Бренден Айк (Brendan Eich), создатель языка JavaScript, занимающий пост технического директора Mozilla Corporation, предложил (https://brendaneich.com/2014/01/trust-but-verify/) организовать процесс независимой непрерывной верификации кодовой базы Firefox для того, чтобы гарантировать невозможность внедрения в продукт кода для осуществления слежки и других скрытых действий. Слепого доверия производителю и его заслуженной репутации недостаточно, так как действующие в США законодательные акты позволяют принудить производителя к совершению действий, идущих к разрез с теми принципами, которых они придерживаются в области безопасности и приватности.
По мнению Брендена, в условиях, когда производителям браузеров судебным путём может быть навязано внедрение скрытых возможностей, наилучшим ответом для проекта с открытой кодовой базой является организация непрерывного независимого аудита кода, проводимого при участии экспертов из разных стран и представителей сообщества. Смысл в навязывании скрытых возможностей теряется в условиях, при которых данные изменения неотвратимо будут выявлены силами независящими от производителя, на которого можно оказать давление.
Для реализации указанной идеи предлагается организовать независимый регулярный аудит исходных текстов Mozilla и обеспечить возможность верификации бинарных сборок. В частности, планируется организовать на 100% повторяемые сборки, при которых любой желающий может воспользовавшись доступными и прошедшими аудит исходными текстами для генерации бинарной сборки, полностью идентичной сборкам (совпадающей бит в бит), распространяемым с серверов проекта. Для верификации сборок планируется ввести в строй независимую автоматизированную систему проверки, которая исключит возможность скрытых внедрений в бинарную сборку на стадиях после сборки и в процессе компиляции.
URL: https://brendaneich.com/2014/01/trust-but-verify/
Новость: http://www.opennet.me/opennews/art.shtml?num=38839
Вот что Сноуден животворящий делает :)
А хватит сил на верификацию миллионов строк кода ещё и непрерывную, да и желательно бы не только у одной мозилы.
Хех, АНБ приложит все усилия к проверке кода и не дай Бог, там какая зараза закладочку заложила...
Интересно, а кто будет проверять проверяющие организации, которые в последнее время взялись всё проверять, на непричастность к спецслужбам?
Может это АНБшная кукла, просто одетая на другую руку?
я поддерживаю. Весь этот опенсорс просто фикция создающая илюзию защищенности.
То ли дело - корпорации, всерьез и солидно создающие иллюзию защищенности!
> То ли дело - корпорации, всерьез и солидно создающие иллюзию защищенности!За Ваши деньги — любой каприз!
>> То ли дело - корпорации, всерьез и солидно создающие иллюзию защищенности!
> За Ваши деньги — любой каприз!Клиент всегда прав, ога.
Наши деньги ваши сюрпризы?
Задача опенсорса вовсе не в защищённости.
Защищённость это побочный эффект, не более того.
У меня другой вопрос. А что помешает сборщику(чем будут собирать) разместить закладку во время компиляции "отаудированного" кода?
Ну как что, там жа написано воспроизводимость пакетов.
Это значит что будут (по крайней мере мне это так представляется) указаны параметры сборки и все её условия (версия компилятора и прочая херня) при которых будет из отаудированного кода получен размещённый в репозитории или на странице скачивания бинарник с точностью до контрольной суммы.
Как-то примерно так видимо.
О времена, о нравы!
Гражданин самой демократической страны в мире предлагает бороться с несправедливостью с помощью буквоедства, крючкотворства и софистики вместо того, чтобы, воспользовавшись своими демократическими правами, отменить закон.По теме:
Что, скоро Firefox будет поставлсять в виде браузера и отдельного (запрещённого, распространяемного в подворотнях на дискетах) патча?
> О времена, о нравы!
> Гражданин самой демократической страны в мире предлагает бороться с несправедливостью
> с помощью буквоедства, крючкотворства и софистики вместо того, чтобы, воспользовавшись
> своими демократическими правами, отменить закон.Закон то отменить они может и могут... но следить будут всегда ((
Закон-то
> Что, скоро Firefox будет поставлсять в виде браузера и отдельного (запрещённого, распространяемного в подворотнях на дискетах) патчаВесь свободный крипто-софт и кто его использует запрещены на территории СШП. Тем не менее им пользуются, по крайней мере за пределами. А там если захотят придраться, то посадют да ...
