[devel] nss-gost и firefox-gost в Сизифе

Mikhail Novosyolov mikhailnov на altlinux.org
Сб Дек 7 17:33:05 MSK 2019


<...>
>      Вариант "вместо" (gostcrypto) будет особенно интересен, если мы договоримся включить номера ГОСТовых шифронаборов в базовую версию Firefox.
>        Поясню. Сейчас у меня эти номера берутся из констант, добавленных в NSS. Но ничто не мешает определить эти номера непосредственно в коде firefox, потому что они не с неба свалились, а определены в стандарте.
>        И тогда, действительно, мы получим систему, в которой ГОСТ включается простой заменой одной библиотеки на другую, без переустановки пакетов.
>
>
> В chromium-gost проверяется наличие cryptopro cspи если есть, то используется

 ...и делается это в разрез с апстримом, который запихивает Хромиум в песочницу, а здесь обходными путями подгружаются сторонние библиотеки, что очень плохо совместимо с песочницей, подробнее см. здесь: https://github.com/deemru/chromium-gost/issues/7#issuecomment-548129417 , ниже цитаты:

> А в чем был смысл перехода на новую схему линковки, можно в кратце, если не секрет?

> Не секрет.
>
> Chromium постоянно движется в сторону закручивания гаек от уязвимостей, вирусам больно, но сторонним библиотекам и приложениям от этого тоже жить с каждой версией всё сложнее.
>
> Вот например классная история с антивирусом: https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=107684#post107684
>
> Итого, начиная с 77 версии на Windows была запрещена любая загрузка библиотек не из системного каталога ОС, что просто нивелировало наш подход с динамической загрузкой.
>
> Было решено перебраться в общий с Chromium-ом бинарник, здесь хоть как-то можно жить.
>
> На остальных системах вектор тот же, например на MacOS уже начали экспериментальное тестирование ограничений системных вызовов предопределённым заранее набором: https://chromium.googlesource.com/chromium/src.git/+/46f318737e0c51ef280dd89106d37ce253c1ade%5E%21/#F10

Это не долгоживущее решение, а бег на перегонки с апстримом, направления развития которого неподконтрольны сообществу.




Подробная информация о списке рассылки Devel