Полезная информация

Mozilla Россия — свежие версии программ Mozilla, а также масса полезной информации по каждому продукту.
  • Форумы
  •  » Новости
  •  » Компания КриптоПро решила заработать денег на популярности Mozilla

№110-04-2013 21:54:21

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1302
UA: Firefox 19.0
Веб-сайт

Компания КриптоПро решила заработать денег на популярности Mozilla

Не далее как сегодня небезызвестная компания КриптоПро придумала как еще можно продать свой провайдер к госуслугам продукт CryptPro CSP, и выложила на своем сайте нечто под названием КриптоПро Fox. По сути, это переработанный Mozilla Firefox не очень свежей версии + csp для работы. Новость об этом продукте так и осталась бы незамеченной, но привлекает внимание следующее:
1) В тексте официальной новости открыто используется логотип Mozilla Firefox (а ведь нам предлагается совсем другой продукт) без согласования с Mozilla..
2) Упоминаются ESR сборки Mozilla Firefox, а ведь никто не знает, будет ли КриптоПро соблюдать релизный цикл выпуска ESR и уж тем более осуществлять поддержку для клиентов и исправлять ошибки.   По крайней мере, на странице продукта об этом ни слова.
3) На вопрос, а есть ли у КриптоПро договоренности с Mozilla, был получен странный ответ, что, мол, софт бесплатный, исходники открыты, что хотим, то и делаем.
4) На вопрос, а не нарушает ли КриптоПро Mozilla trademark policy, публикуя подобную новость с официальным лого Mozilla Firefox, был получен ответ из цитат неясного свойства, но ровно такого же смысла.

Как видно, данная сборка ничем не отличается от мусора, который предлагает отправить смс, чтобы пользоваться браузером, или от сборки, где просто изменили циферку версии в about:version. Не уверен, что маркетологи из КриптоПро знают что такое лицензии MPL или Apache 2.0, по ответам в твиттере этого нельзя сказать. К слову, вот тут прямо и сказано, что КриптоПро вам (пользователю) ничего не должна.

Поэтому команда Mozilla.Россия не рекомендует использовать этот продукт даже для обычного веб-серфинга.

Мы уже известили юридическую службу Mozilla об этом случае, но в виду слабой юридической поддержки ПО в России не стоит надеяться на то, что кто-то будет наказан и уж тем более, что компания КриптоПро подредактирует свою "желтую" новость на сайте.


Все микробы умрут

Отсутствует

 

№210-04-2013 22:29:41

geczu
Участник
 
Группа: Members
Зарегистрирован: 02-11-2012
Сообщений: 244
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

А в чем проблема? Вроде как единственное нарушение это иконка. Ну и версия конечно несвежая.

А так - любые сборки не рекомендуется качать, нужно настроить все самому. Разве что TorBrowser репутацию заработал.

Отредактировано geczu (10-04-2013 22:30:48)

Отсутствует

 

№310-04-2013 22:31:43

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1302
UA: Firefox 19.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

geczu
Нет исходников и код КриптоПро CSP явно несовместим с лицензиями MPL и Apache 2.0


Все микробы умрут

Отсутствует

 

№410-04-2013 23:26:18

RED
Модеpатор
 
Группа: Moderators
Откуда: Ульяновск
Зарегистрирован: 08-10-2004
Сообщений: 6085
UA: Firefox 20.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

о, еще один "linux xp"

Отсутствует

 

№511-04-2013 03:19:19

Skat
Участник
 
Группа: Members
Откуда: Южно-Сахалинск
Зарегистрирован: 10-10-2004
Сообщений: 894
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Я помню где-то недели две назад искал, как можно подружить криптопро и фаерфокс.
Находились топики на их форуме, где они говорили (точный текст не помню), что мозилла не пошла им на встречу в вопросе штатного включения поддержки их криптопровайдера в фф, поэтому им пришлось делать свои сборки.

Так что не думаю, что это прям для зарабатывания денег. Это реально нужно. Правда отдельные сборки проблему не сильно решают...

PS: Сейчас пробема с либреофисом, надеюсь тут обойдутся без своих сборок)

Отсутствует

 

№611-04-2013 08:21:52

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Пусчай делают, моё ИМХО, что уж пусть клепают форки с закрытыми исходниками, чем сделают порт хромого.

Думаю, не проблема договорится с [mozilla] о том, чтобы выдать им разрешение на такое дело за небольшую денешку, при условии, что они будут честно, при установке (БОЛЬШИМИ БУКВАМИ), предупреждать, что это не оригинальный [firefox] и что он, возможно, имеет закладки.

