Комментарии 67
НЛО прилетело и опубликовало эту надпись здесь
+45
Почему в моём браузере такой нету? )
0
Оооо о ооо существуют еще люди, думающие, что firefox это лиса…
-7
Ну как бы на логотипе то действительно лиса…
По утверждению создателей популярного интернет-браузера «Mozilla Firefox» название «Firefox» означает «Малая панда», но вопреки названию, на логотипе изображена обычная лиса, так как дизайнер посчитал невозможным воплотить узнаваемый образ малой панды в малой форме.
+7
Ох уж эти лисички! :)
0
мне эта нравится больше чем в статье :)
0
У IE тоже есть лисичка!
+13
НЛО прилетело и опубликовало эту надпись здесь
плохой, негодный косплей Хоро
0
Борман, догадавшись о том, что Штирлиц — вражеский шпион, выстрелил в него из маузера, но промахнулся.
— Мазила! — подумал Штирлиц и закрыл окно браузера.
— Мазила! — подумал Штирлиц и закрыл окно браузера.
+40
Конечно ничего не имею против привлекательной девушки на КДПВ, но зачем такой намёк, что FF много ест?
+26
Сейчас на файлах стоит цифровая подпись, поэтому уже проще определить кто есть кто.
0
А толку?
Вон майл.ру подписывает своим сертификатом свои же трояны. Как только возникает шумиха, сразу открещивается от дела рука своих и кивает на мифических пользователей.
Вон майл.ру подписывает своим сертификатом свои же трояны. Как только возникает шумиха, сразу открещивается от дела рука своих и кивает на мифических пользователей.
+16
То есть, вы полагаете, что Mozilla имеет какое-то отношение к Gamma International, иначе бы зачем им (Mozilla) своим сертификатом подписывать программы для чужой компании.
Если же нет, то тогда в чём смысл вашей мысли?
Если же нет, то тогда в чём смысл вашей мысли?
-1
Так бывало же, что госслужбы «добровольно-принудительно» заставляли например CA подписывать левые сертификаты.
+1
Это я и хотел тонко намекнуть. :)
0
Намёк не понят.
Не вижу связи
Подписать сертификат ≠ Подписать файл
Не вижу связи
заставляли например CA подписывать левые сертификатыс
Вон майл.ру подписывает своим сертификатом свои же трояны
Подписать сертификат ≠ Подписать файл
0
Цепочка:
CA --> клиентский сертификат --> подписанный файл
CA --> клиентский сертификат --> подписанный сайт
CA --> клиентский сертификат --> подписанный канал
Мозилла сама встраивает в доверительные СА подозрительные СА.
Что ей мешает отозвать сертификат СА, который выдал сертификат для подписи фальшивого инcталлятора FF?
Есть ли механизм добавления подозрительных CA и сертификатов в черный лист со стороны пользователя?
Или мы будем слепо доверять своему поставщику ОС и издателю браузера?
CA --> клиентский сертификат --> подписанный файл
CA --> клиентский сертификат --> подписанный сайт
CA --> клиентский сертификат --> подписанный канал
Мозилла сама встраивает в доверительные СА подозрительные СА.
Что ей мешает отозвать сертификат СА, который выдал сертификат для подписи фальшивого инcталлятора FF?
Есть ли механизм добавления подозрительных CA и сертификатов в черный лист со стороны пользователя?
Или мы будем слепо доверять своему поставщику ОС и издателю браузера?
0
Подписать сертификат ≠ Подписать файл
Да, но ведь от одного до другого один шаг.
0
Как у вас всё просто…
0
В чём моя ошибка?
0
Проверки жёстче.
Когда у вас попросят одолжить 1 руб или 1 миллиард у вас будет разве одинаковое отношение к тому кто просит или всё таки разное?
Когда у вас попросят одолжить 1 руб или 1 миллиард у вас будет разве одинаковое отношение к тому кто просит или всё таки разное?
0
Когда я говорил «от одного до другого один шаг», я имел в виду именно «подписать сертификат → подписать файл», но не наоборот.
0
Да это всё понятно, что технически просто перейти от одного к другому, хотя организационно это разные процедуры.
Но кто же будет от Mozilla в здравом уме и твёрдой памяти подписывать своим сертификатом чужие файлы или тем более чужие сертификаты без должных проверок?
Свои файлы они конечно же могут подписывать — в том числе и вредоносные — но за это будут нести ответственность уже они сами.
Вопрос ведь основной — в доверии к выдающим центрам, а следовательно к возможности компрометации выданных ими сертификатов.
Если будет создан прецедент с возможностью давления на VeriSign, Thawte и т.д. каких-то госструктур, то можно ставить крест на всей системе сертификации, ибо потеряется главное — доверие.
PS: не хочу более вам что-либо доказывать или спорить.
Но кто же будет от Mozilla в здравом уме и твёрдой памяти подписывать своим сертификатом чужие файлы или тем более чужие сертификаты без должных проверок?
Свои файлы они конечно же могут подписывать — в том числе и вредоносные — но за это будут нести ответственность уже они сами.
Вопрос ведь основной — в доверии к выдающим центрам, а следовательно к возможности компрометации выданных ими сертификатов.
Если будет создан прецедент с возможностью давления на VeriSign, Thawte и т.д. каких-то госструктур, то можно ставить крест на всей системе сертификации, ибо потеряется главное — доверие.
PS: не хочу более вам что-либо доказывать или спорить.
0
Можно пруфы?
Но даже если так, то:
Вы ведь понимаете, что левый сертификат всё равно не будет соответствовать «не левому».
Но даже если так, то:
- можно подать в суд на CA
- можно самим стать CA
- как вообще тогда доверять системе сертификации? А банки об этом знают?
Вы ведь понимаете, что левый сертификат всё равно не будет соответствовать «не левому».
0
Банкам плевать, у них свои стандарты и свои каналы обмена данными между собой.
А те, которые предоставляют https для веб-банкинга, берут любой СА, лишь бы у пользователя браузер «не ругался».
А те, которые предоставляют https для веб-банкинга, берут любой СА, лишь бы у пользователя браузер «не ругался».
0
Наверное, за сертификат от любого более менее серьёзного, а значит ответственного CA, и денег платить не нужно?
И СА ни за что не отвечает, в том числе материально?
И проходить долгую процедуру проверки заявителя тоже не нужно?
Действительно зачем, когда могут придти некие госслужбы и сделать всё быстро и бесплатно.
И СА ни за что не отвечает, в том числе материально?
И проходить долгую процедуру проверки заявителя тоже не нужно?
Действительно зачем, когда могут придти некие госслужбы и сделать всё быстро и бесплатно.
0
habrahabr.ru/post/116084/
www.itp.net/591785-turkish-government-dept-issues-fake-digital-certificate-for-google-sites
www.theregister.co.uk/2013/04/16/mozilla_threatens_teliasonera/
www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl
100% нерушимых пруфов разумеется нет, но собственно это действительно вполне логично же.
Соответствовать они может и не будут, но валидную подпись же будут иметь.
www.itp.net/591785-turkish-government-dept-issues-fake-digital-certificate-for-google-sites
www.theregister.co.uk/2013/04/16/mozilla_threatens_teliasonera/
www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl
100% нерушимых пруфов разумеется нет, но собственно это действительно вполне логично же.
левый сертификат всё равно не будет соответствовать «не левому»
Соответствовать они может и не будут, но валидную подпись же будут иметь.
0
Я ожидал пруф на компрометацию сертификации от VeriSign и/или Thawte.
Выше я уже указал данные цифровой подписи для firefox.exe
Хотелось бы увидеть пример того, как госконтора сумела надавить на эти компании (особенно на Thawte и Symantec применительно к Mozilla).
Выше я уже указал данные цифровой подписи для firefox.exe
Хотелось бы увидеть пример того, как госконтора сумела надавить на эти компании (особенно на Thawte и Symantec применительно к Mozilla).
0
>используется правительствами как минимум 36 стран для слежки за гражданами
Это, конечно, мелочи… Это к делу относится лишь косвенно.
Главные враги и уроды конечно же Gamma International.
Мужики! Одумайтесь! Если кончится терпение у меня и я начну революцию, то мало не покажется — я идеалист, верящий в свободу, равенство и рационализм. Поэтому полетят головы и начнут строится трудовые лагеря. (Если труд сделал человека из обезьяны, то есть шанс, что он сможет сделать человека и из спиногрыза-бюрократа)
Разберитесь с проблемой пока я ещё держу себя в руках.
