Если исходников нет, то новость следует вообще удалить т.к. поделие нарушает нормы GPL.

Ты упоролся что-ли ? Кроме GPL есть и другие лицензии, загугли что такое MPL =)

Наверное, так же, как разошлись Apple Corps и Apple Computer :)

Упоротый здесь это ты. Там множественное лицензирование. MPL+GPL+LGPL.

Дай ссыль на лицезию firefox

Гугл и википедия.

К сожалению, политика безопасности не позволяет openssl включать сторонние алгоритмы.

Более того, стандарт США fips тоже в явном виде запрещает использование всего «лишнего», поэтому никаких шансов, что в федорах или редхатах будут госты из коробки нет даже в принципе.

Гугл и википедия.

И?
MPL используется в качестве лицензии для Mozilla Suite, Mozilla Firefox, Mozilla Thunderbird и других программ, разработанных Mozilla. Она также была адаптирована другими разработчиками, в особенности Sun Microsystems, в качестве лицензии (Common Development and Distribution License) для OpenSolaris, версии Solaris с открытыми исходными кодами.

Дай ссылку, где говорится, что firefox под GPL ?

Хотя наверное ты и прав =)
Походу я обосрался =))
Открыл About в firefox, а там:
More specifically, most of the source code is available under the Mozilla Public License 2.0 (MPL). The MPL has a FAQ to help you understand it. The remainder of the software which is not under the MPL is available under one of a variety of other free and open source licenses. Those that require reproduction of the license text in the distribution are given below. (Note: your copy of this product may not contain code covered by one or more of the licenses listed here, depending on the exact product and version you choose.)
Но тем не менее, это не отменяет того, что я могу вынести либы шифрования гост в отдельную библиотеку и зажать сырцы =)
Хотя в FAQ тоже нихрена не понятно, так что вопрос про лицензию firefox не закрыт...

Вот все интересовались, откуда ФСБ возьмёт ключи во исполнение поручения президента, а вот и ответ вышел. Пользуйтесь, товарищи, пользуйтесь.

Так это ж только требования для государственных организаций

Код браузера является открытым и распространяется под тройной лицензией GPL/LGPL/MPL

Это из вики про Firefox.

В отдельную можешь, лиса еще и под LGPL.

Подскажите, где в настройках меняется ID твоего дежурного офицера ФСБ? Страницы медленно открываются, спит, что ли?

К сожалению, политика безопасности не позволяет openssl включать сторонние алгоритмы.

https://www.altlinux.org/ГОСТ_в_OpenSSL

Код браузера является открытым и распространяется под тройной лицензией GPL/LGPL/MPL

Ну тогда опять же, твое требование про открытие сырцов redfox не правомерны =))

Почему? Да, GPL не обязывает их открывать сразу. Но по требованию. Либо, выносить все свои трояны в отдельную библиотеку и линковать в соответствии с LGPL. В вики про саму MPL есть момент, что она слабокопилефтная и для должного уровня свободности нужно сочетать ее с GPL.

хз, из меня очень хреновый эксперт по лицензиям.. Задай вопрос по: Телефон: +7(495) 589-99-53, e-mail: support@lissi.ru
И опубликуй тут ответ =)

Опять реклама ЛИССИ СОФТА? Не даёт спокойствия браузерный плагин от крипто про? Ай, ай. И в апстрим патчи не принимают мозилловцы, ай ай ай. Ипала жаба гадюку, впрочем, ничего нового. Так и должно быть у торговцев сертифицированным воздухом.

Они тоже может не ахти какие эксперты в этой области. Так что с этим лучше в FSF.

Это если модифицировались (L)GPL компоненты. А это вряд ли.

Коль скоро они не модифицировались, их исходный код доступен по ссылке из справки о программе.

Это из вики про Firefox.

Открой about:license, там всё гораздо интереснее.

Какие ещё исходники? Мозилла увидела GPL, сказала «NIH!» и выкатила свою MPL, которая требует от проприетарщиков не открытия исходников, а явной ссылки вида «да, вот эти ребята, это им мы на клык накинули».

Чушь-то не неси. Mozilla возникла как проект Netscape, Netscape передала код в MoFo на условиях MPL. MPL разработана юристом Netscape специально для того, чтобы можно было тягать код в Netscape.

Так что с этим лучше в FSF.

С этим лучше в MoFo. Но поскольку это далеко не первый проприетарный форк Firefox, результат будет немного предсказуем.

Пока они называли это своё Firefox — они нарушали, как переименовались, так претензии должны были отпасть.

Red Star, Redfox. Хорошо хоть с названиями не заморачиваются - сразу понятно что подделка.

Исправь заголовок на «Redfox – браузер со встроенным российским криптографическим бэкдором»

Отлично написано, но вот так, будет лучше.

«Redfox – браузер с поддержкой российской криптографии, которую спецслужбы могут легко расшифровать, так как они заранее имеют при себе все алгоритмы расшифровки.

С логотипом не стали долго развлекаться, молодцы!

Ах, да. MPL же.

Имя-то занято уже.

:D

Вот это жесть.

Совхоз «Красный луч», завод «Красный Ильич», теперь «Красная лиса». Советизм возвратился в полной мере.

Что тут не понятного. У хомячья сейчас тренд - ругать все Российское.

rpm -ql openssl | grep -i gost

rpm -q openssl

openssl-1.0.2h-1.fc23.x86_64

If you installed OpenSSL 1.0.0 from packages, be sure it compiled with the options:

shared, zlib, enable-rfc3779

openssl version -f

compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM

Ура! Из трех опций включена целая одна - zlib!

Заметьте, что опция shared выключена. Где еще можно найти такой пакет, в котором сознательно отключают саму возможность разделяемых библиотек?

Закрытая криптография это «security by obscurity»,

Идиот.

Безопасность через неясность это то, когда стойкость ОСНОВЫВАЕТСЯ на том, что что-то не известно. Если стойкость основана только на неизвестности ключа, то закрытость исходников только повышает стойкость решения, так как затрудняет анализ.

Да, так и происходит в реальном мире, а не в манямирке людей, которые услышали «security by obscurity», а потом пихают его везде.

Почему?

Потому что «GPL/LGPL/MPL» здесь означает «ИЛИ», а не «И»

Вообще я там насчитал 83 лицензии.

Вряд ли это так. Тем более, что MPL признает множественное лицензирование.

Скорее наоборот, тренд выдавать популярные открытые продукты мирового уровня за свои переделанные в низкопробные и сомнительные поделки под видом Российских, в расчете на то, что это можно впарить, и отчитаться что это свое (прецеденты были еще на школьном уровне), отечественное, вместого того, чтобы не нарушая открытой мировой экосистемы дополнять своими разработками, продвигая их в виде опять же открытых стандартов и решений мирового уровня.

Да никому, кроме внутренних меркантильных интересов это не нужно и лишь создает завуалированную видимость решения.

Наконец, в любом закрытом решении больше места лазейкам, что провоцирует масштабные утечки и различные нарушения.

Скорее наоборот, подтвердил анонимус.

приятно познакомиться

значит если ключик там, то все еще гораздо хуже чем можно было бы подумать ...

Это о том что именно безопасность через неясность содержит потенциальную угрозу что рано или поздно эту неясность рано или поздно обойдут или прояснят вместо того, что использовать например приватные ключи.

Именно безопасность через ясность дает возможность аудита и доверия.

Скорее наоборот, тренд выдавать популярные открытые продукты мирового уровня за свои переделанные в низкопробные

Ну вот откуда столько зомби во всех подобных тредах? Есть проблема: Нужна защищённая связь при обращениях в гос.органы. (до сих пор понятно?) Защищена она должна быть нашими собственными средствами, а не теми, которые любезно предоставляет некая международная ОПГ (это тоже понятно?) Люди предложили решение. Если у тебя есть лучшее - пиши. Если нет - то достань своё дидло, проведи языком по надписи «made in ANB» вставь обратно, где было. И всё! Зачем ругаться.

Множественное лицензирование - это и есть выбор варианта.