Отсутствует

 

№711-04-2013 11:08:09

CoolCmd
Участник
 
Группа: Members
Зарегистрирован: 29-09-2008
Сообщений: 688
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Zaycoff пишет

небольшую денешку, при условии, что они будут честно, при установке (БОЛЬШИМИ БУКВАМИ)

а за большую денешку маленькими буквами.
а за очень большую денешку можно вообще ничего не писать.
в общем иди в сад с такими советами.


леса живет в лису?

Отсутствует

 

№811-04-2013 11:36:14

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

т.е. Вы предлагаете им просто бесплатно это делать?
[mozilla] как бы не на рекламу живёт и каждый спонсор на вес золота, так что привередничать глупо, тем более, что КриптоПро могут просто открыть исходники, сменить имя форка и пользоваться бесплатно. :P

Отредактировано Zaycoff (11-04-2013 11:37:14)

Отсутствует

 

№911-04-2013 12:19:52

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1302
UA: Firefox 19.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Skat
Если вам нужен Firefox или Thunderbird с поддержкой российского крипто, есть фирмы, которые предлагают это бесплатно или хотя бы участвуют в решении проблемы как можно добавить поддержку ГОСТ в NSS - это LISSI и SWEMEL. Предложенные ими реализации соответствуют требованиям Mozilla по включению кода NSS.
КриптоПро сделала самый уродливый вариант из всех: вместо того, чтобы сделать нативную поддержку наших ГОСТов в NSS, они сделали стопиццот прослоек чтобы пользователь заплатил как можно больше - купил CSP, купил PKCS11 модуль для NSS + еще поставил их сборку Firefox.

Добавлено 11-04-2013 12:21:24
Zaycoff

Zaycoff пишет

КриптоПро могут просто открыть исходники

Давайте не фантазировать. Они же удавятся от жадности, какие исходники.

Отредактировано lakostis (11-04-2013 12:21:24)


Все микробы умрут

Отсутствует

 

№1011-04-2013 13:34:01

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

lakostis пишет

Давайте не фантазировать. Они же удавятся от жадности, какие исходники.

Это уже другой вопрос... ;)

okkamas_knife пишет

А продавать репутацию последнее дело,неважно за какие деньги.

Эх... если бы Mozilla уже ранее не продавалась гуглу, яндексу и, наверное, ещё кому-то, то бы так не говорил, тем более не нужно утрировать - вот если бы стартовой страницей в [firefox] сделали сайт, ну, этих самых, как Вы там написали, то и я бы возмутился.

А так люди хотят подзаработать. Им нужен браузер с определёнными параметрами. Сами они его написать не потянут, поэтому решили воспользоваться чужими наработками.
Судя по всему, у них нет юристов по копирайту (или они дятлы полные не очень квалифицированные), поэтому они не выпилили название и торговые марки [mozilla] из своей сборки, открывать исходники они в принципе обязаны, но никто не помешает им использовать свою прослойку в виде дополнения с бинарниками работающими только на их сборке (например, через контроль хэшей) и тогда они спокойно откроют исходные коды сборки, но не самого дополнения.

Отсутствует

 

№1111-04-2013 13:59:41

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

okkamas_knife пишет

зы ты так защищаешь эту компашку что возникает логичный вопрос ...

Я их не защищаю - о существовании этой компании узнал только из этой новости =)

okkamas_knife пишет

не путаем поисковую страничку по-умолчанию и внесение в открытый браузер закрытых модулей.

Эээ.. нет...поисковая страничка по умолчанию в официальной сборке [firefox] от [mozilla] намного более серьёзное изменение, чем создание форка с закрытыми компонентами, эта компания не предлагает же вносить в официальную сборку свой код, и если официальную сборку качают миллионы пользователей, то сборку от КриптоПро скачают дай бог тысяч 50-60 раз да и то навряд ли... не вижу вообще необходимости в поддержке этих стандартов... (это что-то для госструктур кажется, мне не понять)

Вообще же хотелось бы услышать официальную позицию [mozilla]... хотя думаю, им по барабану на это :music:

Отсутствует

 

№1211-04-2013 15:29:30

zats
Участник
 
Группа: Members
Зарегистрирован: 11-04-2013
Сообщений: 2
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

geczu пишет

А в чем проблема? Вроде как единственное нарушение это иконка. Ну и версия конечно несвежая.

А так - любые сборки не рекомендуется качать, нужно настроить все самому. Разве что TorBrowser репутацию заработал.

Вообще-то, лицензии следует читать. Особенно в подобных случаях. GPL и бардак - это разные вещи.

Отсутствует

 

№1311-04-2013 16:16:20

Tatiana_K
Участник
 
Группа: Members
Зарегистрирован: 11-04-2013
Сообщений: 1
UA: Yandex 1.5

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Здравствуйте.
Меня зовут Татьяна, я работаю программистом в компании Крипто-Про.

1. Вчера для linux и windows был выложен дистрибутив с брендингом "CryptoPro Fox" и соответсвующими иконками, для Mac OS выложили дистрибутив с неправильным брендингом ("FireFox" и мозилловской иконкой). Сегодня для MacOS тоже выложили дистрибутив с брендингом "CryptoPro Fox": http://www.cryptopro.ru/products/cpfox    http://www.cryptopro.ru/sites/default/files/products/cpfox/firefox-17.0.3esrpre.en-us.mac64.dmg . Повторюсь: неправильный брендинг для MacOS -- это ошибка, мы её исправили. Для linux и windows брендинг изначально был "CryptoPro Fox". Мы не планируем никого вводить в заблуждение и делать вид, что то, что лежит на сайте КриптоПро -- это сборка от Мозиллы. Никакие наши анонсы или описание продукта на сайте не носят этой цели (не верите -- почитайте текст, там всё правильно и правдиво написано).
2. Мы не продаём этот продукт -- он предоставляется бесплатно, не требует никаких лицензий, серийников. Более того, если нужно использовать односторонний TLS, то ещё и наш криптопровайдер работает бесплатно и не требует серийника. Таким образом, до создания этого продукта у людей, которые пользуются Linux и Mac OS не было никакой возможности удобно использовать TLS с ГОСТом, а теперь есть возможность пользоваться односторонним TLS бесплатно, а для работы с двухсторонней аутентификацией надо будет купить CSP за 1800 рублей. Не вижу что в этом плохого.
3. Мы хотели вместо самостоятельных пересборок ff договориться с разработчиками nss о включении ГОСТ в список криптографических алгоритмов, которые поддерживаются NSS, что дало бы автоматическую поддержку ГОСТ в firefox и готовы были предоставить им патчи, которые это обеспечивают. Но, к сожалению, нам не удалось этого сделать. Приходится пересобирать firefox, чтобы наши пользователи могли возможность удобно использовать TLS с ГОСТ.
4. У нас есть ряд продуктов, которые представляют собой переработку opensource продуктов с поддержкой нашей криптографии (stunnel, curl, openssl, firefox). Мы не нарушаем лицензии и, если должны предоставлять исходники, то предоставляем их. Исходники предоставляются по требованию. По вопросу предоставления исходников вы можете написать мне на почту: kondakova at cryptopro.ru
5. Если есть ещё какие-то замечания или дополнения, их также можно отправить мне на почту kondakova at cryptopro.ru

Добавлено 11-04-2013 16:26:12
Добавлю: наш модуль PKCS11, через который работает Firefox, как и наша сборка Firefox тоже предоставляется бесплатно и не требует никаких лицензий.

Отредактировано Tatiana_K (11-04-2013 16:26:12)

Отсутствует

 

№1411-04-2013 16:43:39

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1302
UA: Firefox 19.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Zaycoff

Zaycoff пишет

А так люди хотят подзаработать. Им нужен браузер с определёнными параметрами. Сами они его написать не потянут, поэтому решили воспользоваться чужими наработками.
Судя по всему, у них нет юристов по копирайту (или они дятлы полные не очень квалифицированные), поэтому они не выпилили название и торговые марки [mozilla] из своей сборки, открывать исходники они в принципе обязаны, но никто не помешает им использовать свою прослойку в виде дополнения с бинарниками работающими только на их сборке (например, через контроль хэшей) и тогда они спокойно откроют исходные коды сборки, но не самого дополнения.

Внимательно читаем MPL:

Выделить код

Код:

3.2. Distribution of Executable Form

If You distribute Covered Software in Executable Form then:

    such Covered Software must also be made available in Source Code Form, as described in Section 3.1, and You must inform recipients of the Executable Form how they can obtain a copy of such Source Code Form by reasonable means in a timely manner, at a charge no more than the cost of distribution to the recipient; and

    You may distribute such Executable Form under the terms of this License, or sublicense it under different terms, provided that the license for the Executable Form does not attempt to limit or alter the recipients’ rights in the Source Code Form under this License.

Если они используют прослойку, все равно надо изменить исходники Firefox и выложить патчи и раз они не продают продукт, то и патчи должны быть бесплатными.


Все микробы умрут

Отсутствует

 

№1511-04-2013 16:55:36

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 20.0

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

lakostis пишет

Если они используют прослойку, все равно надо изменить исходники Firefox и выложить патчи и раз они не продают продукт, то и патчи должны быть бесплатными.

Эм.. а я о чем написал?
Ограничений в лицензии на написанное мною выше не вижу и честно говоря, вообще не вкуриваю в необходимость создания отдельного браузера для поддержки чего-то там, проще создать дополнение и навешивать его в браузер, никто и слова не скажет...


Добавлено 11 апреля 2013 г. в 17:01

Никто же не требует открытия исходников для бинарных компонентов дополнений от касперского или для плагинов типа флэша и акробата?

Отредактировано Zaycoff (11-04-2013 17:01:44)

Отсутствует

 

№1611-04-2013 17:02:30

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1302
UA: Firefox 19.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Tatiana_K
Спасибо, что зашли к нам!

Tatiana_K пишет

Мы не планируем никого вводить в заблуждение и делать вид, что то, что лежит на сайте КриптоПро -- это сборка от Мозиллы. Никакие наши анонсы или описание продукта на сайте не носят этой цели (не верите -- почитайте текст, там всё правильно и правдиво написано).

Что вы наконец-то убрали логотип Mozilla Firefox из текста новости похвально, хотя что вы решили за это не извиняться не делает вам чести.

Tatiana_K пишет

2. Мы не продаём этот продукт -- он предоставляется бесплатно, не требует никаких лицензий, серийников. Более того, если нужно использовать односторонний TLS, то ещё и наш криптопровайдер работает бесплатно и не требует серийника.

Все-таки уточните, криптопровайдер или PKCS#11 токен?

Tatiana_K пишет

3. Мы хотели вместо самостоятельных пересборок ff договориться с разработчиками nss о включении ГОСТ в список криптографических алгоритмов, которые поддерживаются NSS, что дало бы автоматическую поддержку ГОСТ в firefox и готовы были предоставить им патчи, которые это обеспечивают. Но, к сожалению, нам не удалось этого сделать. Приходится пересобирать firefox, чтобы наши пользователи могли возможность удобно использовать TLS с ГОСТ.

судя по архивам dev-tech-crypto, нет ни одного письма от сотрудников КриптоПро, подтверждающего это. Как именно вы общались с разработчиками NSS?

Tatiana_K пишет

4. У нас есть ряд продуктов, которые представляют собой переработку opensource продуктов с поддержкой нашей криптографии (stunnel, curl, openssl, firefox). Мы не нарушаем лицензии и, если должны предоставлять исходники, то предоставляем их. Исходники предоставляются по требованию. По вопросу предоставления исходников вы можете написать мне на почту: kondakova at cryptopro.ru

А что мешает вам выложить эти исходники публично, как это сделала Криптоком?


Все микробы умрут

Отсутствует

 

№1711-04-2013 17:50:24

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Татьяна, спасибо за Ваше появление на этом форуме.

Не скрою, что использование продукции, выпускаемой Вашей фирмой - это своего рода головная боль для тех, кто настраивает ее работу на взаимодействие с различными торговыми площадками и т.п.; чего, к примеру, стоит только применение устаревшей и более не поддерживаемой библиотеки MS CAPICOM - https://ru.wikipedia.org/wiki/CAPICOM

Чтобы отдельные монологи, приводимые здесь, превратились в конструктивный диалог, давайте поступим так. Ответьте на несколько уточняющих вопросов.

1. Какой конкретный продукт, производимый Вашей фирмой, включается в пакет CryptoPro Fox? Укажите его название.

2. Под какой лицензией выпускается CryptoPro Fox? Проприетарной, свободной? Укажите конкретное название лицензии, веб-ссылку на нее, ведущую на Ваш сайт. Помимо этого (если эта лицензия разработана непосредственно Вашей фирмой - приведите здесь ее текст (под спойлером).

3. Под какой лицензией выпускается непосредственно программный продукт, включаемый в состав  CryptoPro Fox? Укажите конкретное название лицензии, веб-ссылку на нее, ведущую на Ваш сайт. Помимо этого (если эта лицензия разработана непосредственно Вашей фирмой - приведите здесь ее текст (под спойлером).

4.

Мы не продаём этот продукт -- он предоставляется бесплатно, не требует никаких лицензий, серийников.

В курсе ли Вы и руководство Вашей фирмы, что слово "бесплатный" не является аналогом слову "свободный", хотя в английском языке и обозначается одинаковым термином - "free"? Соответственно, даже если Ваша фирма и распространяет данный продукт бесплатно, это еще не означает, что она вправе ограничивать те или иные свободы, конкретно оговоренные в той или иной лицензии, под которой распространяется исходный продукт (в данном случае - MPL v.2).

5.

Мы хотели вместо самостоятельных пересборок ff договориться с разработчиками nss о включении ГОСТ в список криптографических алгоритмов, которые поддерживаются NSS, что дало бы автоматическую поддержку ГОСТ в firefox и готовы были предоставить им патчи, которые это обеспечивают. Но, к сожалению, нам не удалось этого сделать. Приходится пересобирать firefox, чтобы наши пользователи могли возможность удобно использовать TLS с ГОСТ.

В курсе ли Вы (как программист), что в соответствии с последними математическими атаками, предпринятыми Николя Куртуа и увенчавшимися успехом, алгоритм шифрования ГОСТ 28147-89  взломан?  http://www.securitylab.ru/news/405678.php ... И что ГОСТ никогда не не будет международным стандартом именно по этой причине.

Не получается ли так, что Вы сознательно навязываете своим пользователям скомпрометированный алгоритм для повседневного использования, в том числе - для проведения критичных финансовых операций и т.п.?

5-1. И вообще - какой ГОСТ Вы используете - упомянутый .89? Или только для формирования ЭЦП - Р 34.11-94? Или Р 34.10-2001? Или какую-то совокупность?

5-2. Или Ваша фирма уже перешла на использование свежего  ГОСТ Р 34.10-2012, заменившего предыдущие?

6. Опубликованы ли и находятся ли в свободном доступе исходные коды программного продукта, включаемого в состав CryptoPro Fox? Если нет, то почему именно?

7. Опубликованы ли и находятся ли в свободном доступе исходные коды  CryptoPro Fox? Если нет, то почему именно?

8. Есть ли различия в лицензиях, под которыми выпускается CryptoPro Fox, для Windows, GNU/Linux и MacOS?

Отредактировано Rosenfeld (11-04-2013 20:13:36)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№1811-04-2013 22:29:15

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1302
UA: Firefox 19.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Rosenfeld
Зря вы так накинулись на бедную Татьяну, она же ничего не решает. Ее нам дали для успокоения местных троллей )


Все микробы умрут

Отсутствует

 

№1911-04-2013 22:39:20

Ветер
Участник
 
Группа: Members
Откуда: ктулху-сити рунет
Зарегистрирован: 23-06-2008
Сообщений: 16
UA: Firefox 20.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

lakostis пишет

Rosenfeld
Зря вы так накинулись на бедную Татьяну, она же ничего не решает. Ее нам дали для успокоения местных троллей )

Это интернет - тут и .... (продолжение я думаю знают все))) А так вопросы по существу, а вдруг ответят?!

Отсутствует

 

№2011-04-2013 22:48:38

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Зря вы так накинулись на бедную Татьяну, она же ничего не решает.

Да нет, я благожелателен, как никогда. :) Наоборот - я приветствую такую ситуацию, когда представители производителя ПО приходят на форумы, чтобы ответить на вопросы и прояснить непонятные места...

Ну а раз уж человек сам представился лицом, имеющим отношение к программному продукту, причем используемому в весьма критичной области, то должен же он хоть что-то ответить. Вопросы-то нейтральные: лицензирование и техподробности.

lakostis, я перешел на Линукс не только по причинам невероятного удобства в работе и безопасности, но и, в первую очередь, по мотивам, которые можно отнести к идеологическим. Так что для меня вопрос соблюдения свободных лицензий и их выбора немаловажен, тем более, что я консультирую людей в этой области.

P.S. А вот заголовок данной темы можно было бы заменить на что-нибудь более нейтральное. Мы пока что не до конца выяснили их мотивацию и обстоятельства, сопутствующие распространению ПО, чтобы априорно заявлять, что "Компания КриптоПро решила заработать денег на популярности Mozilla"... Разве нет?

Отредактировано Rosenfeld (12-04-2013 00:47:03)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№2112-04-2013 00:20:18

lakostis
Administrator
 
Группа: Administrators
Откуда: /dev/urandom
Зарегистрирован: 07-10-2004
Сообщений: 1302
UA: Firefox 19.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Rosenfeld пишет

А вот заголовок данной темы можно было бы заменить на что-нибудь более нейтральное. Мы пока что не до конца выяснили их мотивацию и обстоятельства, сопутствующие распространению ПО, чтобы априорно заявлять, что "Компания КриптоПро решила заработать денег на популярности Mozilla"... Разве нет?

Нет. Раз они выбрали Mozilla, а не Chromium, значит знали, на что идут - уж лучше отбрехаться от пары въедливых пользователей, зато выехать на популярности продукта. Ну а лицензии, да кто их читает..


Все микробы умрут

Отсутствует

 

№2215-04-2013 14:10:50

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Мда... Прошло уже N-дней и у меня закралось смутное подозрение, что нашу Татьяну уже уволили из фирмы - чтобы не выступала публично от ее лица. :)

Впрочем, есть и второе предположение - руководство фирмы просто решило не отвечать на неудобные вопросы...И действительно: зачем ввязываться в полемику, имея достаточно проигрышную позицию...


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№2316-04-2013 03:31:22

Serge3leo
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 15-04-2013
Сообщений: 1
UA: IE 10.0
Веб-сайт

Re: Компания КриптоПро решила заработать денег на популярности Mozilla

Константин, здравствуйте,

Поскольку я "технарь", то и отвечу на технические и близкие к ним вопросы. А так же попытаюсь исправить некоторые досадные неточности.

lakostis пишет

Компания КриптоПро решила заработать денег на популярности Mozilla

Я как "технарь" работаю по запросам пользователей.

lakostis пишет

Поэтому команда Mozilla.Россия не рекомендует использовать этот продукт даже для обычного веб-серфинга.

Я правильно понимаю, что данная рекомендация вызвана нашей досадной ошибкой при использовании торговых марок принадлежащих Mozilla Foundation? Приношу наши извинения за эту досадную ошибку. Мы, как смогли оперативно, постарались её исправить. Если остались какие-либо замечания, или они возникнут в будущем, то мы в меру сил постараемся их исправить тоже. Надеюсь ущерб, в т.ч. финансовый, отсутствует.

lakostis пишет

2) Упоминаются ESR сборки Mozilla Firefox, а ведь никто не знает, будет ли КриптоПро соблюдать релизный цикл выпуска ESR и уж тем более осуществлять поддержку для клиентов и исправлять ошибки.   По крайней мере, на странице продукта об этом ни слова.

За последние несколько лет, насколько мне известно, ни один запрос со стороны пользователей Mozilla не оставлен без внимания. Т.к. NSS, Firefox и Thunderbird пока не поддерживают PKCS#11 v2.30, RFC 4491 и RFC 4490, то мы кроме поставки обычного PKCS#11 модуля, вынуждены добавлять поддержку в основной код и, последние пару лет, вынуждены ограничиться ESR версиями.

lakostis пишет

и SWEMEL. Предложенные ими реализации соответствуют требованиям Mozilla по включению кода NSS.

Если Вы помните нашу с Вами переписку и результаты встречи в сентябре 2010, то речь шла, в том числе, о запросах на доработку NSS/Thunderbird от МВП "Свемел" от 2009 года. В октябре 2010 были ещё исправления для поддержки TLS от Р-Альфа. Но, к сожалению, пока включения кода в NSS/Firefox/Thunderbird не произошло.

lakostis пишет

КриптоПро сделала самый уродливый вариант из всех: вместо того, чтобы сделать нативную поддержку наших ГОСТов в NSS

Это не совсем так. Все производители СКЗИ в РФ руководствуются одним документом ПКЗ-2005, лично мне неизвестно сертифицированное СКЗИ являющееся "native" реализацией Firefox/Thunderbird, соответственно все предлагают двух/трёхкомпонентные продукты: <доработанный NSS/Firefox/Thunderbird>+<PKCS#11 модуль>+<сертифицированное СКЗИ>.

lakostis пишет

Если они используют прослойку, все равно надо изменить исходники Firefox и выложить патчи и раз они не продают продукт, то и патчи должны быть бесплатными.

Это не совсем так, исправления доступны на безвозмездной основе, и ни одному нашему потребителю отказа не было (впрочем, вообще, ни одному желающему, почти как Неуловимому Джо. Хотя для кого-то даже внешний git-сервер делали для обеспечения актуальности).

Zaycoff пишет

...вообще не вкуриваю в необходимость создания отдельного браузера для поддержки чего-то там, проще создать дополнение и навешивать его в браузер, никто и слова не скажет...

Поддержку сертификатов X.509, ЭЦП и TLS с помощью дополнения обеспечить достаточно трудно.

lakostis пишет

Все-таки уточните, криптопровайдер или PKCS#11 токен

Наш PKCS#11 токен использует СКЗИ "КриптоПро CSP", я правильно понимаю у Mozilla Foundation и проекта Mozilla.Россия нет претензий к этим независимым компонентам? Для справки, PKCS#11 токен разработан по спецификациям фирмы RSA (v2.30, которые учитывают предложения участников ТК26), многие (от Oracle до последнего Safe Net-а) производят такие токены по самым произвольным лицензиям и с самыми разнообразными условиями поставки. Наши условия поставки Вы уже цитировали, бесплатно для клиента в режимах, не требующих закрытого ключа пользователя.

lakostis пишет

судя по архивам dev-tech-crypto, нет ни одного письма от сотрудников КриптоПро, подтверждающего это. Как именно вы общались с разработчиками NSS?

Константин, давайте не продёргивать, уже много лет запросы на доработки от членов ТК26 лежат без движения. По этому поводу в 2010 году мы с Вами (Вы тогда представились как: координатор проекта Mozilla.Россия) общались, но воз и ныне там. По большому счёту всё равно в результате какой именно доработки появится поддержка, т.к. спецификации у нас одни и те же.

Запросы о которых тогда шла речь: 519432 и 518787. Через пару месяцев появился ещё один запрос 608725, и по нему даже была некоторая активность, но и он не двигается.

Пара писем из нашей переписки 2010 года в "скрытом тексте":

скрытый текст

Выделить код

Код:

From: Курепкин Игорь Анатольевич 
Sent: Thursday, September 09, 2010 3:39 PM
To: legion@mozilla-russia.org
Cc: XXXXX XXXXX XXXXX; Леонтьев Сергей Ефимович; Коллегин Максим Дмитриевич
Subject: 

Алексей, добрый день.
 
Обращаюсь к вам за советом по рекомендации XXXXXX XXXXXXXX из XXX XXXXX.
 
Наша компания Крипто-Про разрабатывает средства криптографической защиты информации и соответственно сертифицирует их в ФСБ.
...
 
firefox3 используется 28% пользователями портала, 
Opera 10 - 23%
IE 8 - 19.7%
IE 7 - 8.2%
IE 6 - 7.4%
 
У нас есть реализация TLS для Firefox (а также возможность подписи и шифрования в Тhunderbird), но в текущей ситуации мы все время находимся в роли "догоняющего" и сегодня у нас есть поддержка Firefox 3.6.5, хотя сейчас уже актуальный -3.6.8.
 
Связано это с тем, что для поддержки российской криптографии нам приходится "дописывать (расширять)" NSS и еще несколько модулей.
 
В связи хотел проконсультироваться о возможности включения наших правок в upstream мозилы, возможно российской (локализованной) версии.
Или может подскажите пути решения задачи.
 
Для справки. Описание российский алгоритмов в IETF нами было опубликовано в 2006 году (rfc4357, rfc4490, rfc4491).
 
 
С уважением, Игорь Курепкин
заместитель генерального директора
Крипто-Про
Тел: +7 (495) 780 4820
Моб: +7 (903) 968 9318
Факс: +7 (495) 780 4820
WWW: http://www.CryptoPro.ru
e-mail: kure@CryptoPro.ru
Выделить код

Код:

From: Курепкин Игорь Анатольевич 
Sent: Thursday, September 16, 2010 5:55 PM
To: Konstantin A. Lepikhov
Cc: Alexey Gladkov; Леонтьев Сергей Ефимович
Subject: RE: ГОСТ в NSS

Добрый день, Константин.

Спасибо за ответ.
Давайте встретимся на следующей неделе.
Все расскажем, покажем и обсудим возможные решения.

Встречу лучше наметить во второй половине дня.
Предлагайте день.



С уважением, Игорь Курепкин
заместитель генерального директора
Крипто-Про
Тел: +7 (495) 780 4820
Моб: +7 (903) 968 9318
Факс: +7 (495) 780 4820
WWW: http://www.CryptoPro.ru
e-mail: kure@CryptoPro.ru



-----Original Message-----
From: Konstantin A. Lepikhov [mailto:lakostis@mozilla-russia.org] 
Sent: Thursday, September 16, 2010 5:36 PM
To: Курепкин Игорь Анатольевич
Cc: Alexey Gladkov
Subject: ГОСТ в NSS

Здравствуйте, Игорь!

Меня зовут Константин Лепихов, я являюсь координатором проекта Mozilla.Россия. Мне переслал ваше письмо Алексей Гладков, который также состоит в нашей команде проекта. Прошу прощения за столь поздний ответ, был в отпуске и без связи. 

Нам интересна ваша реализация поддержки ГОСТ для продуктов Mozilla и хотелось бы, чтобы вы рассказали о ней поподробнее. Также нас интересуют вопросы открытости всех изменений, которые вам пришлось сделать в NSS и объем этих изменений. Думаю, лучше всего подошел бы формат совместной встречи на вашей территории в удобное для всех время, надеемся на плодотворное сотрудничество и ждем вашего ответа. Спасибо!

--
WBR, Konstantin Lepikhov
Mozilla.Россия project coodinator
tel +7(963)777-60-71
email/xmpp lakostis@mozilla-russia.org

lakostis пишет

А что мешает вам выложить эти исходники публично, как это сделала Криптоком?

А толку-то от неё было, пока Андрей Поляков не вник в потребности российских пользователей. В общем, вкусовщина какая-то, что выложить, что предоставить по запросу.

Rosenfeld пишет

Не скрою, что использование продукции, выпускаемой Вашей фирмой - это своего рода головная боль для тех, кто настраивает ее работу на взаимодействие с различными торговыми площадками и т.п.; чего, к примеру, стоит только применение устаревшей и более не поддерживаемой библиотеки MS CAPICOM - https://ru.wikipedia.org/wiki/CAPICOM

Виноваты, но прошу учесть, что достаточно трудно переключить партнёров на другие технологии, например, вот на эту КриптоПро ЭЦП Browser plug-in.

Rosenfeld пишет

В курсе ли Вы (как программист), что в соответствии с последними математическими атаками, предпринятыми Николя Куртуа и увенчавшимися успехом, алгоритм шифрования ГОСТ 28147-89  взломан?  http://www.securitylab.ru/news/405678.php ... И что ГОСТ никогда не не будет международным стандартом именно по этой причине.

Честно говоря, решение ISO похоже на чисто политическое. Что касается атаки Куртуа, то, с одной стороны, она немного абстрактная (если мы знаем все возможные пары шифр-тест/открытый-текст, то тогда потратив ещё немногим более 2^200 операций можно узнать ключ, но, простите, зачем? Понять может только математик.). С другой стороны, она не лучшая. И, с третьей стороны, всё познаётся в сравнении, атаки на AES-256 пока теоретически менее трудоёмкие, доходит до 2^119 операций, хотя и не менее абстрактные.

Rosenfeld пишет

Не получается ли так, что Вы сознательно навязываете своим пользователям скомпрометированный алгоритм для повседневного использования, в том числе - для проведения критичных финансовых операций и т.п.?

Нет. По моему убеждению, мы предлагаем наилучший продукт по уровням защиты информации КС1/КС2. А с точки зрения стойкости алгоритмов, то большинство алгоритмов поддерживаемых в NSS теоретически имеют атаки с меньшей сложностью (естественно, на настоящий момент).

Rosenfeld пишет

И вообще - какой ГОСТ Вы используете - упомянутый .89? Или только для формирования ЭЦП - Р 34.11-94? Или Р 34.10-2001? Или какую-то совокупность?

Все.

Rosenfeld пишет

Или Ваша фирма уже перешла на использование свежего  ГОСТ Р 34.10-2012, заменившего предыдущие?

На настоящий момент, мы все в ТК26 подготавливаем проекты методических рекомендаций по использованию ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и ГОСТ 28147-89 в X.509, CMS, TLS и т.п. Уточню ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 заменяют, но не отменяют только ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, статус ГОСТ 28147-89 пока неизменен.

Rosenfeld пишет

Ну а раз уж человек сам представился лицом, имеющим отношение к программному продукту, причем используемому в весьма критичной области, то должен же он хоть что-то ответить. Вопросы-то нейтральные: лицензирование и техподробности.

Надеюсь, некоторые технические подробности удалось разъяснить. Что ж до лицензирования, не знаю, возможно Вы и заканчивали Кембридж, а лично я ту же MPL даже прочитать не могу, поэтому я бы отложил эти обсуждения до того момента, когда у нас будет её официальный русский текст.

Rosenfeld пишет

P.S. А вот заголовок данной темы можно было бы заменить на что-нибудь более нейтральное.

На мой взгляд, заголовок самый что ни на есть нейтральный, даже позитивный, представьте: "Компания Крипто-Про решила потерять денег на популярности Mozilla". Что ж до содержания, уж что есть, то есть.

Rosenfeld пишет

Мда... Прошло уже N-дней и у меня закралось смутное подозрение, что нашу Татьяну уже уволили из фирмы - чтобы не выступала публично от ее лица.

Извините, а Вы КЗОТ читали? Не говоря уж о том, что Татьяна талантливый человек и ценный сотрудник.

Отредактировано Serge3leo (16-04-2013 06:10:10)


Успехов
Леонтьев Сергей, lse(@)CryptoPro(.)ru, Крипто-Про

Отсутствует

 
  • Форумы
  •  » Новости
  •  » Компания КриптоПро решила заработать денег на популярности Mozilla

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]