The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla развивает средства верификации бинарных файлов Firefox

31.03.2017 19:44

В рамках проекта Binary Transparency для Firefox развивается возможность, которая предоставит средства для подтверждения корректности любых публично распространяемых бинарных файлов и даст гарантии, что файлы не содержат вредоносных изменений. В отличие от проверки пакетов по цифровой подписи и контрольной сумме, верификация затрагивает не общий архив, а непосредственно исполняемые или библиотечные файлы по отдельности, которые могут загружаться не только из официальных, но из сторонних источников.

Проверку планируется интегрировать в систему автоматической установки обновлений, которая будет проверять все предлагаемые для загрузки обновления. В дальнейшем наработки проекта выступят основой для формирования повторяемых сборок, позволяющих удостовериться, что бинарные файлы собраны из предоставленных исходных текстов, что позволит охватить и сторонние сборки.

Информация о всех бинарных файлах будет распространяться в виде лога, доступного для публичного аудита и размещаемого с использованием инфраструктуры Certificate Transparency. Для каждого выпуска будет создаваться отдельный сертификат X509 и присваиваться доменное имя, содержащее поддомен с хэшем на основе дерева Меркла, сконструированного на основе SHA256-хэшей связанных с релизом отдельных бинарных файлов. Например, с Firefox 51.0b9 будет связан поддомен вида 151ac...51-0b9.0.fx-trans.net.

Для верификации вначале загружаются только SHA256-хэши бинарных файлов и связанный с релизом сертификат. На основе SHA256-хэшей строится дерево Меркла и формируется доменное имя. Далее проверяется наличие сертификата в публичном и доступном для аудита логе Certificate Transparency, после чего проверяется соответствие сгенерированного доменного имени сертификату. Если всё в порядке, загружаются файлы с релизом и выполняется проверка соответствия заявленных хэшей SHA256 и бинарных файлов.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Google представил Key Transparency, альтернативу серверам криптографических ключей
  3. OpenNews: Проект Mozilla распределил 385 тысяч долларов между значимыми открытыми проектами
  4. OpenNews: Корпорации профинансируют обеспечение повторяемых сборок пакетов в дистрибутивах
  5. OpenNews: В NetBSD обеспечена поддержка повторяемых сборок
  6. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.0
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.5, Аноним (-), 23:19, 31/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Лучше бы сделали менее геморройную систему сборки.
     
     
  • 2.6, irinat (ok), 23:29, 31/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что с ней?
     
     
  • 3.7, Vombat (?), 23:34, 31/03/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    он просто Хромиум не собирал.
     
     
  • 4.9, Аноним (-), 00:09, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Сразу видно опытного гурмана, члена сообщества бесплатного браузера.
     
     
  • 5.10, Аноним (-), 00:12, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Сразу видно опытного гурмана, члена сообщества бесплатного браузера.

    Как там зонды, не слишком распирают?


     
     
  • 6.13, Аноним (-), 00:22, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Анон дело говорит.
    > https://www.opennet.ru/opennews/art.shtml?num=46291#8

    А ты и дальше кушай большой ложкой свою бесплатную шквабодку.

     
     
  • 7.22, Аноним (-), 00:56, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Анон дело говорит.
    >> https://www.opennet.ru/opennews/art.shtml?num=46291#8
    > А ты и дальше кушай большой ложкой

    Понимаю – зелен виногад, да и "зондом больше, зондом меньше".
    > свою бесплатную шквабодку.

    Что сказать-то хотели? Не можете собрать сами, с патчами - кушайте, что дают.
    Или вы про вантуз с эджем? Так там уже все в ЕУЛе расписано - с вас деньги и данные, с них обещание не продавать кому попало, а только проверенным партнерам:
    https://privacy.microsoft.com/en-us/privacystatement
    > We share data we collect with third parties such as AOL and AppNexus so that they can select and deliver some of the ads you see on our sites and apps, as well as other sites and apps serviced by these partners.
    >

     

  • 1.8, Аноним (-), 00:07, 01/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    О, это будет теперь, как с аддонами? Сначала вводим цифорвые подписи, всем говорим не волноваться, что никаких манипуляций через них не будет, пьюр трансперенси, секьюрити и прочая шелуха. А потом всех так же прокинут через одно место.
    Найс опенсорц!
     
     
  • 2.14, robux (ok), 00:29, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    "Упыри и вурдалаки приготовились к атаке" (с)

    Короче, тихой сапой закручивают гайки в мире ПО в целом и СПО в частности.
    Потом посадят агента влияния из департамента OSE/ЦРУ и будут всех несогласных резать: "этому давать ЭЦП (он встроил бэкдор), этому - не давать!"

     
     
  • 3.16, Аноним (-), 00:34, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А у вас лично, простите, кто гайки закручивает?
    Шквабодка принадлежит тому, кто её оплачивает, всё просто.
     