у тебя бардак в голове
> Весь свободный крипто-софт и кто его использует запрещены на территории СШП.А Шнайер в курсе такого вопиющего п...ца? И почему он еще на свободе?
ШнайДер-то?
Стань экспертом и не доверяй сам себе ... в кащенко...
Есть два лжеца: А1 и А2. А1 просит А2 подтвердить его слова. Делает ли это ложь правдой?
Намного более интересен случай, когда А2 не подтверждает его слова :)
Ничего, помимо тех двух твоих A1 и A2, найдутся ещё куча независимых B1...Bn, которые таки выведут ложь на чистую воду.
> воспользовавшись своими демократическими правами, отменить закон.В целях обеспечения национальной безопасности, некоторые права были упразднены.
А то вдруг неразумные граждане отменят важные и нужные законы, обеспечивающие безопасность этих граждан.
США сами виноваты в том, что вынуждены вводить такие законы. Лучший способ обеспечить безопасность - жить в мире со своими соседями. Но ведь день, власть и Игра так сладко пахнут и такие дарят эмоции, что невозможно оторваться..
> Лучший способ обеспечить безопасность - жить в мире со своими соседями.Немного не так. Лучший способ обеспечить свою безопасность - прогибаться под всех. Когда нет своих интересов, их можно не защищать.
Не боится воров только тот, у кого нечего красть.
>Не боится воров только тот, у кого нечего красть.Очевидная глупость, вор не может всегда точно знать есть ли ценности у потерпевшего.
Странно говорить об ограблении когда ничего не украдено. А если не было кражи, то кого считать потерпевшим?
> Очевидная глупость, вор не может всегда точно знать есть ли ценности у потерпевшего.Знает или не знает - совершенно без разницы. Главное - что он _не может_ украсть. Потому что нечего.
> Лучший способ обеспечить свою безопасность - прогибаться под всех.«…neither Liberty nor Safety.»
>> Лучший способ обеспечить свою безопасность - прогибаться под всех.
> «…neither Liberty nor Safety.»В нашем мире by design невозможно ни то, ни другое. Как это оправдать - дело десятое.
> В нашем мире by design невозможно ни то, ни другое. Как это оправдать - дело десятое.Это не надо оправдывать. Это не надо допускать. Но если тебе нравится быть в пролете и прогибаться под какие-то невменяемые закидоны левых личностей для более удобного попрания твоих же прав и интересов - флаг тебе в руки и барабан на шею. Но Франклин как бы намекнул нам, что так жить - не очень приятно, мягко говоря.
> Это не надо оправдывать. Это не надо допускать. Но если тебе нравится
> быть в пролете и прогибаться под какие-то невменяемые закидоны левых личностей
> для более удобного попрания твоих же прав и интересов - флаг
> тебе в руки и барабан на шею. Но Франклин как бы
> намекнул нам, что так жить - не очень приятно, мягко говоря.Да. Либо прогибаешь ты, либо прогибают тебя. Третьего не дано.
Напоминает тюремное: "Ты хочешь быть избитым или изнасилованным?"
ты прав. Государство - само по себе кнут, который необходимо упразднить. Враг самому себе, согражданам, и гражданам других стран. Муравьи разделили землю на территории, поставили границу, и демонстрируют силу одни перед другими.
> ты прав. Государство - само по себе кнут, который необходимо упразднить. Враг
> самому себе, согражданам, и гражданам других стран. Муравьи разделили землю на
> территории, поставили границу, и демонстрируют силу одни перед другими."С уважением, ваш коллега, белый либертарианец" (с)
Сомали ждет вас, поспешите посетить эту землю обетованную либертанизма.
> Сомали ждет вас, поспешите посетить эту землю обетованную либертанизма.власть держится на страхе.
Смысл государства - координация толпы. Из двух куч народа в условиях борьбы за ресурсы победит та, что смогла стать единым целым ("кулаком", "крепостью" и т.д.).То, что оно кнут, вопрос реализации.
> Смысл государства - координация толпы. Из двух куч народа в условиях борьбы
> за ресурсы победит та, что смогла стать единым целым ("кулаком", "крепостью"
> и т.д.).дикарис.
> То, что оно кнут, вопрос реализации.
если, как ты говоришь, оно создаётся для борьбы - то любая рандомная реализация будет кнутом.
>> Лучший способ обеспечить безопасность - жить в мире со своими соседями.
> Немного не так. Лучший способ обеспечить свою безопасность - прогибаться под всех.
