сертификат. На основе SHA256-хэшей строится дерево Меркла и формируется доменное имя. Далее проверяется наличие сертификата в публичном и доступном для аудита логе Certificate Transparency, после чего проверяется соответствие сгенерированного доменного имени сертификату. Если всё в порядке, загружаются файлы с релизом и выполняется проверка соответствия заявленных хэшей SHA256 и бинарных файлов.


URL: https://news.ycombinator.com/item?id=13990732
Новость: https://www.opennet.ru/opennews/art.shtml?num=46291

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


5. "Mozilla развивает средства верификации бинарных файлов Firef..."  –2 +/
Сообщение от Аноним (??) on 31-Мрт-17, 23:19 
Лучше бы сделали менее геморройную систему сборки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Mozilla развивает средства верификации бинарных файлов Firef..."  +2 +/
Сообщение от irinat (ok) on 31-Мрт-17, 23:29 
А что с ней?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Mozilla развивает средства верификации бинарных файлов Firef..."  +9 +/
Сообщение от Vombat on 31-Мрт-17, 23:34 
он просто Хромиум не собирал.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Mozilla развивает средства верификации бинарных файлов Firef..."  –2 +/
Сообщение от Аноним (??) on 01-Апр-17, 00:09 
Сразу видно опытного гурмана, члена сообщества бесплатного браузера.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Mozilla развивает средства верификации бинарных файлов Firef..."  +3 +/
Сообщение от Аноним (??) on 01-Апр-17, 00:12 
> Сразу видно опытного гурмана, члена сообщества бесплатного браузера.

Как там зонды, не слишком распирают?


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Mozilla развивает средства верификации бинарных файлов Firef..."  –3 +/
Сообщение от Аноним (??) on 01-Апр-17, 00:22 
Анон дело говорит.
> https://www.opennet.ru/opennews/art.shtml?num=46291#8

А ты и дальше кушай большой ложкой свою бесплатную шквабодку.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Аноним (??) on 01-Апр-17, 00:56 
> Анон дело говорит.
>> https://www.opennet.ru/opennews/art.shtml?num=46291#8
> А ты и дальше кушай большой ложкой

Понимаю – зелен виногад, да и "зондом больше, зондом меньше".
> свою бесплатную шквабодку.

Что сказать-то хотели? Не можете собрать сами, с патчами - кушайте, что дают.
Или вы про вантуз с эджем? Так там уже все в ЕУЛе расписано - с вас деньги и данные, с них обещание не продавать кому попало, а только проверенным партнерам:
https://privacy.microsoft.com/en-us/privacystatement
> We share data we collect with third parties such as AOL and AppNexus so that they can select and deliver some of the ads you see on our sites and apps, as well as other sites and apps serviced by these partners.
>

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

8. "Mozilla развивает средства верификации бинарных файлов Firef..."  +5 +/
Сообщение от Аноним (??) on 01-Апр-17, 00:07 
О, это будет теперь, как с аддонами? Сначала вводим цифорвые подписи, всем говорим не волноваться, что никаких манипуляций через них не будет, пьюр трансперенси, секьюрити и прочая шелуха. А потом всех так же прокинут через одно место.
Найс опенсорц!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Mozilla развивает средства верификации бинарных файлов Firef..."  –2 +/
Сообщение от robux (ok) on 01-Апр-17, 00:29 
"Упыри и вурдалаки приготовились к атаке" (с)

Короче, тихой сапой закручивают гайки в мире ПО в целом и СПО в частности.
Потом посадят агента влияния из департамента OSE/ЦРУ и будут всех несогласных резать: "этому давать ЭЦП (он встроил бэкдор), этому - не давать!"

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Mozilla развивает средства верификации бинарных файлов Firef..."  –1 +/
Сообщение от Аноним (??) on 01-Апр-17, 00:34 
А у вас лично, простите, кто гайки закручивает?
Шквабодка принадлежит тому, кто её оплачивает, всё просто.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

40. "Mozilla развивает средства верификации бинарных файлов Firef..."  +2 +/
Сообщение от Анонон on 02-Апр-17, 11:56 
> Шквабодка

К логопеду!

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

12. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Аноним (??) on 01-Апр-17, 00:20 
Лучше бы они повторяемые сборки сделали. А то какие это средства верификации, когда мозиле нужно доверять?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Аноним (??) on 01-Апр-17, 00:38 
> Лучше бы мы сделали

Fixed!
И жирно-жирно донатили за разработку полезной, нужной функциональности.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

26. "Mozilla развивает средства верификации бинарных файлов Firef..."  +2 +/
Сообщение от Аноним (??) on 01-Апр-17, 02:31 
>> Лучше бы мы сделали
>Fixed!

