Здравствуйте, rudzuk, Вы писали:
Pzz>> А ты их видел? Ты возьмешься про эту кучу кода, глядя на него, ответственно сделать хоть какое-нибудь заявление, что это — куча кода?
R>Я один? Нет, конечно. Но аврору с другими национальными ОС тоже не с нуля пилили, а вполне себе адаптировали уже готовый продукт. Задача сложная, но не невозможная (у нас национальных линуксов несколько штук, блин).
Анализ кода, к сожалению, плохо масштабируется. У каждого из вас в голове будет кусочек общей картины, но вы никогда не сможете надежно убедиться, что правильно складываете свои кусочки. Это не то же самое, что новый код писать или собирать из кусочков — его хоть можно запустить и проверить. А знания в голове, их не проверишь тестом, нужен какой-то другой способ убедиться в их достоверности.
R>Пусть так. Но это даст обратную совместимость с кучей, просто невероятной кучей готового софта, которого у Авроры никогда не будет. При этом, все инструменты для разработки софта также готовы и открыты.
А почему дополнительный уровень изоляции должен ломать готовый софт? Если он не пользуется недокументированными дырами в родной андроидной изоляции, конечно.
R>Китайцы поступили правильно с хармони. Уверен, их вопросы безопасности беспокоят не меньше.
Китайцы там еще какую изоляцию замутили по сравнению с оригинальным андройдом. У них там все по-взрослому, это не Аврора ОС.
Здравствуйте, Pzz, Вы писали:
Pzz> Анализ кода, к сожалению, плохо масштабируется. У каждого из вас в голове будет кусочек общей картины, но вы никогда не сможете надежно убедиться, что правильно складываете свои кусочки. Это не то же самое, что новый код писать или собирать из кусочков — его хоть можно запустить и проверить. А знания в голове, их не проверишь тестом, нужен какой-то другой способ убедиться в их достоверности.
Понимаю, сложно. Тем не менее задача эта решаемая. Насколько мне известно, ФСБ, например, делала анализ кода W2K.
Pzz> R>Пусть так. Но это даст обратную совместимость с кучей, просто невероятной кучей готового софта, которого у Авроры никогда не будет. При этом, все инструменты для разработки софта также готовы и открыты.
Pzz> А почему дополнительный уровень изоляции должен ломать готовый софт? Если он не пользуется недокументированными дырами в родной андроидной изоляции, конечно.
Не-не-не. Вопрос не в этом, а в том что... (ниже)
Pzz> Китайцы там еще какую изоляцию замутили по сравнению с оригинальным андройдом. У них там все по-взрослому, это не Аврора ОС.
Здравствуйте, rudzuk, Вы писали:
Pzz>> Анализ кода, к сожалению, плохо масштабируется. У каждого из вас в голове будет кусочек общей картины, но вы никогда не сможете надежно убедиться, что правильно складываете свои кусочки. Это не то же самое, что новый код писать или собирать из кусочков — его хоть можно запустить и проверить. А знания в голове, их не проверишь тестом, нужен какой-то другой способ убедиться в их достоверности.
R>Понимаю, сложно. Тем не менее задача эта решаемая. Насколько мне известно, ФСБ, например, делала анализ кода W2K.
Я очень скептично отношусь к решаемости этой задачи — в реальном мире, а не на бумаге.
Более-менее надежно может быть просмотрена только небольшая кодовая база. Поэтому это как-бы чуть ли не основа ИБ-грамотности: код, обеспечивающий безопасность, должен быть отделен от кода, обеспечивающего функциональность. Именно чтобы вынести из него наружу максимально возможную часть сложности и сделать его, тем самым, обозримым и постижимым.
Pzz>> Китайцы там еще какую изоляцию замутили по сравнению с оригинальным андройдом. У них там все по-взрослому, это не Аврора ОС.
R>Вот и отлично. Чего мы то так не поступили?
Поступили. В Астре. А в Авроре, насколько я в курсе, не поступили (но должен признаться, я не делал серьезного факт-чекинга по Авроре и существует некоторая вероятность, что я думаю о ней хуже, чем она заслуживает).
Здравствуйте, Pzz, Вы писали:
Pzz> R>Вот и отлично. Чего мы то так не поступили?
Pzz> Поступили. В Астре. А в Авроре, насколько я в курсе, не поступили (но должен признаться, я не делал серьезного факт-чекинга по Авроре и существует некоторая вероятность, что я думаю о ней хуже, чем она заслуживает).
Если бы поступили, то в Авроре ведроид приложения являлись бы first class citizens, а не вот это вот все.
Здравствуйте, Mihal9, Вы писали:
M>Что скажете об этой операционке для мобильных? Взлетит — не взлетит?
Такие ОС надо развивать 10+ лет. M>Есть ли у нее светлое будущее? Сложно ли для нее делать приложения?
Я думаю что в сегменте бизнес устройств только, как блекберри в своё время, но нужна невероятная экосистема и интеграция со всем. Можно сделать из неё Аппл для бизнеса.
R>>Есть же форки хрома без телеметрии и прочего шпионства, есть ведроиды без гугл-сервисов
Pzz>Есть, да. Пишут, что там оно примерно тонким слоем размазано по куче разных мест.
Pzz>Я б не поручился, что там ничего не пропущено и дейсвовал бы несколько не так. Я бы вынес всю сетевую активность наружу из гуглевого кода (там ее не так уж и много, по объему кода), а остальное гонял бы в песочнице в полной сетевой изоляции.
Вынос сетевой активности из гуглевого кода точно поможет?
Как Вы будете определять валидную активность?
Мне это очень напоминает задачу создания "белого" списка IP/URL/портов для файеровола.
Например для работы с MS Azure нужно разрешать кучу облачных эндпойнтов неочевидного назначения, иначе оно работать не будет.
А передаваемые данные могут быть в недокументированном формате, если не зашифрованы вообще.
Здравствуйте, m2user, Вы писали:
Pzz>>Я б не поручился, что там ничего не пропущено и дейсвовал бы несколько не так. Я бы вынес всю сетевую активность наружу из гуглевого кода (там ее не так уж и много, по объему кода), а остальное гонял бы в песочнице в полной сетевой изоляции.
M>Вынос сетевой активности из гуглевого кода точно поможет?
Вынос сетевой активности из гуглевого кода поможет ее контролировать, эту самую сетевую активность. Гуглевый код аккуратный, но необъятный. Любое умозаключение про него может оказаться ложным.
M>Как Вы будете определять валидную активность? M>Мне это очень напоминает задачу создания "белого" списка IP/URL/портов для файеровола. M>Например для работы с MS Azure нужно разрешать кучу облачных эндпойнтов неочевидного назначения, иначе оно работать не будет. M>А передаваемые данные могут быть в недокументированном формате, если не зашифрованы вообще.
Ну в принципе, да. Но это веб-бровсер, все же, а не загадочный Azure. Так, более-менее понятно, чего веб-бровсеру надо. Конечно, все эти CORS и прочие WebRTC придется понимать и правильно отрабатывать.
Здравствуйте, rudzuk, Вы писали:
R>Здравствуйте, rudzuk, Вы писали:
r>> k> А у них разве форк андроида?
r>> Да.
R>Оказалось нет.
Утверждается, что нет. Гармония (в китайском там другое слово означающее первоначальный бардак) это вообще франкенштейн, фронтенд которого может быть ява слоем аосп, а может и не быть, а бэкенд линксуом, либо своим микроядерными нечтом, а может и не быть. По крайней мере известны как п*глазики, так и наши, которые под нее что-то писали. Но(!) все, кто имели хоть какой-то доступ к ней не видели ничего кроме аоспа со своими сервисами (к части имел отношения уже я и никаких ключей, что это не аосп не видел)
Здравствуйте, Mihal9, Вы писали:
M>Что скажете об этой операционке для мобильных? Взлетит — не взлетит? M>Есть ли у нее светлое будущее? Сложно ли для нее делать приложения?
Потенциально она во всем лучше андроида/аоспа, включая производительность и время жизни от батареии. В реальности пилится насколько я понял силами 10 товарищей, из-за чего вылизать ее будет невозможно. Но для госов и прочего -- я думаю норм.
M>>Вынос сетевой активности из гуглевого кода точно поможет?
Pzz>Вынос сетевой активности из гуглевого кода поможет ее контролировать, эту самую сетевую активность. Гуглевый код аккуратный, но необъятный. Любое умозаключение про него может оказаться ложным.
M>>Как Вы будете определять валидную активность? M>>Мне это очень напоминает задачу создания "белого" списка IP/URL/портов для файеровола. M>>Например для работы с MS Azure нужно разрешать кучу облачных эндпойнтов неочевидного назначения, иначе оно работать не будет. M>>А передаваемые данные могут быть в недокументированном формате, если не зашифрованы вообще.
Pzz>Ну в принципе, да. Но это веб-бровсер, все же, а не загадочный Azure. Так, более-менее понятно, чего веб-бровсеру надо. Конечно, все эти CORS и прочие WebRTC придется понимать и правильно отрабатывать.
Всё равно не понимаю. Вот нашпионил хромиум какие-то данные о пользователе, а потом передаёт например через сформированую особым образом последовательность DNS запросов. А гугл на своих публичных DNS серверах принимает.
Как Вы сепарируете такую замаскированную активность не заглядывая в код хромиума (потому что "Любое умозаключение про него может оказаться ложным").
Вспомнился другой пример: у Mozilla Firefox есть по-умолчанию включенная функция "Deceptive Content and Dangerous Software Protection".
Так вот она лезет на списков "опасных" сайтов на сервера гугла. А по описанию ещё и передает описание исполняемых файлов в Google
In addition to the regular list updates mentioned above, when using Malware Protection to protect downloaded files, Firefox may communicate with Mozilla's partners to verify the safety of certain executable files.
In these cases, Firefox will submit some information about the file, including the name, origin, size and a cryptographic hash of the contents, to the Google Safe Browsing service which helps Firefox determine whether or not the file should be blocked.
Я обнаружил её работу при забавных обстоятельствах: это список "опасных" сайтов достаточно большой, обновляется часто и не инкрементально. И он мне периодически так забивал канал, что RDP тормозил. Пришлось расследовать и отключить
Здравствуйте, m2user, Вы писали:
Pzz>>Ну в принципе, да. Но это веб-бровсер, все же, а не загадочный Azure. Так, более-менее понятно, чего веб-бровсеру надо. Конечно, все эти CORS и прочие WebRTC придется понимать и правильно отрабатывать.
M>Всё равно не понимаю. Вот нашпионил хромиум какие-то данные о пользователе, а потом передаёт например через сформированую особым образом последовательность DNS запросов. А гугл на своих публичных DNS серверах принимает. M>Как Вы сепарируете такую замаскированную активность не заглядывая в код хромиума (потому что "Любое умозаключение про него может оказаться ложным").
Я из него вытащу наружу сетевую активность на уровне "разрезолвить DNS", "отработать HTTP-запрос по URL-ю". И дальше буду отрабатывать эти высокоуровневые запросы с учетом их семантики и контекста (HTTP origin, CORS, ...). Сырые DNS-запросы я ему не позволю посылать, и не относящиеся к делу тоже.
А всякую другую сетевую активность я ему отрежу, поместив его в контейнер. Да еще и логать ее буду, чтобы понять, к чему там она.
Но на самом деле, Гугль не посылает особым образом сформированные DNS-запросы. Он вполне в открытую лезет на свои сервера, и что ему надо, то и посылает.
M>Вспомнился другой пример: у Mozilla Firefox есть по-умолчанию включенная функция "Deceptive Content and Dangerous Software Protection".
Да даже search line completion лезет в гугль. DNS over HTTP (DoH) лезет в гугль и передает ему все домены, на которые я захожу. Там куча "полезных" сервисов, которые делая своё полезное дело, заодно и информацию о пользователе собирают.
Как сохранить эти полезные сервисы, я пока не знаю.
M>Я обнаружил её работу при забавных обстоятельствах: это список "опасных" сайтов достаточно большой, обновляется часто и не инкрементально. И он мне периодически так забивал канал, что RDP тормозил. Пришлось расследовать и отключить
M>>Как Вы сепарируете такую замаскированную активность не заглядывая в код хромиума (потому что "Любое умозаключение про него может оказаться ложным").
Pzz>Я из него вытащу наружу сетевую активность на уровне "разрезолвить DNS", "отработать HTTP-запрос по URL-ю". И дальше буду отрабатывать эти высокоуровневые запросы с учетом их семантики и контекста (HTTP origin, CORS, ...). Сырые DNS-запросы я ему не позволю посылать, и не относящиеся к делу тоже.
Т.е. без контекста всё-таки не обойтись?
Я имею в виду, что вне веб-браузера (например в http-прокси) такую фильтрацию не реализовать.
Нетривиальная задача однако.
Pzz>Да даже search line completion лезет в гугль. DNS over HTTP (DoH) лезет в гугль и передает ему все домены, на которые я захожу. Там куча "полезных" сервисов, которые делая своё полезное дело, заодно и информацию о пользователе собирают.
Pzz>Как сохранить эти полезные сервисы, я пока не знаю.
И не надо, обнаружение подозрительных файлов и пр. это никак не функционал веб-браузера. Лучше бы поддержка proxy была из коробки, а не плагинами.
Pzz>
I am fastidious about what I do on the internet and how. The internet has become a disgusting system of tracking people and snooping on them.
To avoid this, there are many things I refuse to do. My refusal is not a sacrifice — on the contrary, surrendering to those bad practices would be a sacrifice.
I usually fetch web pages from other sites by sending mail to a program (see https://git.savannah.gnu.org/git/womb/hacks.git) that fetches them, much like wget, and then mails them back to me.
Then I look at them using a web browser, unless it is easy to see the text in the HTML page directly. I usually try lynx first, then a graphical browser if the page needs it.
Здравствуйте, m2user, Вы писали:
Pzz>>Я из него вытащу наружу сетевую активность на уровне "разрезолвить DNS", "отработать HTTP-запрос по URL-ю". И дальше буду отрабатывать эти высокоуровневые запросы с учетом их семантики и контекста (HTTP origin, CORS, ...). Сырые DNS-запросы я ему не позволю посылать, и не относящиеся к делу тоже.
M>Т.е. без контекста всё-таки не обойтись? M>Я имею в виду, что вне веб-браузера (например в http-прокси) такую фильтрацию не реализовать.
Мне кажется, что можно, при условии, что на HTTPS бровсер все равно ходит через GET/POST, а не через CONNECT. Вроде как все, что нужно, содержится в HTTP заголовке.
M>Нетривиальная задача однако.
Да.
Pzz>>Как сохранить эти полезные сервисы, я пока не знаю.
M>И не надо, обнаружение подозрительных файлов и пр. это никак не функционал веб-браузера. Лучше бы поддержка proxy была из коробки, а не плагинами.
Ну, смотря что. Search line autocompletion вроде как вполне себе функционал бровсера. Но бровсер ж ведь не своим умом это делает, а гуглиным. Попутно сливая в гугль знания о том, какие поиски меня интересуют — даже если я не пользуюсь гуглевой поисковой машиной (подозреваю, что Яндекс.Бровсер делает то же самое через Яндекс).
M>Всё идет к тому, что придется возвращаться к методикам Столлмана M>https://stallman.org/stallman-computing.html
Ну, Столлман — кибермонах, кибераскет и вообще святой человек. Боюсь, не всем по силам его путь.