Я предупредил:)
Это, конечно, мелочи… Это к делу относится лишь косвенно.
Главные враги и уроды конечно же Gamma International.
Мужики! Одумайтесь! Если кончится терпение у меня и я начну революцию, то мало не покажется — я идеалист, верящий в свободу, равенство и рационализм. Поэтому полетят головы и начнут строится трудовые лагеря. (Если труд сделал человека из обезьяны, то есть шанс, что он сможет сделать человека и из спиногрыза-бюрократа)
Разберитесь с проблемой пока я ещё держу себя в руках.
Я предупредил:)
+12
Предлагаю логотип для FinFisher
+66
И правда гнусно все это. Следить за людьми прикрываясь чужим именем… И так уровень свободы слова наименьший за 10 лет (© Freedom House).
+1
И главный вопрос: как узнать, что у меня… настоящий Firefox?
0
Экспериментально?
0
Собрать из исходников.
+21
Проверяйте наличие цифровой подписи и её данные.
Как видно на скриншоте у «левака» её вообще нет.
У настоящего FireFox сертификат выдан Thawte и в дополнение имеется подпись Symantec.
Как видно на скриншоте у «левака» её вообще нет.
У настоящего FireFox сертификат выдан Thawte и в дополнение имеется подпись Symantec.
+4
Кстати, а кто подписал это приложение?
Я бы хотел плагинчик, который бы вел список проштрафившихся СА и помечал, выданные ими сертификаты как «подозрительные».
Я бы хотел плагинчик, который бы вел список проштрафившихся СА и помечал, выданные ими сертификаты как «подозрительные».
0
И VeriSign туда добавите?
0
вообще-то его нужно в первую очередь — поскольку он уже как минимум 3 раза был уличен в этом:
1) сертификат для одной MITM железки (разработчики из GB)
2) выдача подписанного сертификата по решению суда (найдете думаю — это не вопрос)
3) (не слишком публичный) что в третьи руки ушел один из субкорневых сертификатов (увы за достоверность не ручаюсь)
P.S. если что — то у FF — thawte
1) сертификат для одной MITM железки (разработчики из GB)
2) выдача подписанного сертификата по решению суда (найдете думаю — это не вопрос)
3) (не слишком публичный) что в третьи руки ушел один из субкорневых сертификатов (увы за достоверность не ручаюсь)
P.S. если что — то у FF — thawte
0
На левом скрине отсутствует вкладка с подписью, значит её и нету.
+2
Откуда он распространяется? Я полагаю, что mozilla.org и центральные репозитории *nix систем не компрометированы, не так ли?
+1
Кто распространяется?
Подделать манифест — не проблема, а вот отсутствие цифровой подписи уже должно насторожить.
Подделать манифест — не проблема, а вот отсутствие цифровой подписи уже должно насторожить.
0
кто из «скачать бесплатно firefox» пользователей вообще знает о существовании сертификатов отличных от тех что выдают за красиво сделанный маникюр?
+4
Из моих знакомых примерно 60% скачают firefox не с родного сайта, а с примочками от яндекса, рамблера или чего угодно. Они просто вбивают в поиск@мейлру или вебальту (не спрашивайте, где они это хватают) свой глупый запрос и качают то что покажется по первой ссылке.
«мозилла» в их голове вызывает большее недоверие нежели, например, «рамблер»
«мозилла» в их голове вызывает большее недоверие нежели, например, «рамблер»
+1
Ну что такое цифровая подпись простой юзер может и не знать, а выучить правило «качать только с mozilla.org» имхо может каждый.
0
«скачать Firefox бесплатно без смс»?
+17
Во многих компаниях вообще установка софта самостоятельно запрещена — пользователю нужен софт «ххх», он дает заявку в ИТ отдел на установку, ну и софт накатывается автоматом или сотрудником хелпдеска, в корпоративных средах можно политиками в Active Directory такое нарулить, что пользователь даже знать не будет что за ним следят. Частично спасает только концепция BYOD, но и там не без нюансов.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Изменить настройки темы
Mozilla протестует против шпионской программы под видом Firefox