Чушь собачья.

Закрытость исходников не запрещает анализ, просто делает его неудобнее и дороже. Но если мотивация позволяет, то прекрасно все анализируется и взламывается. Так что в отличие от закрытого ключа, никакие исходники закрыть нельзя. Их можно только сделать менее читаемыми.

Но вопрос в том, что мотивация у злоумышленника значительно выше, чем у специалиста по безопасности. Если первый, найдя уязвимость, может озолотиться, то последний трудится за зарплату и немножко славы в узких кругах. Поэтому закрывая исходники ты оставляешь в работе злоумышленников, но вполне можешь лишить всякой мотивации экспертов.

...достань своё дидло... Зачем ругаться.

а никто и не ругается...

решения существующие вполне устривают и анб тут не причем (большинство крипто решений не имеют никакого отношения к анб и лишь преследуют цель высочайшей защиты приватности), если бы это было не так все давно бы уже взломали. Как раз многие решения протплкиваемые от анб не способны внедрится в открытые системы в силу очевидных причин.

Если у тебя есть лучшее - пиши.

можно и написать, пока только простые условия: стройте свои решения маскимально открытыми, с учетом мировых стандартов и лицензирования открытого ПО. В частности, например задействовать архитектуру открытых и закрытых ключей без «человека по середине»

Понятно, что там похожая схема, но в силу закрытости и невозможности аудита, доверять этому нельзя.

Для конкретно данного решения почему бы это сделать хотя-бы не в виде addon-ов? Не трудно предположить в чем могут быть возможные причины.

можно и написать

Вот это разговор по существу. Я только - за. А тут ведь до сих большей частью было стандартное нытьё про попилы, про некрасивую иконку и про то, что «вапще всё наше ацтой»

но в силу закрытости

http://standartgost.ru/g/ГОСТ_Р_34.10-2001

Я не понимаю, а почему не может быть такой алгоритм открытым и встроеным в какой-то OpenSSL/NSS/LibreSSL?

И как же ты будешь продавать токены?

для того чтобы писать нужны следующие условия (как минимум):

- лицензирование (L)GPL, MIT, BSD

- сохранение авторства (при необходимости анонимное)

- публичная доступность (github): к коду, коммитам, хэшам и контрольным суммам релизов, стандартам, документации, тикетам (это не те билеты, которые продавались на уроки твиста), баг-трэкингу

- возможность вознаграждений через популярные платежные системы, в том числе и анонимных

- использование открытых стандартов, особенно в криптографии

- неукоснительное соблюдение во всем приватности и схем, исключающих MITM («человек посередине»)

почему важно сохранение приватности? хоть это и очевидно не лишне напомнить: субъект может вести например предпринимательскую деятельность и хотел бы иметь 100+% гарантии что его коммуникации надежно защищены, тем более активы (не только материальные).

Реализовать такое вполне возможно в схемах исключающих MITM, да собственно такое используется давно и повсеместно. Иначе получается, что пока есть природные ресурсы эти все субъекты с их налогами и капиталами как бы не нужны...

НО все дело как раз в том, что слишком немало желающих до этих ресурсов стало (да и было всегда), соответственно тут наилучший способ доверия это отсутствие MITM. В стране, имеющей такие огромные ресурсы недопустим MITM в какой либо форме. Есть риски снизойти до уровня продаж этих ресурсов ...

Можно реализовать вполне рабочую схему например: использовать шифрование по обоим сторонам клиентов на базе их-же приватных ключей с использованием только открытого и доступных публичному аудиту ПО мирового уровня, поверх существующей системы шифрования (по-сути туннель в туннеле) Практически, на клиенте например это может быть addon, на сервере декодировщик...

Делай открытый плагин к открытому продукту, или собственный открытый продукт (и любезно предоставляй его), и будет полное приятие и радость. А закрытые говносборочки и ваши дидла «сдэлано криво чтоб навариться, хайль спэцслужбэ!» идут лесом.

уточнение: поверх имеется в виду снаружи существующая схема без изменений, а внутри своя схема - это очевидно когда требуется усиленная защита