     
  • 4.40, Анонон (?), 11:56, 02/04/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Шквабодка

    К логопеду!

     

  • 1.12, Аноним (-), 00:20, 01/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы они повторяемые сборки сделали. А то какие это средства верификации, когда мозиле нужно доверять?
     
     
  • 2.17, Аноним (-), 00:38, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Лучше бы мы сделали

    Fixed!
    И жирно-жирно донатили за разработку полезной, нужной функциональности.

     
     
  • 3.26, Аноним (-), 02:31, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Лучше бы мы сделали
    >Fixed!

    Аферисты из мозилы, на секундочку, обули Yahoo на $100 млн. И теперь всему комьюнити предлагается пройти куда-подальше со всеми своими хотелками.
    Деньги, мол, есть и теперь МЫ будем пилить СВОЙ браузер. Который МЫ захотим, который НАМ будет удобно поддерживать. А вот вы все - разработчики аддонов все эти, всякие там пользователи вимператоров, три стайл табов, CTR-ов и т.д., все те отличные парни и девченки, благодаря которым яху и гуглы с яндексами вообще смотрели в сторону нашего кривого недоподелия - валите, куда хотите. Ваше мнение теперь никого не интересует.
    И плевать нам на ваши трудозатраты. Они же бесплатные. Мы еще, с определенного момента, перестанем подписывать ваши аддоны, если вы вдруг еще не поняли, кто тут холоп, ничтожество и чье мнение тут для нас ничего не значит.

    А так - да. Лучше мы бы сделали. И задонатили. И еще что-нибудь. Но в итоге мы имеем Palemoon, а мозилловские фан-бои - очередной хромоклон.

     
     
  • 4.29, Аноним (-), 07:08, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Тебя кто-то заставляет обновлять браузер?
     
     
  • 5.36, die_russofobs (?), 21:46, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    он вероятно плагино-писатель, так что заставляют... они руками пользователями, косвенно.
     
     
  • 6.37, die_russofobs (?), 21:47, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    * он вероятно плагино-писатель, так что заставляют... руками пользователей, косвенно.


     
  • 4.31, user (??), 10:03, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >МЫ будем пилить СВОЙ браузер

    Со смузями и покемонами!

     

  • 1.15, Андрей (??), 00:30, 01/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы разбили этот монстр на библиотеки, как в принято в свободном/открытом ПО! И другие смогут пользоваться, и проверять будет проще.
     
     
  • 2.19, Аноним (-), 00:42, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    /me глядя на over40MB blob
    Там ведь пара сотен мегабайт источников, кто в этом всём копается?
     
     
  • 3.38, die_russofobs (?), 22:00, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > /me глядя на over40MB blob
    > Там ведь пара сотен мегабайт источников, кто в этом всём копается?

    блоб win95 - весь был аж на 70 МБ - и это многих ужасало по началу,
    сейчас - win7-10 с их размерами при почти той же функциональности...
    ...не ужасает - только потому что привыкли,
    как и никсоиды - к размерам своих дистров, которые "типа не блобы",
    а вот мне - не понятно: зачем столько занимать той же бубунте, чем она лучше всё той же двадцати-летней win95[+опционально: GUI shell типа Astone с кучей реально-разных типов шелов!, размером в аж ~1 MB? не тормозя на последних даже из 486 или первых пнях66.6Mhz]
    - чтобы занимать и тормозить как гипер-размерные блобы что то там прячущие: win7-10?...

     
  • 2.32, user (??), 10:05, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >И другие смогут пользоваться

    Потому и не разбивают, что всякие Seamonkey смогут пользоваться.

     

  • 1.18, Аноним (-), 00:39, 01/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тут работы на пару вечерков, о чем новость?
     
     
  • 2.21, Crazy Alex (??), 00:49, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Когда аудитория - миллионы и надо чтобы работало у всех - "пара вечерков" запросто превращается в пару лет
     

  • 1.34, freehck (ok), 11:44, 01/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В отличие от проверки пакетов по цифровой подписи и контрольной сумме, верификация затрагивает не общий архив, а непосредственно исполняемые или библиотечные файлы по отдельности, которые могут загружаться не только из официальных, но из сторонних источников.

    Объясните кто-нибудь, что за ****** они опять страдают?
    У них 90% дополнений сейчас придут в негодность, а они хвастают тем, что очередной велосипед начали пилить?

     
     
  • 2.39, die_russofobs (?), 22:02, 01/04/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Объясните кто-нибудь, что за ****** они опять страдают?

    Создают видимость наличия защищённости пользователей в сети...

     

  • 1.35, Аноним (-), 12:34, 01/04/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мозилла опять занята непонятно чем. Web Driver доделайте, сволочи.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру