Comments 67
Не-а, вот настоящая:
Почему в моём браузере такой нету? )
Оооо о ооо существуют еще люди, думающие, что firefox это лиса…
Ну как бы на логотипе то действительно лиса…
По утверждению создателей популярного интернет-браузера «Mozilla Firefox» название «Firefox» означает «Малая панда», но вопреки названию, на логотипе изображена обычная лиса, так как дизайнер посчитал невозможным воплотить узнаваемый образ малой панды в малой форме.
Ох уж эти лисички! :)
мне эта нравится больше чем в статье :)
У IE тоже есть лисичка!
плохой, негодный косплей Хоро
Борман, догадавшись о том, что Штирлиц — вражеский шпион, выстрелил в него из маузера, но промахнулся.
— Мазила! — подумал Штирлиц и закрыл окно браузера.
— Мазила! — подумал Штирлиц и закрыл окно браузера.
Конечно ничего не имею против привлекательной девушки на КДПВ, но зачем такой намёк, что FF много ест?
Сейчас на файлах стоит цифровая подпись, поэтому уже проще определить кто есть кто.
А толку?
Вон майл.ру подписывает своим сертификатом свои же трояны. Как только возникает шумиха, сразу открещивается от дела рука своих и кивает на мифических пользователей.
Вон майл.ру подписывает своим сертификатом свои же трояны. Как только возникает шумиха, сразу открещивается от дела рука своих и кивает на мифических пользователей.
То есть, вы полагаете, что Mozilla имеет какое-то отношение к Gamma International, иначе бы зачем им (Mozilla) своим сертификатом подписывать программы для чужой компании.
Если же нет, то тогда в чём смысл вашей мысли?
Если же нет, то тогда в чём смысл вашей мысли?
Так бывало же, что госслужбы «добровольно-принудительно» заставляли например CA подписывать левые сертификаты.
Это я и хотел тонко намекнуть. :)
Намёк не понят.
Не вижу связи
Подписать сертификат ≠ Подписать файл
Не вижу связи
заставляли например CA подписывать левые сертификатыс
Вон майл.ру подписывает своим сертификатом свои же трояны
Подписать сертификат ≠ Подписать файл
Цепочка:
CA --> клиентский сертификат --> подписанный файл
CA --> клиентский сертификат --> подписанный сайт
CA --> клиентский сертификат --> подписанный канал
Мозилла сама встраивает в доверительные СА подозрительные СА.
Что ей мешает отозвать сертификат СА, который выдал сертификат для подписи фальшивого инcталлятора FF?
Есть ли механизм добавления подозрительных CA и сертификатов в черный лист со стороны пользователя?
Или мы будем слепо доверять своему поставщику ОС и издателю браузера?
CA --> клиентский сертификат --> подписанный файл
CA --> клиентский сертификат --> подписанный сайт
CA --> клиентский сертификат --> подписанный канал
Мозилла сама встраивает в доверительные СА подозрительные СА.
Что ей мешает отозвать сертификат СА, который выдал сертификат для подписи фальшивого инcталлятора FF?
Есть ли механизм добавления подозрительных CA и сертификатов в черный лист со стороны пользователя?
Или мы будем слепо доверять своему поставщику ОС и издателю браузера?
Подписать сертификат ≠ Подписать файл
Да, но ведь от одного до другого один шаг.
Как у вас всё просто…
В чём моя ошибка?
Проверки жёстче.
Когда у вас попросят одолжить 1 руб или 1 миллиард у вас будет разве одинаковое отношение к тому кто просит или всё таки разное?
Когда у вас попросят одолжить 1 руб или 1 миллиард у вас будет разве одинаковое отношение к тому кто просит или всё таки разное?
Когда я говорил «от одного до другого один шаг», я имел в виду именно «подписать сертификат → подписать файл», но не наоборот.
Да это всё понятно, что технически просто перейти от одного к другому, хотя организационно это разные процедуры.
Но кто же будет от Mozilla в здравом уме и твёрдой памяти подписывать своим сертификатом чужие файлы или тем более чужие сертификаты без должных проверок?
Свои файлы они конечно же могут подписывать — в том числе и вредоносные — но за это будут нести ответственность уже они сами.
Вопрос ведь основной — в доверии к выдающим центрам, а следовательно к возможности компрометации выданных ими сертификатов.
Если будет создан прецедент с возможностью давления на VeriSign, Thawte и т.д. каких-то госструктур, то можно ставить крест на всей системе сертификации, ибо потеряется главное — доверие.
PS: не хочу более вам что-либо доказывать или спорить.
Но кто же будет от Mozilla в здравом уме и твёрдой памяти подписывать своим сертификатом чужие файлы или тем более чужие сертификаты без должных проверок?
Свои файлы они конечно же могут подписывать — в том числе и вредоносные — но за это будут нести ответственность уже они сами.
Вопрос ведь основной — в доверии к выдающим центрам, а следовательно к возможности компрометации выданных ими сертификатов.
Если будет создан прецедент с возможностью давления на VeriSign, Thawte и т.д. каких-то госструктур, то можно ставить крест на всей системе сертификации, ибо потеряется главное — доверие.
PS: не хочу более вам что-либо доказывать или спорить.
Можно пруфы?
Но даже если так, то:
Вы ведь понимаете, что левый сертификат всё равно не будет соответствовать «не левому».
Но даже если так, то:
- можно подать в суд на CA
- можно самим стать CA
- как вообще тогда доверять системе сертификации? А банки об этом знают?
Вы ведь понимаете, что левый сертификат всё равно не будет соответствовать «не левому».
Банкам плевать, у них свои стандарты и свои каналы обмена данными между собой.
А те, которые предоставляют https для веб-банкинга, берут любой СА, лишь бы у пользователя браузер «не ругался».
А те, которые предоставляют https для веб-банкинга, берут любой СА, лишь бы у пользователя браузер «не ругался».
Наверное, за сертификат от любого более менее серьёзного, а значит ответственного CA, и денег платить не нужно?
И СА ни за что не отвечает, в том числе материально?
И проходить долгую процедуру проверки заявителя тоже не нужно?
Действительно зачем, когда могут придти некие госслужбы и сделать всё быстро и бесплатно.
И СА ни за что не отвечает, в том числе материально?
И проходить долгую процедуру проверки заявителя тоже не нужно?
Действительно зачем, когда могут придти некие госслужбы и сделать всё быстро и бесплатно.
habrahabr.ru/post/116084/
www.itp.net/591785-turkish-government-dept-issues-fake-digital-certificate-for-google-sites
www.theregister.co.uk/2013/04/16/mozilla_threatens_teliasonera/
www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl
100% нерушимых пруфов разумеется нет, но собственно это действительно вполне логично же.
Соответствовать они может и не будут, но валидную подпись же будут иметь.
www.itp.net/591785-turkish-government-dept-issues-fake-digital-certificate-for-google-sites
www.theregister.co.uk/2013/04/16/mozilla_threatens_teliasonera/
www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl
100% нерушимых пруфов разумеется нет, но собственно это действительно вполне логично же.
левый сертификат всё равно не будет соответствовать «не левому»
Соответствовать они может и не будут, но валидную подпись же будут иметь.
>используется правительствами как минимум 36 стран для слежки за гражданами
Это, конечно, мелочи… Это к делу относится лишь косвенно.
Главные враги и уроды конечно же Gamma International.
Мужики! Одумайтесь! Если кончится терпение у меня и я начну революцию, то мало не покажется — я идеалист, верящий в свободу, равенство и рационализм. Поэтому полетят головы и начнут строится трудовые лагеря. (Если труд сделал человека из обезьяны, то есть шанс, что он сможет сделать человека и из спиногрыза-бюрократа)
Разберитесь с проблемой пока я ещё держу себя в руках.
Я предупредил:)
Это, конечно, мелочи… Это к делу относится лишь косвенно.
Главные враги и уроды конечно же Gamma International.
Мужики! Одумайтесь! Если кончится терпение у меня и я начну революцию, то мало не покажется — я идеалист, верящий в свободу, равенство и рационализм. Поэтому полетят головы и начнут строится трудовые лагеря. (Если труд сделал человека из обезьяны, то есть шанс, что он сможет сделать человека и из спиногрыза-бюрократа)
Разберитесь с проблемой пока я ещё держу себя в руках.
Я предупредил:)
Предлагаю логотип для FinFisher
И правда гнусно все это. Следить за людьми прикрываясь чужим именем… И так уровень свободы слова наименьший за 10 лет (© Freedom House).
И главный вопрос: как узнать, что у меня… настоящий Firefox?
Кстати, а кто подписал это приложение?
Я бы хотел плагинчик, который бы вел список проштрафившихся СА и помечал, выданные ими сертификаты как «подозрительные».
Я бы хотел плагинчик, который бы вел список проштрафившихся СА и помечал, выданные ими сертификаты как «подозрительные».
И VeriSign туда добавите?
вообще-то его нужно в первую очередь — поскольку он уже как минимум 3 раза был уличен в этом:
1) сертификат для одной MITM железки (разработчики из GB)
2) выдача подписанного сертификата по решению суда (найдете думаю — это не вопрос)
3) (не слишком публичный) что в третьи руки ушел один из субкорневых сертификатов (увы за достоверность не ручаюсь)
P.S. если что — то у FF — thawte
1) сертификат для одной MITM железки (разработчики из GB)
2) выдача подписанного сертификата по решению суда (найдете думаю — это не вопрос)
3) (не слишком публичный) что в третьи руки ушел один из субкорневых сертификатов (увы за достоверность не ручаюсь)
P.S. если что — то у FF — thawte
На левом скрине отсутствует вкладка с подписью, значит её и нету.
Откуда он распространяется? Я полагаю, что mozilla.org и центральные репозитории *nix систем не компрометированы, не так ли?
Кто распространяется?
Подделать манифест — не проблема, а вот отсутствие цифровой подписи уже должно насторожить.
Подделать манифест — не проблема, а вот отсутствие цифровой подписи уже должно насторожить.
кто из «скачать бесплатно firefox» пользователей вообще знает о существовании сертификатов отличных от тех что выдают за красиво сделанный маникюр?
Из моих знакомых примерно 60% скачают firefox не с родного сайта, а с примочками от яндекса, рамблера или чего угодно. Они просто вбивают в поиск@мейлру или вебальту (не спрашивайте, где они это хватают) свой глупый запрос и качают то что покажется по первой ссылке.
«мозилла» в их голове вызывает большее недоверие нежели, например, «рамблер»
«мозилла» в их голове вызывает большее недоверие нежели, например, «рамблер»
Ну что такое цифровая подпись простой юзер может и не знать, а выучить правило «качать только с mozilla.org» имхо может каждый.
«скачать Firefox бесплатно без смс»?
Во многих компаниях вообще установка софта самостоятельно запрещена — пользователю нужен софт «ххх», он дает заявку в ИТ отдел на установку, ну и софт накатывается автоматом или сотрудником хелпдеска, в корпоративных средах можно политиками в Active Directory такое нарулить, что пользователь даже знать не будет что за ним следят. Частично спасает только концепция BYOD, но и там не без нюансов.
Sign up to leave a comment.
Mozilla протестует против шпионской программы под видом Firefox