Бренден Айк (Brendan Eich), создатель языка JavaScript, занимающий пост технического директора Mozilla Corporation, предложил организовать процесс независимой непрерывной верификации кодовой базы Firefox для того, чтобы гарантировать невозможность внедрения в продукт кода для осуществления слежки и других скрытых действий. Слепого доверия производителю и его заслуженной репутации недостаточно, так как действующие в США законодательные акты позволяют принудить производителя к совершению действий, идущих к разрез с теми принципами, которых они придерживаются в области безопасности и приватности.
По мнению Брендена, в условиях, когда производителям браузеров судебным путём может быть навязано внедрение скрытых возможностей, наилучшим ответом для проекта с открытой кодовой базой является организация непрерывного независимого аудита кода, проводимого при участии экспертов из разных стран и представителей сообщества. Смысл в навязывании скрытых возможностей теряется в условиях, при которых данные изменения неотвратимо будут выявлены силами независящими от производителя, на которого можно оказать давление.
Для реализации указанной идеи предлагается организовать независимый регулярный аудит исходных текстов Mozilla и обеспечить возможность верификации бинарных сборок. В частности, планируется организовать на 100% повторяемые сборки, при которых любой желающий может воспользовавшись доступными и прошедшими аудит исходными текстами для генерации бинарной сборки, полностью идентичной сборкам (совпадающей бит в бит), распространяемым с серверов проекта. Для верификации сборок планируется ввести в строй независимую автоматизированную систему проверки, которая исключит возможность скрытых внедрений в бинарную сборку на стадиях после сборки и в процессе компиляции.
Источник: http://www.opennet.ru/opennews/art.shtml?num=38839
Я правильно понимаю, США попытались их нагнуть для вставки зондов, и запретили об этом говорить? - а техдир таким образом дает понять что надо звонить в колокола?
сервисы защищенной электронной почты <…> получили судебные приказы, вынуждающие их работать
Источник: http://www.securitylab.ru/news/447906.php
ШТА?
Infocatcher
Я правильно понимаю, США попытались их нагнуть для вставки зондов, и запретили об этом говорить? - а техдир таким образом дает понять что надо звонить в колокола?
IMHO, Mozilla пытается позиционировать Firefox как ОС с наиболее открытым и прозрачным исходным кодом. Все комментаторы почему-то подумали о десктопном Firefox, но открытость и прозрачность кода Firefoх, работающего в недоверенной среде Windows, не очень то сильно помогает. К тому же десктоп становится всё более и более нерелевантным и доля его всё больше и больше падает.
Для мобильных устройств ситуация совершенно иная. Android напичкан по самые уши закрытым ПО от Google, Tizen пока пребывает в состоянии vaporware, Ubuntu также пока не вызывает особого доверия и устройств на его основе пока не видно. Позиция Canonical как компании, стремящейся стать новым Apple, также не прибавляет ей доверия в части открытости и прозрачности ПО.
Поэтому Firefoх OS является одним из кандидатов на наиболее прозрачную ОС для смартфонов. Думаю, что заявление Брендана пытается формализовать и закрепить этот процесс.
Android напичкан по самые уши закрытым ПО от Google
Звучит как угрожающе, а так-то всё выпиливается, но вот всякие закрытые драва остаются, а это уж не знаю чего там.
Firefoх OS
Да тоже закрытые драва и чёрт его знает ещё чего там, это ж мобилка, всякие imei и прочее.
KooL
Да, закрытые дрова это проблема, но дорогу осилит идущий. Что-то я не вижу инициатив Google по организации независимого аудита Android. IMHO, из коробки Firefox OS гораздо более открыта, чем Android.
это ж мобилка, всякие imei и прочее.
Новые версии Firefox OS будут работать и на планшетах. Там нет GSM-модулей и всего этого...
IMHO, Mozilla пытается позиционировать Firefox как ОС с наиболее открытым и прозрачным исходным кодом. Все комментаторы почему-то подумали о десктопном Firefox, но открытость и прозрачность кода Firefoх, работающего в недоверенной среде Windows, не очень то сильно помогает. К тому же десктоп становится всё более и более нерелевантным и доля его всё больше и больше падает.
Рассказал новости на завтра 
https://brendaneich.com/2014/01/trust-but-verify/ В блоге не вижу даже упоминания о ![[firefox]](img/browsers/firefox.png "firefox")
ОС, что странно даже. Он как раз говорил о десткопных ОС и о том что наши данные не должны быть ни в коем случае прочитаны. Приводит ссылку на лавабит http://www.theguardian.com/world/2013/o … ys-snowden оттуда уже https://rally.org/lavabit.
Он также указал что ПО для своей же надежности должно быть полностью открытым (напомнил что за закон его волнует https://ssd.eff.org/foreign/fisa):
[1] Firefox on Linux is the best case, because the C/C++ compiler, runtime libraries, and OS kernel are all free and open source software. Note that even on Linux, certain hardware-vendor-supplied system software, e.g., OpenGL drivers, may be closed source.
И предложил инициативу переделать компилирующий сервер (если навернул подправьте) т.к. вспомнил о compiler-level attacks: http://cm.bell-labs.com/who/ken/trust.html
Собственно завел багу для обсуждения вопроса: https://bugzilla.mozilla.org/show_bug.cgi?id=885777
15-01-2014 01:17:48
Новые версии Firefox OS будут работать и на планшетах. Там нет GSM-модулей и всего этого...
а когда gsm модули будут открытыми или Firefox OS на телевизоры со смарт ТВ перейдет?
feas
В блоге не вижу даже упоминания о
Мне тоже странно, но что-то я сомневаюсь, что Mozilla затеяла всё это ради десктопного Linux. Он для неё гораздо менее приоритетен, чем Windows/Mac/Android/Firefox OS. Возможно это просто первый шаг, для тестирования самой идеи.
а когда gsm модули будут открытыми или Firefox OS на телевизоры со смарт ТВ перейдет?
Panasonic: Next Generation Smart TVs powered by Firefox OS
Today, Panasonic announced a partnership with Mozilla to release next generation smart TVs powered by Firefox OS. Mozilla and Panasonic will work together to promote Firefox OS and its open ecosystem. This development aims to deliver more expansive access into smart TVs by leveraging the HTML5 and Web technologies already prevalent on PCs, smartphones and tablets, to offer consumers more personalized and optimized access to Web and broadcasting content and Web services.
Вы же не хотите, чтобы телевизор с закладками от АНБ снимал вас в спальне? 
Вендоры и ФФОС загадят кучей зондов, так же придётся рут получать или ещё чего и выгребать свалку.
Вы же не хотите, чтобы телевизор с закладками от АНБ снимал вас в спальне?
А если скажу что у меня этого все готово 
а теперь подумайте кто мешает воткнуть следящий чип с гсм модулем скажем в ваш унитаз? или в лампочку да вообще куда угодно? никто. (вы окна новые ставили? а батареи отопления меняли? а счётчики воды? а что внутри проверяли? воот.)
Ну настолько людей не пугай да и Модуль проще в более крупный бытовой прибор засунуть как в телевизор, чем в телефон или часы те же. В унитазе вообще как инородный предмет смотрится.
а в телефоне вообще достаточно это предусмотреть в основном чипе.
Логическую бомбу в проц заложат)) Но это все равно даже и близко не сравниться с "легальным" программным зондом в Андроиде или Гейфоне.
Если с законодательством США всё так плохо, то почему компании это терпят, а не переезжают в более приемлемые юрисдикции? В остальных странах всё ещё хуже?
16-01-2014 00:22:55
okkamas_knife
даёшь котиков в каждый дом и зловещие шпионские планы обломаются!
А в котика можно вживить микрочип. В своё время американцы так и сделали. И всё бы было хорошо, если бы кот не сорвал операцию, попав под машину. Злые (американские?) языки, правда, считают что без русских тут не обошлось…
Если с законодательством США всё так плохо, то почему компании это терпят
Терпят что? Всякие Гуглы в шоколаде там.
Hastla
Терпят что? Всякие Гуглы в шоколаде там.
Гуглы-то понятно. Я про те компании, которые [вроде бы как] не хотят стучать. Или кроме Mozilla таких нет? Это ведь, по идее, компрометирует весь американский opensource-сектор.
okkamas_knife
самый главный момент в том что другие страны не защищены, то бишь переедет скажем гугл в Бугагонию а там хлоп переворот диктатор и прощай компания или встанет деятельность гугла штатам поперёк горла и как минимум прощай американский рынок(а это дофига бабла) а как максимум ЦРУ найдет в бугагонии ядернохимическобиологическоое оружие и ну ты понял чем это закончится..
Гугл никогда не переедет, ему и так хорошо. А вот если бы, например, какая-нибудь Red Hat или хоть какие-нибудь компании из области создания свободных средств шифрования по-настоящему дорожили репутацией…
А так-то да. Но зато можно на налогах сэкономить…
опятьже для производства нужны кадры а где их взять в бугагонии? везти из штатов?
Везти из Индии?
это кстати вопрос к тому на кого работает гринпис - чтото не слышно их шума.
Это же секретная операция была, как бы в Гринпис тогда о ней узнать могли?
…кстати, Латынина, например, считает, что сегодня Гринпис работает на Китай. 
кто мешает воткнуть следящий чип с гсм модулем скажем в ваш унитаз?
Одному человеку в лоб вставили, сами признались. Причём не АНБ, а «наши» паршивцы.
Одному человеку в лоб вставили, сами признались. Причём не АНБ, а «наши» паршивцы.
нынешние технологии позволяют внедрять аппаратные жучки без особых проблем и никакой опенсорс и шифрование не поможет.
Неистово поддерживаю.
Нет смысла в opensource, когда всё прошивается на уровне железа.
Так что вся электроника, софт - под колпаком, как и мы...