В конце августа, компания Oracle заявила об изъятии из обращения лицензии, позволяющей распространять бинарные сборки JDK в составе дистрибутивов Linux. На днях пользователи некоторых открытых Java-приложений столкнулись с новой проблемой - перестали действовать выданные открытым проектам сертификаты, на база которых были сформированы цифровые подписи для контроля подлинности jar-файлов при их запуске при помощи технологии Java Webstart или как апплетов. В частности, попытка запуска через Webstart таких продуктов как Java3D и JAI (Java Advanced Imaging) теперь завершается ошибкой.Представители Oracle пояснили, что с download.java.net были удалены старые сертификаты Sun, так как было выявлено, что их использование для цифровой подписи бинарных файлов сопряжено с риском появ...
URL: http://developers.slashdot.org/story/11/09/22/1217253/Oracle...
Новость: http://www.opennet.me/opennews/art.shtml?num=31829
прелесно, теперь будем ждать криов пользователей о неработающих приложениях :)
ну, крикуны о "свободной" java, что скажете?
Пожмём плечами и попросим проанализировать с точки зрения синтаксиса языка Java тот бинарный трэш, который находится в сертификатах.После чего рассказать нам, как он вообще с Java связан. ;)
Чуть-чуть подправят код программ, либо код самой открытой явы, чтобы она на этот сайт не лазила, можно например подправить исходники и сделать так, чтобы обращение было не к download.sun.com, а к vasya.narod.ru. А первый сейчас или редиректит на download.oracle.com, или некоторое время назад исходники уже меняли одновременно со сменой логотипов.
"Наши ученые чуть чуть подправят ось земли, Буш, не лезь в Ирак!"
Айрак - так, китaи - вот реальнaя им проблемa!
А что, есть смысл разводить с тобой тут дискуссию ? Тратить время на неадекватного, которому заведомо плевать на любые аргументы, только бы потроллить и развести флейм постов на на 100 ? Уволь, люби себя сам до изнеможения.
>> ну, крикуны о "свободной" java, что скажете?Первое, что можно сказать: покупать нужно сертификаты, чтобы приложение не ругалось на «самоподписанные». Аксиома, как бы?
> Первое, что можно сказать: покупать нужно сертификаты, чтобы приложение не ругалось на
> «самоподписанные». Аксиома, как бы?Comodo hacker смотрит на вас как на г-но :)). И правильно делает, вероятно.
>ну, крикуны о "свободной" java, что скажете?Крикун тут только один, причем он не видит разницы в сроках действия сертификатов удостоверяющих центров и открытого кода кроссплатформенной среды.
Вы вообще о чем? Свободная Java — это OpenJDK, в этой новости вообще не упоминается. Запрет на распространение Oracle JDK в дистрибутивах также к OpenJDK никакого отношения не имеет.
Инфраструктура PKI в Java в действии. И я рад, что она работает именно так, как задумывалась.Если разработчики приложений решили использовать цифровые подписи и сертификаты, то будьте добры следовать правилам Центра Сертификации и Авторизации (CA). Отозванные сертификаты с публичными ключами — не вчера такое придумано, и нужно понимать, что у каждого цифрового сертификата есть не только определённый срок действия, но и владелец (который может скоропостижно скончаться и немогущий более сопровождать свои цифровые подписи, публичные ключи и сертификаты).
> с публичными крючамиКрючи - по Фрейду, не?! :)
> Инфраструктура PKI в Java в действии. И я рад, что она работает именно так, как задумывалась.А, то-есть факап разработчиков и юзеров - это "just as planned"? oO
Тогда тебе должен также очень понравиться UEFI из соседней новости. Ведь если комп откажется загружать твою фрибзду как не секурную - это же будет правильно, так? :)
>> Инфраструктура PKI в Java в действии. И я рад, что она работает именно так, как задумывалась.
> А, то-есть факап разработчиков и юзеров - это "just as planned"? oOНу, после известных событий с компрометацией CA, пользователи уже перескачивали браузеры с обновлённым списком сертификатов, не так ли?
http://www.opennet.me/opennews/art.shtml?num=30010
Почему это не должно касаться других сертифицированных программ?
> Тогда тебе должен также очень понравиться UEFI из соседней новости.
> Ведь если комп откажется загружать твою фрибзду как не секурную - это же будет правильно, так? :)С точки зрения технологии это правильно, а с точки зрения субъективного восприятия — несовсем. Я на такое пока не подписывался и мне решать, перепрограммировать мою микросхему BIOS или нет. Если кучке компаний выгодно продвигать какое-то огороженное ото всех решение и нет никакого способа легально обеспечить доступ к этой технологии другим независимым от них производителям, то это называется "сговор" и ведёт к судебным разбирательствам. Как в случае с "переводом" проводного интернета только для пользователей продуктов Microsoft, а беспроводного интернета только для пользователей продукции Apple, надеюсь, прогрессивное мировое сообщество не отринет тот факт, что ОС должна быть отделена от железа и не представлять законченное программно-аппаратное нечто, как бы этого ни хотелось Apple.
>С точки зрения технологии это правильно, а с точки зрения субъективного восприятия — несовсем.угу.
Только когда речь про мс с виндой, то айзен - за бзд.
Когда об оракл с жабой - за жабу.решение вроде для безопасности, а две новости с безопасностью не связанные.
Зато связанные с темой - прав тот, у кого больше прав.
И похрен, покупал ты прогу или нет, сдохла компания или нет, а решит кто-то третий.
> Ну, после известных событий с компрометацией CA, пользователи уже перескачивали браузерыБолее того - MS вообще аж обновление ОС выпустил по этому поводу.
> с обновлённым списком сертификатов, не так ли?
> http://www.opennet.me/opennews/art.shtml?num=30010
> Почему это не должно касаться других сертифицированных программ?Наверное потому что
1) От отзыва фэйковых сертификатов - ни один сайт работать не перестал.
2) Отзыв не был сделан без предупреждения и по деланию левой пятки.
3) Если я доверяю мозилле формировать список дефолтных CA - это еще не значит что я настолько же буду доверять ораклу.>> Тогда тебе должен также очень понравиться UEFI из соседней новости.
>> Ведь если комп откажется загружать твою фрибзду как не секурную - это же будет правильно, так? :)
> С точки зрения технологии это правильно, а с точки зрения субъективного восприятия — несовсем.Ты уж определись: "или крестик сними, или трусы одень" (с) анекдот. На самом деле - идея может и не плохая, ЕСЛИ тебе дадут в руки руль. Тогда можно качественно огородить свою систему от руткитов и незваных гостей. Но тебе его как ты понимаешь не очень то хотят давать. Руль будет у MS, Apple и еще пары контор. А тебе останется только кушать то что они предложат. И в их прейскуранте как-то вообще замечено BSD. Ну и линуксов наверное тоже, кроме может парочки самых массовых, на сильно некоторых машинах.
> Я на такое пока не подписывался и мне решать, перепрограммировать мою микросхему BIOS или нет.
В случае UEFI последней версии решать это кажется будешь уже не ты. Могу объяснить что же тебе не нравится в субъективном восприятии. В субъективном восприятии это выглядит так: ты покупаешь вещь, но полное управление над ней ты не получаешь, а вместо этого кто-то другой ей будет управлять, и совсем не факт что в твоих интересах, а не против них. Вообще-то это скорее называется троянским конем, нежели truste'ом. Только представь себе. Можно расписать с точностью до программы что можно а что нельзя запускать. Какие файлы можно и нельзя открывать. Можно забабахать отличное DRM и годную цензуру. Соблазн велик, ему сложно сопротивляться.
> Если кучке компаний выгодно продвигать какое-то огороженное ото всех решение
> и нет никакого способа легально обеспечить доступ к этой технологии другим
> независимым от них производителям, то это называется "сговор" и ведёт к
> судебным разбирательствам.Как-то так, но мне почему-то кажется что юристы у MS сильные. Отбрехаются. Если им спускают с рук откровенный рэкет то уж какой-то там сговор и вовсе наверное спустят.
> Как в случае с "переводом" проводного интернета только для пользователей
> продуктов Microsoft, а беспроводного интернета только для пользователей
> продукции Apple, надеюсь, прогрессивное мировое сообщество не отринет тот факт,
> что ОС должна быть отделена от железа и не представлять законченное
> программно-аппаратное нечто, как бы этого ни хотелось Apple.Ну, такие как ты любители лизания зада сильного вендора и быдлопотребители добились своего - теперь вам и из писюков ифончик и ипадик сделают. Ну MS и интелу тоже бабла охота, или где? А если кто позволяет ставить себя в стойло и доить - значить надо поставить и доить!
> Можно забабахать отличное DRM и годную цензуру. Соблазн велик, ему сложно сопротивляться.Так, DRM — это есть расширение инфраструктуры PKI в сторону более гибкого управления цифровыми правами и доверием к выполняемым программам.
Что плохого в DRM? А ничего! Его бояться те, кто не знает как оно работает.
>> Можно забабахать отличное DRM и годную цензуру. Соблазн велик, ему сложно сопротивляться.
> Так, DRM — это есть расширение инфраструктуры PKI в сторону более гибкого
> управления цифровыми правами и доверием к выполняемым программам.Не "расширение", а применение. Не "более гибкого", а "всем строем, как сказал вооон тот дядя".
> Что плохого в DRM? А ничего! Его бояться те, кто не знает как оно работает.
Зонд поправь?
Когда "цифровыми правами и доверием к выполняемым" _мною програмами управляю _я - ничего плохого.
Когда разрешение на исполнение собранного или скачанного мною бинарника выдаёт какая-то левая коммерческая контора - ощущения совсем другие. Полный диапазон "радостных" -- от "а не прикроют ли Майкрософты биосы и загрузку не-УинДоузов на моей следующей мат-плате?" до "куда уплывут мои [вполне реальные] денежки, когда ""доверием"" торгуют всякие дижинотары с комодами?"
Но, мы видим, ты не беспокоишься -- здоровье бережёшь.
Только про "ничего страшного" и "бояться не надо" рассказывай в другом месте, кому другому.
> Так, DRM — это есть расширение инфраструктуры PKI в сторону более гибкого
> управления цифровыми правами и доверием к выполняемым программам.Я бы сказал, управление ОТЪЕМОМ прав у пользователя и управление НЕдоверием к пользователю. Точнее отразит суть.
> Что плохого в DRM? А ничего! Его бояться те, кто не знает как оно работает.
А я его не боюсь. Я его просто ненавижу. А за что любить средство одебиливания, отъема свободы, нае...лова и превращения клиента в быдло? Вот тут: http://lurkmore.ru/Trusted_Computing довольно жизненно и колоритно обрисовано что к чему. Даже долб...бы с лурка в состоянии понять когда их держат за лохов :)
Root cause нелюбви к DRM лежит в
1) Абузивном использовании фичи против пользователя купившего девайс (кто же любит оказываться в дураках за свои деньги?).
2) Возможность тотального контроля и диктатуры.
3) Обыдление пользователей.
4) Лохоразвод.
Любой факап связанный с цифровыми сертификатами - "just as planned".
К.О.
> Любой факап связанный с цифровыми сертификатами - "just as planned".Ну да, цифровой лохотрон в действии.
Т.е. нужно понимать что сторонние лица в любой момент могут сломать ПО которое ты используешь.
> Т.е. нужно понимать что сторонние лица в любой момент могут сломать ПО
> которое ты используешь.Не сторонние, а чётко определённые в ТВОЁМ сертификате, подписанном ИМИ.
Если разработчик сертифицировал своё ПО подписью центра сертификации (а CA может по чётко определённым причинам отозвать свою подпись и аннулировать свои сертификаты), то он сам себе разработчик, который знал, на что шёл.
> Не сторонние, а чётко определённые в ТВОЁМ сертификате, подписанном ИМИ.Добро пожаловать в мир смуты и страха. В мир UNTRUSTED computing. Где вас в любой момент могут НАГНУТЬ. Просто по желанию левой пятки какого-то больного на голову манагера. Ведь EPIC FAIL - наш друг и товарищ!
>> Не сторонние, а чётко определённые в ТВОЁМ сертификате, подписанном ИМИ.
> Добро пожаловать в мир смуты и страха. В мир UNTRUSTED computing. Где
> вас в любой момент могут НАГНУТЬ. Просто по желанию левой пятки
> какого-то больного на голову манагера. Ведь EPIC FAIL - наш друг
> и товарищ!В мире существет около 2000 независимых CA. Разработчику в любой момент можно воспользоваться услугами одного из них, которому доверяет пользователь его приложений.
Ну, или использовать self-signed сертификат. :))
Независимых? Мужик, вылазь из криокамеры. О независимости CA тебе расскажут ДЕРЕВЬЯ ДОВЕРИЯ.Валяй, убеди современный хром и сидящего за ним красноглаза, что твой самоподписняк - доверяемый. Ну, или фуррифокс - без разницы. И что его надо в хранилище корневых CA браузера положить. Валяй, убеди. А мне потом расскажешь - был у меня как-то веб-сервачок четыре года с самоподписным сертификатом. Не понаслышке знаю.
> Независимых? Мужик, вылазь из криокамеры. О независимости CA тебе расскажут ДЕРЕВЬЯ ДОВЕРИЯ.
> Валяй, убеди современный хром и сидящего за ним красноглаза, что твой самоподписняк
> - доверяемый. Ну, или фуррифокс - без разницы. И что его
> надо в хранилище корневых CA браузера положить. Валяй, убеди. А мне
> потом расскажешь - был у меня как-то веб-сервачок четыре года с
> самоподписным сертификатом. Не понаслышке знаю.Приветствую тебя, цирковой артист, использующий приемы гротеска и буффонады. Что-то я не пойму твоего потока сознания. Тебе не нравится, что первый встречный не может попасть в список доверенных корневых сертификатов браузера ? Не многовато ли чести ? Может ты и паспорт себе фломастером на тетрадном листе нарисовать желаешь ?
Рядовому разработчику ПО за глаза хватит обычного code signing сертификата, для получения которого нужно выполнить нехитрые требования http://www.ssl.ru/ru/info/instruction/ и заплатить 7000 руб за год.
> и заплатить 7000 руб за год.За воздух :)))). Осталось еще смс с текстом "не лох!" оправить на короткий номер. А как по мне - 7000 не лишние, я их себе оставлю. А вы участвуйте наздоровье в этом цифровом лохотроне. Comodo hacker уже показал вполне доступными методами что весь этот лохотрон о безопасности юзеров печется в последнюю очередь.
>> и заплатить 7000 руб за год.
> За воздух :)))). Осталось еще смс с текстом "не лох!" оправить на
> короткий номер. А как по мне - 7000 не лишние, я
> их себе оставлю. А вы участвуйте наздоровье в этом цифровом лохотроне.
> Comodo hacker уже показал вполне доступными методами что весь этот лохотрон
> о безопасности юзеров печется в последнюю очередь.Аааа, так ты хочешь чтоб за тебя кто-то бесплатно работал . Ну так иди убеди любого нотариуса выдать тебе бесплатно заверенную им копию паспорта. Как убедишь, возвращайся, а до этого момента избавь нас от своего очень ценного мнения, лады ?
> Аааа, так ты хочешь чтоб за тебя кто-то бесплатно работал .О, генерация ключа это такая зверская работа. И совсем не оплата за воздух. А чойта мне биткоиновая софтина аж 100 штук приватных ключей нашару генерит "про запас"? Это как-то в 100 раз поболее работы любого CA будет.
> Ну так иди убеди любого нотариуса выдать тебе бесплатно заверенную им копию паспорта.
При этом нотариус хоть какую-то работу делает. Он не может просто бесконечно тиражировать копию паспорта, ничего не делая сам. Кроме того, нотариус за вполне реальную работу просит куда более вменяемых денег, тогда как в CA вместо нотариуса вкалывают машины, рабочее время которых в таких объемах вообще практически ничего не стоит. А то что там еще толпа паразитов-менеджеров в 100500 человек и прочая - так потому и лохотрон. Бизнес на доверии? Ха, давайте лучше бизнес на серийных убийствах разведем? Это еще более аморально и куда лучше позволяет бороться с конкурентами :)
> Как убедишь, возвращайся, а до этого момента избавь нас от своего очень ценного мнения, лады ?
Не говорите мне что делать - и я не скажу куда вам следует пойти ;)
>> Ну так иди убеди любого нотариуса выдать тебе бесплатно заверенную им копию паспорта.
> При этом нотариус хоть какую-то работу делает. Он не может просто бесконечноУгу делает. Запись в книге, подпись и печать. Трудоемко.
> тиражировать копию паспорта, ничего не делая сам. Кроме того, нотариус за
> вполне реальную работу просит куда более вменяемых денег, тогда как вВменяемых ? http://www.notarius-spb.ru/price.html
Чтобы стать нотариусом необходимо потратить очень много сил и средств. Также по отношению к нотариусам действуют более суровые меры ответственности. Именно за это все он и берет с тебя деньги, а не за подпись и печать. Аналогично CA.> CA вместо нотариуса вкалывают машины, рабочее время которых в таких объемах
> вообще практически ничего не стоит. А то что там еще толпа
> паразитов-менеджеров в 100500 человек и прочая - так потому и лохотрон.Тебя окружает лохотрон. Любое государство - это большой лохотрон. И ты сам его часть.
> Бизнес на доверии? Ха, давайте лучше бизнес на серийных убийствах разведем?
> Это еще более аморально и куда лучше позволяет бороться с конкурентами
> :)Ну вот, смотри как чудесно, ты нашел себе отличную работу. Ничего делать не нужно, только сиди, греби бабос. Осталась сущая мелочь, закончить школу, поставить софт, выполнить нехитрые требования http://www.mozilla.org/projects/security/certs/policy/ для нескольких сотен популярных приложений, поддерживающих ssl, нанять 100500 манагеров и ты в шоколаде до конца дней. Действуй.
>> Как убедишь, возвращайся, а до этого момента избавь нас от своего очень ценного мнения, лады ?
> Не говорите мне что делать - и я не скажу куда вам
> следует пойти ;)Ты уже приступил ? Можешь не отвечать, ты теперь занят на ближайшие лет 10, мы все понимаем.
> Угу делает. Запись в книге, подпись и печать. Трудоемко.Более трудоемко чем сгенерить компом подпись, и стоит в разы дешевле тем не менее. Что как бы намекает нам на то что где-то завелся лохотрон, и юрист на его фоне - труженик сохи и мотыги вообще.
> Вменяемых ? http://www.notarius-spb.ru/price.html
Я что-то не вижу там уровня цен "7000 в год". Как бы они берут денег за подпись 1 раз за всю жизнь и явно менее 7000. Может быть, у вас сломался калькулятор? Или плохо с устным счетом?
> Чтобы стать нотариусом необходимо потратить очень много сил и средств. Также по
> отношению к нотариусам действуют более суровые меры ответственности. Именно за это
> все он и берет с тебя деньги, а не за подпись и печать. Аналогично CA.Ага, только юрист, выполняющий некое физическое действо почему-то берет в разы меньше чем CA где вообще работает компьютер, рабочее время которого намного деешвле любого юриста.
> Тебя окружает лохотрон. Любое государство - это большой лохотрон. И ты сам его часть.
Похоже, ваш главный мотив в жизни - "не нае...шь - не проживешь"? Не советую мне попадаться в узком месте с таким подходом к жизни.
> для нескольких сотен популярных приложений, поддерживающих ssl, нанять 100500 манагеров
> и ты в шоколаде до конца дней. Действуй.Не, спасибо, лохотроны меня не интересуют, предпочитаю оказываться в шоколаде более вкусными и более приятно пахнущими способами. А с учетом найденных в SSL проблем - лохотрончику видимо не долго жить уже осталось и что-то там будут менять, т.к. в текущем виде это тот еще бесполезняк, позволяющий разве что ловить лулзы всяким Comodo hacker'ам, натягивая тупое менеджерье в ту позу которую они заслуживают вместе с их бизнесами. Вот честно - если этот чудак на тропе войны утопит все эти лохотронные бизнесы - ему только спасибо можно сказать. Санитар леса в этом сраче явно необходим.
>> Не говорите мне что делать - и я не скажу куда вам следует пойти ;)
> Ты уже приступил ? Можешь не отвечать, ты теперь занят на ближайшие лет 10, мы все понимаем.А вы похоже тупее чем я думал.
> В мире существет около 2000 независимых CA. Разработчику в любой момент можно
> воспользоваться услугами одного из них, которому доверяет пользователь его приложений.Угу, а сколько из них уже доверяют comodo hacker-у? Этот тип недавно понтанулся что может уже делать и валидные шиндошс-апдейты. Вот будет лулзов если он вгрузит всем хомякам сразу что-нибудь смешное.
> Ну, или использовать self-signed сертификат. :))Ага, рассказывая каждому пользователю как инсталлировать новый корневой серт CA. Не, конечно вебмани так и делают, но вообще это довольно геморно. Катит только с теми кому действительно надо.
>Инфраструктура PKI в Java в действии. И я рад, что она работает именно так, как задумывалась.отваливая валидные программы?
Или может планировалось - хозяин всегда может отвалить валидные программы у не_хазяев?
>Отозванные сертификаты с публичными ключами — не вчера такое придумано, и нужно понимать, что у каждого цифрового сертификата есть не только определённый срок действия, но и владелецили кто-то большой может решить выкинуть парочку не_просроченных сертификатов, потому что так решил?
Да, именно так.Вообще говоря, выбирая CA для выпуска себе сертификатов, нужно тщательно ознакомиться с её P&PG.
И сразу два тезиса:
1. Ну и нафиг такое счатье управляемая из пентагона?
2. Ну если санки (и их правоприемник - оракл) не надёжны!...
> 2. Ну если санки (и их правоприемник - оракл) не надёжны!...Тогда, поскольку CA - о доверии, то вероятно оракл ну никак нельзя считать доверяемой ауторити, не так ли? :)
а какая разница? См. п.1зыж
вы когда-нибудь подписывали jar'ы на своём сайте?
>Представители Oracle пояснили, что с download.java.net были удалены старые сертификаты Sun, так как было выявлено, что их использование для цифровой подписи бинарных файлов сопряжено с риском появления потенциальных проблем безопасности. JAR-файлы не были удалены с download.java.net и могут быть использованы.определённо для download.java.net оракл самый CА из всех СА. он владелец.
и поскольку старые сертификаты сановские, то теперь они и оракловые - следовательно раз удалили, то как минимум новыми должны были переподписать.
вместо этого - удалили сертификаты молчком и эпитесь как хотите.
>нужно тщательно ознакомиться с её P&PG.Pen & Paper Games?
Короче - переведи.
> Pen & Paper Games?Похоже что оракл в последнее время как-то так и управляет своими ассетами :)))
P&PG? это вы о чем? :-)
> Вообще говоря, выбирая CA для выпуска себе сертификатов, нужно тщательно ознакомиться с её P&PG.А ничего что на момент выбора это вообще скорее всего сани были а не оракл? Вот вам и "доверие" - продали как стеклотару и нае...ли.