> Когда нет своих интересов, их можно не защищать.
> Не боится воров только тот, у кого нечего красть.Прогибаться или просто уважать интересы других? Или самому стать вором?
США полным ходом идут к новому фашизму.
Буквоедство? Крючкотворство?
Ещё раз, вы этими словами назвали верифицируемые сборки?
Видимо он этими словами называет лазейки в законе, позволяющие обойти судебные решения.
Вас никого уже не вылечить.
Остается только ждать, пока эта мертвая земля не очистится сама, за вашей естественной убылью.
> О времена, о нравы!
> Гражданин самой демократической страны в мире предлагает бороться с несправедливостью
> с помощью буквоедства, крючкотворства и софистики вместо того, чтобы, воспользовавшись
> своими демократическими правами, отменить закон.Так венда же.
Вроде и права админские, а хрен что сделаешь. У SYSTEM приоритет выше. :(
> Вроде и права админские, а хрен что сделаешь. У SYSTEM приоритет выше. :(Когда нельзя но очень хочется, можно запустить программу от SYSTEM. Что, впрочем, не отменяет того факта что когда у системы больше прав чем у админа - это, извините, маразм.
>Вроде и права админскиеИтить вашу мать, где вы видели админские права у обычного юзера?
В реальности банят направо и налево за любую попытку повышения привилегий, а неограниченные права есть только у скрытых учётных записей.
> Итить вашу мать, где вы видели админские права у обычного юзера?Практически на всех виндах, с которыми с сталкивался, обычные юзеры работали под админской учеткой.
> В реальности банят направо и налево за любую попытку повышения привилегий
Вот как раз по этой причине.
>>Вроде и права админские
> Итить вашу мать, где вы видели админские права у обычного юзера?Я про то, что даже если поднимешь до админских — все равно ни черта прав нет.
Я правильно понимаю, США попытались их нагнуть для вставки зондов, и запретили об этом говорить? - а техдир таким образом дает понять что надо звонить в колокола?
Надо в Шереметьево офисы для штаб-квартир организовывать.
Ubuntu спасло то, что она никому на фиг не сдалась. Как и другие ОС с <1%.
> Не нашлось ни одного кто бы открыто сказал что их попросили, что их под угрозой закрытия заставили, поэтому они закрываются, но не сдаются
https://rally.org/lavabit#
Вот здесь он собирал деньги на новую, безопасную почтовую систему: http://www.kickstarter.com/projects/ladar/lavabits-dark-mail.../Оттуда же: P.S. For anyone who missed out on the kick starter project, but still wants to help with the dark mail development effort... there is a bitcoin address setup specifically for it: 19gy9ifMJuHoRbVpXBgtf6NTAT6PiDb8SQ
> Мои извинения. Один честный нашёлся.Честных людей гораздо более одного. И такого негодяя как ты будет ждать еще много неприятных открытий по этому поводу.
> Спасло?Везде, кроме Китая. Но там они сами навязались делать ГосТроянОС.
> Теперь стало можно утверждать, что
У вас опечатка в слове "модно".
Прикольно видеть 16 плюсов - обычно мну минусуют скорее)
Сейчас прикинул, что основной риск - SSL сертификаты, Мозилла же первыми начали говорить о фейках и удалять скомпроментированные.
На всех никаких аэропортов не хватит. Вопрос следует задать иначе - почему столь многим людям и странам внезапно стало нужно все о своих соседях? Это конечно было и раньше, но сейчас будто все с ума посходили.. Что, один начал и остальным захотелось подзаработать. Типа всех ненакажешь.. Вот же хитрожопые обезьяны.. И самое интересное - где же были все те граждане самой демократической страны, когда принимались такие законы? Видимо, наслаждались роскошью и удобством, а их тем временем кучка лиц просто по***ла.
Там же где и мы. Терроризм и угроза терроризма - ключевые слова.
> Там же где и мы. Терроризм и угроза терроризма - ключевые слова.Террористами от хорошей жизни тоже не становятся, знаете ли. Человека должно достаточно прилично припечь для того чтобы ему приспичило идти стрелять-убивать-взрывать-чтотамеще. Ну или ему должны основательно промыть мозги. А какого-нибудь Бин Ладена штаты сами же наполовину и вскормили вообще.
> Террористами от хорошей жизни тоже не становятся, знаете ли.Из зависти или религий (да-да, обычно из та тех религий, где говорят о "человеколюбии"). Реже - от безисходности.
> Из зависти или религий (да-да, обычно из та тех религий, где говорят
> о "человеколюбии"). Реже - от безисходности.По моим наблюдениям - "чаще от безысходности". Когда у врага ядерные ракеты, беспилотники, могучие истребители/бомбардировщики и прочая, а вы испытываете проблемы даже с созданием простой ракеты - только и остается что саботировать врага тихой сапой. Наиболее яркий пример такого явления - палестинцы. Ну а что им еще остается, если их гасят со всех сторон, государство создать не дают, etc. У них элементарно нет других опций для отстаивания своих интересов. Ну вот и получается что получается.
>> Из зависти или религий (да-да, обычно из та тех религий, где говорят
>> о "человеколюбии"). Реже - от безисходности.
> По моим наблюдениям - "чаще от безысходности". Когда у врага ядерные ракеты,
> беспилотники, могучие истребители/бомбардировщики и прочая, а вы испытываете проблемы
> даже с созданием простой ракеты - только и остается что саботировать
> врага тихой сапой. Наиболее яркий пример такого явления - палестинцы.А почему именно палестинцы, а не, например, северный Кавказ?
северный кавказ может построить любой универ любого уровня хоть днк взламывать хоть коллайдер свой делать. Только намекни - деньгами зальют, причем все кнопки на пультах будут из золота.У палестины сложнее с этим.
> северный кавказ может построить любой универ любого уровня хоть днк взламывать хоть
> коллайдер свой делать. Только намекни - деньгами зальют, причем все кнопки
> на пультах будут из золота.
> У палестины сложнее с этим.Это еще вопрос, что лучше - золотая клетка или нищая свобода.
>Для верификации сборок планируется ввести в строй независимую автоматизированную >систему проверкиА кто будет проверять эту автоматизированную систему сборки?
>>Для верификации сборок планируется ввести в строй независимую автоматизированную >систему проверки
> А кто будет проверять эту автоматизированную систему сборки?И зачем оно вообще надо, когда есть репозитории?
> И зачем оно вообще надо, когда есть репозитории?Целевая аудитория Firefox - пользователи Windows, вообще-то. Linux поддерживают только для галочки.
Прямая ложь.
Свидетельствую из ФайрФокса, который год беспроблемно работающего под Убунтой - в отличие от Оперы, например, которая не всегда даже запускалась.
> Свидетельствую из ФайрФокса, который год беспроблемно работающего под УбунтойЗнаем, знаем, как все беспроблемно работает у убунту- и арчеводов. Даже безотносительно конкретной программы.
> в отличие от Оперы, например, которая не всегда даже запускалась.
А никто и не говорит, что поддержка линукса в опере чем-то лучше.
> Знаем, знаем, как все беспроблемно работает у убунту- и арчеводов.Не знаю про арч, а вот про проблемы файрфокса в убунте я послушаю, пожалуй.
что за бред вы тут пишите?
> что за бред вы тут пишите?бред что фаерфокс в wine отзывчивее чем нативный, или вы о чем? Они никогда и не скрывали что основная аудитория это вендузятники.
> Они никогда и не скрывали что основная аудитория это вендузятники.Вполне разумные люди. Интересы 99% пользователей важнее интересов 1% пользователей.
В этом отличие разработчиков Firefox от разработчиков GNOME, например.
> бред что фаерфокс в wine отзывчивее чем нативный,Да вообще-то и нативный хорошо работает. Не вижу у него явных проблем. Более того, под виндой лис иногда крашится. В линухе он может месяц пахать без единого сбоя. Не знаю в чем там разница, но оно вот так.
> Да вообще-то и нативный хорошо работает. Не вижу у него явных проблем.
> Более того, под виндой лис иногда крашится. В линухе он может
> месяц пахать без единого сбоя. Не знаю в чем там разница,
> но оно вот так.Он и под линуксом. Иногда крашится. Это зависит главным образом от набора установленных расширений.
дело в том, что подобные "замеры" уже здесь засвечивались и разбор полётов уже проводился.
таблицы "замеров" отзывчивости будут? желательно посвежее, чем четырех-пятигодичной давности.
> для галочки.Не знаю, у меня в линухе работает. Что еще от браузера надо, собственно?
Тут одно из двух:
1. Этот оратор просто пустобрех. Наиболее вероятный вариант.
2. Он ориентируется на багтрекер, где windows-only проблем куда больше, и делает из этого неожиданные выводы. В сущности, возвращаемся к 1.
> 1. Этот оратор просто пустобрех. Наиболее вероятный вариант.Да похоже опять MS-студни понабежали. Вот утупкам из редмонда бабло больше девать некуда как на этот безмозглый шлак деньги переводить, с нулевым и даже отрицательным эффектом. Вместо того чтобы нормальные инновационные продукты разрабатывать, которые бы не вызывали у юзеров приступы рвоты.
> 1. Этот оратор просто пустобрех. Наиболее вероятный вариант.
> 2. Он ориентируется на багтрекер, где windows-only проблем куда больше, и делает
> из этого неожиданные выводы. В сущности, возвращаемся к 1.Или на результаты простого сравнения скорости нативного ff против виндового в вайне.
>>Для верификации сборок планируется ввести в строй независимую автоматизированную >систему проверки
> А кто будет проверять эту автоматизированную систему сборки?Исходник на Си? Не?
Поднялся второй вопрос - кто будет сторожить сторожей? Проблема давняя как мир. Нужна некая точка отсчета для начала выбора тех, кто будет делать аудит. Поэтому без доверия никак. Иначе и аудита не будет. Как вариант можно сделать так - аудит параллельно двумя компаниями или спецами, которые конкурируют друг с другом. По принципу - мнение моего врага гораздо ближе к истине обо мне, чем мое собственное.
Не надо путать понятия Родина и правительство. Стишок "С чего начинается Родина" способен объяснить это даже шестилетнему ребенку.
> Не надо путать понятия Родина и правительство. Стишок "С чего начинается Родина" способен объяснить это даже шестилетнему ребенку."Когда правительство от тебя что-то хочет, оно называет себя Родиной"
Чтобы понять это, нужно быть немного взрослее шести лет.
В два года при нормальном развитии ребенок начинает критически относится к чужим утверждениям, даже к утверждениям родителей, не говоря уже о посторонних. Так что если кто-то слепо верит правительству, называющему себя родиной, то его уровень развития личности ниже двухлетнего ребенка. А стишок все-таки почитайте.
> Такой аудит создает прямую угрозу национальным интересам. Попахивает изменой Родине.Капитан Очевидность намекает что если какой-то европеец найдет такой ляп в лисе, пришить ему "измену родине" АНБшникам и прочим добрым дядям будет как-то сложновато, ибо он не гражданин США. В чем, собственно, фича и состоит - все честно, хрен чего предъявишь, а результат желаемый, т.е. добавочная верификация кода.
лиса соответствует международной команде в плане разработки
> лиса соответствует международной команде в плане разработкиА mozilla corporation таки американская, так что опасения ее участников что на них могут и поднажать - имеют под собой некую почву, очевидно.
>> т.е. получается как-бы, что нужен еще независимый аудит государства
> Такой аудит создает прямую угрозу национальным интересам. Попахивает изменой Родине.использовать винду везде где попало на гос.уровне, особенно в закрытых отраслях, да и вообще закрытый софт - вот где попахивает изменой... Причем это возведено чуть ли не на узаконенном уровне. Скоро будет модно подсаживать страны на закрытый софт, а потом незаметненько так проворачивать делишки. Но без нужной поддержки это не провернуть. Значит становится более понятно кому это может быть выгодно и откуда все это может идти...
>>> т.е. получается как-бы, что нужен еще независимый аудит государства
>> Такой аудит создает прямую угрозу национальным интересам. Попахивает изменой Родине.
> использовать винду везде где попало на гос.уровне, особенно в закрытых отраслях, да
> и вообще закрытый софт - вот где попахивает изменой... Причем это
> возведено чуть ли не на узаконенном уровне. Скоро будет модно подсаживать
> страны на закрытый софтПривет криокамере.
Капитанить никогда не поздно.
> т.е. получается как-бы, что нужен еще независимый аудит государстваОбщественный контроль называется. И он таки нужен, да.
> Поднялся второй вопрос - кто будет сторожить сторожей?Другие сторожа. Распределенные схемы работают. Чем больше аудитчиков - тем сложнее протолкать левизну.