Аферисты из мозилы, на секундочку, обули Yahoo на $100 млн. И теперь всему комьюнити предлагается пройти куда-подальше со всеми своими хотелками.
Деньги, мол, есть и теперь МЫ будем пилить СВОЙ браузер. Который МЫ захотим, который НАМ будет удобно поддерживать. А вот вы все - разработчики аддонов все эти, всякие там пользователи вимператоров, три стайл табов, CTR-ов и т.д., все те отличные парни и девченки, благодаря которым яху и гуглы с яндексами вообще смотрели в сторону нашего кривого недоподелия - валите, куда хотите. Ваше мнение теперь никого не интересует.
И плевать нам на ваши трудозатраты. Они же бесплатные. Мы еще, с определенного момента, перестанем подписывать ваши аддоны, если вы вдруг еще не поняли, кто тут холоп, ничтожество и чье мнение тут для нас ничего не значит.

А так - да. Лучше мы бы сделали. И задонатили. И еще что-нибудь. Но в итоге мы имеем Palemoon, а мозилловские фан-бои - очередной хромоклон.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Аноним (??) on 01-Апр-17, 07:08 
Тебя кто-то заставляет обновлять браузер?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Mozilla развивает средства верификации бинарных файлов Firef..."  –1 +/
Сообщение от die_russofobs on 01-Апр-17, 21:46 
он вероятно плагино-писатель, так что заставляют... они руками пользователями, косвенно.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Mozilla развивает средства верификации бинарных файлов Firef..."  –1 +/
Сообщение от die_russofobs on 01-Апр-17, 21:47 
* он вероятно плагино-писатель, так что заставляют... руками пользователей, косвенно.


Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

31. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от user (??) on 01-Апр-17, 10:03 
>МЫ будем пилить СВОЙ браузер

Со смузями и покемонами!

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

15. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Андрей (??) on 01-Апр-17, 00:30 
Лучше бы разбили этот монстр на библиотеки, как в принято в свободном/открытом ПО! И другие смогут пользоваться, и проверять будет проще.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Аноним (??) on 01-Апр-17, 00:42 
/me глядя на over40MB blob
Там ведь пара сотен мегабайт источников, кто в этом всём копается?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

38. "Mozilla развивает средства верификации бинарных файлов Firef..."  –2 +/
Сообщение от die_russofobs on 01-Апр-17, 22:00 
> /me глядя на over40MB blob
> Там ведь пара сотен мегабайт источников, кто в этом всём копается?

блоб win95 - весь был аж на 70 МБ - и это многих ужасало по началу,
сейчас - win7-10 с их размерами при почти той же функциональности...
...не ужасает - только потому что привыкли,
как и никсоиды - к размерам своих дистров, которые "типа не блобы",
а вот мне - не понятно: зачем столько занимать той же бубунте, чем она лучше всё той же двадцати-летней win95[+опционально: GUI shell типа Astone с кучей реально-разных типов шелов!, размером в аж ~1 MB? не тормозя на последних даже из 486 или первых пнях66.6Mhz]
- чтобы занимать и тормозить как гипер-размерные блобы что то там прячущие: win7-10?...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

32. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от user (??) on 01-Апр-17, 10:05 
>И другие смогут пользоваться

Потому и не разбивают, что всякие Seamonkey смогут пользоваться.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Аноним (??) on 01-Апр-17, 00:39 
Тут работы на пару вечерков, о чем новость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Crazy Alex (??) on 01-Апр-17, 00:49 
Когда аудитория - миллионы и надо чтобы работало у всех - "пара вечерков" запросто превращается в пару лет
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

34. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от freehck email(ok) on 01-Апр-17, 11:44 
> В отличие от проверки пакетов по цифровой подписи и контрольной сумме, верификация затрагивает не общий архив, а непосредственно исполняемые или библиотечные файлы по отдельности, которые могут загружаться не только из официальных, но из сторонних источников.

Объясните кто-нибудь, что за ****** они опять страдают?
У них 90% дополнений сейчас придут в негодность, а они хвастают тем, что очередной велосипед начали пилить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Mozilla развивает средства верификации бинарных файлов Firef..."  –1 +/
Сообщение от die_russofobs on 01-Апр-17, 22:02 
> Объясните кто-нибудь, что за ****** они опять страдают?

Создают видимость наличия защищённости пользователей в сети...

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

35. "Mozilla развивает средства верификации бинарных файлов Firef..."  +/
Сообщение от Аноним (??) on 01-Апр-17, 12:34 
Мозилла опять занята непонятно чем. Web Driver доделайте, сволочи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру