Journal Mercredi, c'est philosophie

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
35
17
juin
2015

Doit on laisser une société privée comme Google installer des blobs binaires, qui en plus utilisent le micro de la machine, dans un logiciel tel que Chromium ?

Vous avez 4 heures.

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=786909#61

  • # Commentaire supprimé

    Posté par  . Évalué à 10. Dernière modification le 17 juin 2015 à 15:19.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Non !

      Posté par  (site web personnel) . Évalué à 5.

      Ça manque d'arguments. 1/20 T'auras pas ton bac.

      Vu ta belgitude, je me doute que tu t'en fous.

      \_o<

  • # reproductibilité ?

    Posté par  . Évalué à 1. Dernière modification le 17 juin 2015 à 15:30.

    On Tue, 2015-06-16 at 00:49 -0400, Michael Gilbert wrote:
    Barring the obtusely incorrect rootkit miscategorization

    Well, as I've said,.. no one can really tell what it is, since it's a
    blob,… and even if one would assume that someone could correctly
    reverse engineer it, or reproducibly build it from public sources,
    there's absolutely no guarantee that malicious software might have been
    just distributed to selected people.

    Je ne comprends pas cet argument, tel que la reproductibilité est possible via un blob binaire ?

    Comment peut on recompiler qqch de non recompilable par définition du fait de la non distribution des sources (du fait de la licence propriétaire) ( les sources publics ne sont pas suffisante , elles ne correspondantes que pour les parties déjà publiés, quid du blob ) ?

    de ce fait le hash serra forcément différent donc on ne peut qualifier cette situtation de reproducible build .

    Enfin c'est ce qui me semble , sinon il me semble que les autres arguments me semblent à priori pertinent

    • [^] # Re: reproductibilité ?

      Posté par  (site web personnel) . Évalué à 6.

      Je ne comprends pas cet argument, tel que la reproductibilité est possible via un blob binaire ?

      Il y a écrit reproducibly build it from public sources soit compiler de façon reproductible à partir de sources publiques et pas seulement compiler de façon reproductible.

      • [^] # Re: reproductibilité ?

        Posté par  . Évalué à 3. Dernière modification le 17 juin 2015 à 15:44.

        les sources publiques n'incluent pas les sources du blob binaire (par définition). La reproductibilité n'est possible que pour la patie des sources publiques et pas celles des blobs binaires. Donc ce n'est qu'une reproductibilité partielle , donc qui ne prennent pas en compte le blob donc la question de la reproductibilité est pas réellement pertinente car il est impossible de prouver cette partie , enfin je trouve.

        • [^] # Re: reproductibilité ?

          Posté par  . Évalué à 4.

          M'est avis que ce qu'il veut dire c'est que même si des sources sont ouvertes à posteriori et que ces dernières semblent donner le même résultat après compilation, rien ne dit que ce seraient bien les mêmes sources qui auraient permis de compiler ce blob en question. Enfin c'est ce que moi je comprends.

          • [^] # Re: reproductibilité ?

            Posté par  . Évalué à 2. Dernière modification le 17 juin 2015 à 16:12.

            Si les sources sont là et qu'ils permettent de recompiler , (y compris le blob binaire) , et que le hash est identique après recompilation, alors on a atteint la reproductibilité. Cela prouve que les sources fournies (et les fichiers afférents - tels que scripts de configuration pour la compilation etc … - ) correspondent effectivement au binaire , et cela du fait que le hash est identique (et non prévisible et non identique pour deux fichiers différents - donc problèmes des collisions réglés via des algo de hash plus puissant ).

            Pourrais tu m'expliquer ton post, car je ne le comprends pas

            • [^] # Re: reproductibilité ?

              Posté par  (site web personnel) . Évalué à 10.

              C'est pas parce que tartempion développeur Debian de son état a vu son chromium DL un blob conforme aux sources, que des mecs avec des IP à Cupertino se feront pas servir un OK Google qui espionne les réunions malusiennes.

        • [^] # Re: reproductibilité ?

          Posté par  . Évalué à 10.

          les sources publiques n'incluent pas les sources du blob binaire (par définition).

          Par définition de quoi ? Quand j'installe ma debian, j'installe des tonnes de blobs; et portant je pourrait la compiler de façon reproductible à partir des sources. Blob veut juste dire Binary large object (blob binaire est un pléonasme); ce qui ne me donne aucune information quand à la disponibilité publique ou non des sources ayant servies à le construire.

          Ce que le monsieur sur le bug tracker veut dire c'est (à mon humble avis) :

          Si jamais demain google décide de libérer (ou juste rendre lisible) le code (les sources deviennent publiques) et que oui on constate après recompilation que ce que Chromium télécharge correspond de façon reproductible (quand je compile dans telle configuration les sources devenues publiques, j'obtiens toujours exactement ce fichier téléchargé (il suffit de faire une correspondance octet-à-octet, osef du hachage)) c'est cool mais rien ne garantit que coté serveur il n'y a pas distribution d'un autre blob que celui habituel servi à la tête/nationalité/score dans la BDD PRISM/autre du client.

        • [^] # Re: reproductibilité ?

          Posté par  (site web personnel) . Évalué à 4. Dernière modification le 17 juin 2015 à 17:57.

          Je pense que tu prends le sens de la phrase de façon beaucoup trop compliquée. Il dit que même dans le cas super favorable où on aurait des sources publiques permettant de reproduire le blob – je comprends “juste du code“ peu importe d'où il sort – alors on ne pourrait pas conclure que etc.

          Si on relit le message d'avant (du même auteur) on comprend que d'après lui, le téléchargement n'est pas sécurisé, ce qui signifie que rien ne garantit que tout le monde reçoit le même blob binaire.

          Il dit juste qu'on ne peut pas vérifier les téléchargements passés.

          Ceci dit, si quelque chose n'est toujours pas clair, autant demander à l'auteur de ces lignes de clarifier sa positon. :)

    • [^] # Re: reproductibilité ?

      Posté par  . Évalué à 4.

      there's absolutely no guarantee that malicious software might have been just distributed to selected people.

      Désinformation : le monsieur dit qu'il n'y a aucune garantie que du code malicieux ait été distribué à des personnes précises, il pose le problème à l'envers : le gros problème est qu'il n'y a aucune garantie que le code qui a été distribué n'est pas malicieux !

      En sécurité informatique, tout ce qui n'est pas explicitement autorisé est interdit, ici c'est la même chose : tant qu'on n'est pas sûr que le code distribué n'a pas de problème, il faut le considérer comme problématique.

      • [^] # Re: reproductibilité ?

        Posté par  . Évalué à 5.

        "le gros problème est qu'il n'y a aucune garantie que le code qui a été distribué n'est pas malicieux ! "

        je pense que c'est cela qu'il a voulu dire , étant donné le contexte du message

      • [^] # Re: reproductibilité ?

        Posté par  . Évalué à 2.

        Désinformation : le monsieur dit qu'il n'y a aucune garantie que du code malicieux ait été distribué à des personnes précises, il pose le problème à l'envers : le gros problème est qu'il n'y a aucune garantie que le code qui a été distribué n'est pas malicieux !

        Le problème est dans les deux sens et le monsieur a déjà mentionné ton axe en supposant qu'on arrive à garantir le comportement du code distribué soit via reverse engineering, soit par libération des sources. Ce qui est critiqué ici est le mode de distribution; l'intégrité du blob est-elle vérifiée ? Si non, est-il signé ? Est ce qu'au moins la communication pour récupérée ce blob est authentifiée et chiffrée ?

  • # Faux

    Posté par  (site web personnel) . Évalué à -10.

    C'est ce que je me suis dit en lisant le texte: FAUX

    Fedora ne distribue pas Chromium.

    • [^] # Re: Faux

      Posté par  (site web personnel) . Évalué à 1.

      Et… alors… ?

      C’est quoi le rapport avec la question ?

      • [^] # Re: Faux

        Posté par  (site web personnel) . Évalué à -2.

        And just because all other distros ship software which injects possibly
        malicious blobs, we don't have to do the same.

        Bien sûr, ça demande d'ouvrir le lien et de le lire…

        • [^] # Re: Faux

          Posté par  (site web personnel) . Évalué à 5.

          Si tu veux répondre à une phrase précise, faut la citer.

          Et puis c’est encore une fois le coup du type qui fait semblant de pas comprendre le principe de l’hyperbole. Évidemment que c’est pas TOUTES. C’est une façon de parler.

          (surtout que là c’est dans le sens « et MÊME SI elles le faisaient vraiment toutes, ça serait pas une raison pour nous de faire pareil »)

          Bref, ça change strictement rien au message, qu’une distro ne propose pas Chromium dans ses dépôts officiels.

    • [^] # Re: Faux

      Posté par  . Évalué à -2.

      …mais elle distribue Firefox. =]

      --
      Envoyé depuis mon Firefox sous Fedora.

  • # merci pour l'info

    Posté par  . Évalué à 10.

    Il est tout à fait salutaire de faire de la pub pour ce genre de comportement malsain. Si ça peut éviter aux développeurs de faire n'importe quoi…

    Donc merci pour avoir sonné l'alerte sur linuxfr.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.