Если об этом говорится, значит прецедент был.остальных популярных проектов это тоже касается, особенно: linux kernel, openssl, ssh, dev-libs/libmcrypt, chromium, systemd, gcc, core-utils, busybox, libpng/jpeg, git, thunderbird, kde, virtualbox, libre/open/office
Постепенно, для полноты охвата необходимы и очень востребованы развитые средств аудита, не только grep/find.
Хорошо бы туда еще подтянуть windows, skype, vmware, citrix - но к сожалению они закрыты.
Пока аудит будут прикручивать, всем перейти на консольные браузеры и на альтернативные способы доставки информации.
> но к сожалению они закрыты....что как бы намекает, что некоторые не очень то и хотят чтобы ТЫ мог проверить что все честно. Ведь рыбку проще всего ловить в мутной воде. Хотите стать завтраком какого-нибудь проныры?
Нет. Государство всего лишь один из институтов со своими задачами. Оно нейтрально как и любая система. Если только система специально изначально не сделана выгодной кому или чему-либо, то все проблемы от некоторых "качеств" человеческого фактора типа лени, жадности, хитрожопости или похоти. Правит не правитель, а те, кто доносит его волю до других или советует правителю - советники, чиновники. Эта проблема тоже стара как мир.
манекен правит миром?
Вам только кажется, что правит именно он.
> Вам только кажется, что правит именно он."Президент нужен не для того, чтобы управлять, а для того, чтобы отвлекать внимание от процесса управления". Как-то так говорил Д. Адамс.
Может проще будет добавить модули слежения в репозиторий дополнений браузера и предлагать выбрать один из них?
Так хоть можно будет толково ответить на вопрос на кого работаешь.
:-)
Чур я на /dev/null работаю, он круче всех. /dev/null в президенты.
Mozilla конечно молодцы и есть вероятность, что "закладок" в их FireFox действительно нет, но остальные 99% программ не могут позволить себе такой аудит, так что какая уж тогда разница.
И много у тебя прог выходят в инет, так скажем - поблуждать? Для большинства (99%) связь с миром проходит именно через браузер.
так а что, хорошо придумал
принудили разработчика сделать бяку, тот выполняет и сразу сливает инфу экспертам с последующей публикацией - как результат, совесть разработчика чиста
Это с какой стороны посмотреть.
> Это с какой стороны посмотреть.Правильно мыслишь. Посадить разработчика в подвал, и пытать до тех пор, пока не сознается. Потом судить трибуналом за измену и пафосно расстрелять. Во имя демократии.
Так закладки там обычно такого уровня что отследить их практически невозможно. Как вон например в коде RSA заложили бэкдор и даже в стандарт его пропихнули и пользовались много лет. Теперь вот сноуден сказал и действительно "оказалось" что бэкдор. А если б не сказал еще б лет 10 пользовались.
Там эту закладку быстро нашли, но т.к. в самой комиссии RSA сидели люди из АНБ - значимость этой закладки не принимали во внимание, пока Сноуден в открытую о ней не заговорил.
> Как вон например в коде RSA заложили бэкдор и даже в стандарт его пропихнулиДык в стандарте без бэкдора описальник. А вот RSA никогда не любили особо открывать свои сорсы, между прочим, и вообще-то выпускали коммерческую проприетарь. Ну а там, как и положено, могло водиться все что угодно. PGP например в свое время уличили в попытках довешивать добавочные копии, шифрованные известным ключом правильных парней, чтоб те не пролетали если публичная криптография используется. Был нехилый скандалец, доверие было сильно подмочено, в результате пришлось аж открыть сорец PGP. И хоть он остался коммерческой проприетарой, сорец этой проприетары можно посмотреть и при законном обладании копией - скомпилить, удостоверившись что бинарь именно из него и что подлян нет.
как-то все это не стыкуется: если интернет создали военные в эпоху холодных войн, то почему тогда не заложили в основу TCP и окружения закладки и прочие побрякушки? Почему сейчас решили, что надо делать закладки в браузеры?Так может дойти (когда поймут, что не просто внедрить закладки в открытый софт) до объявления открытого софта вне закона, потому как это касается всех открытых проектов. Но в целом это хорошо - несколько умерится желание пользоваться бинарщиной и снизится порог доверия и sha1024-хэши мало помогают уже: придумают что-то еще. Весь вопрос в высокоэффективных средствах аудита исходников, желательно программных. Ручками это сложновато будет сделать (к сведению исходники мозиллы когда-то давно весили 200-300МБ в запакованном виде) Такой объем обработать может либо очень большое сообщество (вступайте в сообщество независимых (одиноких сердец)^W аудиторов кода), либо очень качественный софт. Но для начала и окультуренный греп с файндом сойдет или БД.
Достаточно внедрить в сообщество одного плохого парня, чтобы все перестали друг другу доверять и писать законы ограничивающие свободу.
Поправка: ... и _начали_ писать законы ограничивающие свободу.
Поправка: ... и начали писать законы_,_ ограничивающие свободу.
но похожее уже есть - разработка ядра, и там тоже не очень доверяют друг другу, но Линус построил сеть доверия иерархическую (хотя это и не очень эффективно, но пока другого не придумали (хотя, возможно и что-то другое))
> действующие в США законодательные акты позволяют принудить производителяЧто-то их демократия стала их окончательно припекать... :\.
>> действующие в США законодательные акты позволяют принудить производителя
> Что-то их демократия стала их окончательно припекать... :\.за что боролись, на то и напоролись?
Любая идеология хороша пока у неё есть цель. Как только идеология достигает цели или теряет её, при этом не найдя новой, она становится опасной для общества.Социализм появился в Европе с целью сгладить межклассовую рознь, когда монархии не пошедшие на уступки были свергнуты социализм мутировал в коммунизм и мировую революцию.
Христианство возникло, как попытка реформы в Иудейском царстве и после падения царства обрело свои вселенские амбиции и мутировало в охоту на ведьм и еретиков.
Фашизм появился в раздробленной на десятки государств Италии с целью объединить народ, позже был перенят так же разобщенными германцами, выполнил свои функции и также стал убивать всё вокруг, потеряв цель.
Демократия достигла своих целей.
Что там сейчас в моде? Либертарианство?
Я верю, что вы хотели сказать что-то хорошее, но с вашими познаниями лучше молчать, так как у вас нет ни одного верного утверждения.
Это "хороший" аргумент. Я учту ваше мнение.
> Это "хороший" аргумент.Это хороший аргумент.
>Я учту ваше мнение.
Это будет здорово. А я учту ваше мнение по поводу полезности аудита кода.
Спасибо за отличное обобщение.
Да вы троцкист, батенька.
> Социализм появился в Европе с целью сгладить межклассовую розньНет. Он появился с целью уравнять в правах евреев, что и являлось предметом первых же (либо одних из первых) законодательных актов после переворотов.
> Христианство возникло, как попытка реформы в Иудейском царстве
Дальнейший необоснованный бред со смешиванием всего в кучу поскипан. Могу разве что предложить разбор подобного, вдруг задумаетесь: http://lists.altlinux.org/pipermail/smoke-room/2008-October/...
Постоянный независимый аудит - исключительно здравое предложение. Однако, независимость просто декларировать, но не так просто ей обладать.
>действующие в США законодательные акты позволяют принудить производителя к совершению действий, идущих вразрез с теми принципами, которых они придерживаются в области безопасности и приватностиА что мешает "Mozilla Corporation" работать не в США, а, например, в ЕС и по законам ЕС?
> А что мешает "Mozilla Corporation" работать не в США, а, например, в ЕС и по законам ЕС?Налоги
>НалогиДолжен быть какой-то выход - может, в разных странах ЕС разные налоги, есть еще офшорные зоны.
>>Налоги
> Должен быть какой-то выход - может, в разных странах ЕС разные налоги,
> есть еще офшорные зоны.Всё равно "приемлемые" лучше, чем "разные".
какая разница, кто будет нагибать вставить бекдор?
> А что мешает "Mozilla Corporation" работать не в США,То что они уже есть и созданы как именно штатовская контора и теперь уже немного поздновато? Ну то-есть можно попытаться переехать в другую юрисдикцию, но для этого должно совсем припечь.
В плане охраны конституционного строя от электронных посягательств главное отличие ЕС от США только в том, что своего Сноудена в ЕС ещё не нашлось.
>Слепого доверия производителю и его заслуженной репутации недостаточно, так как действующие в США законодательные акты позволяют принудить производителя к совершению действий, идущих вразрез с теми принципами, которых они придерживаются в области безопасности и приватности.Вместо того, чтобы перебазироваться в более цивилизованные страны, придумывают разную ерунду.
> Вместо того, чтобы перебазироваться в более цивилизованные страны, придумывают разную ерунду.В более цивилизованные страны тоже скоро демократию принесут.
имеется в виду привнесение АНБ-демократии куда надо?
некоторые вопросы:-как обстоят дела у не менее популярного браузера chromium? (там этот вопрос уже решен положительно^w в сторону размещения бэкдора или просто еще не дошла очередь?)
-почему речь идет о javascript? причем здесь это окружение? более скрытнее было-бы это сделать на более низком уровне. Понятно, что javascript в проекте используется возможно более половины, по сравнению с другими языками и на ней написано внутри проекта очень многое. О какой части javascript идет речь (backend/frontend/client/server)? Возможно, это объясняется необходимостью внедрить кросс-платформенный зонд т.к. это не будет, если-что, работать на "ортогональных" системах. Такой уровень компетенции может свидетельствовать либо об опережающей стратегии, либо о некоторой консолидации между "игроками" В потверждение этому можно сказать (это конечно фантазия, но...): мы не можем внедрить зонд для всех ОС т.к. это технически сложно, но можем внедрить на уровень js - а вот это попробуйте..., да, но... а мы им не скажем ничего... а если они заподозрят не ладное? Нам главное отчитаться перед начальством, а-а - аванс будет.
-как обстоят дела у остальных браузеров, программ, библиотек, ОС?
А кто сказал, что бэкдор именно в js? Просто это преджложил "Бренден Айк (Brendan Eich), создатель языка JavaScript, занимающий пост технического директора Mozilla Corporation"Основаная цель бэкдора в браузерах - препятсвование бесконтрольному шифрованию трафика. Делать левые сертификаты, прикрываясь [арабами|сирийцами|китайцами|русскими] дело хлопотное и быстро выявляемое и блокируемое теми же разработчиками. Если будет инструмент жестко пропускающий через себя данные до ssl-шифрования, то можно будет спокойно контролировать кто и чем кормит своих тараканов в голове.
Независимо от браузера и вообще ПО, в принципе, первая основная цель АНБ и прочих спецслужб - социальные связи интернет-пользователей. Проблема только в том, что всё больше людей "френдят" всех направо и налево, чем крайне осложняют выявление реальных связей среди ложных (как соль в шифровании). Ещё многие особо начитанные и параноидально настроенные вообще нафих везде поудалялись, начали шифровать свои переписки и менять железо в компах, чем опять же свели все усилия "на нет". Если где какая угроза "9/11", а они, бедные, даже не знают как выяснить с кем контактируют подозверваемые, о кого получались "приказы" и кому шлются "отчеты", вот тут и нужны закладки в тех компонентах, которые выполняют коммуникативную роль - браузеры, почтовые программы, месенджеры всякие. А что бы не тратить 100500 лет на расшифровку, то и механизмы шифрования должны поставлиться с кнопкой "мне повезет", нажав на которую они получат всю интересующую их информацию.
В пользовательских настройках начиная с версии 23 в Мозилле отключить JS нельзя.
Консолью 99% юзеров не пользуются, так что JS у них включен принудительно.
Всё уже давным-давно всем навязано и кругом бэкдоры, можете быть уверены.
Любой разраб любого ПО, закрытого, открытого, в США и куче других стран (даже ЕС) напихает в свой софт, всё что ему скажут, иначе могут посадить или ещё, что хуже. Но «ещё, что хуже» касается только развивающихся стран, либо разлагающихся, ну вы поняли о ком я... то есть не я...
Иванов Иван Иванович (проживающий по адресу 3-я улица Строителей, дом 25, квартира 12), вы не переживайте, все всё поняли. Лучше съешьте французских булок да выпейте чаю, но оставьте немного для гостей, к вам уже выехали работники компетентных органов :)А если серьезно, то я в своем софте не уверен, что уж говорить о чужом. Вот, например, даже гугл не догадался, что в ведройде можно отслеживать юзверей по запросам банеров из их мобильных приложений, чем АНБ не замедлило воспользоваться как только трафик внутри дата-центров начали шифровать.
Что бы уберечься наверняка, нужно либо быть фанатиком как Столлман, либо вообще выключить всё и выкинуть, а потом уехать на необитаемый остров. И, сидя там, надеяться, что тебя не съест пробегающий мимо голодный тигр :)
Не говорите бред Гугл обо всём прекрасно знали.
Другое дело, что молчали, так как обязаны были молчать в соответствии с законодательством США.
Но вот когда всплыло... Так они сразу же как обычно и не предполагали даже...