Comments 10
Любой инструмент реально обеспечивающий безопасность будет так же доступен для криминала, как и для всех остальных. Это нормально, неизбежно, и бороться с этим совершенно бессмысленно — потому что единственный способ защиты от криминала подразумевает ослабление безопасности для всех остальных, а это неприемлемая цена для здорового социума.
Кухонным ножом совершается очень много преступлений, но никто же не пытается изъять их и заменить на "безопасные" пластиковые… так почему в отношении софта и криптографии пытаются применять иные правила?
Нет, реальная причина в другом. Убийство кухонным ножом — это преступление всего-лишь против одного человека… которое мало кого волнует — ну, не считая убитого и его близких, до которых никому дела нет. А вот шифрование переписки — это потенциальные проблемы для текущей власти — мало ли о чём они там переписываются, вдруг договариваются митинг организовать, честные выборы обеспечить, или ещё какую проблему создать.
Нет, реальная причина в другом.Мозилла просто старается собственный авторитет не уронить. В отличие от случаев с кухонными ножами, она, как разработчик, теряет в глазах пользователей от подобных инцедентов.
И как именно эти действия помогут им сохранить авторитет?
Если они ослабят криптографию чтобы получить возможность для их собственного сервиса проводить сканирование на малварь (и, позднее, логичное развитие до контроля прав на контент для копирастов) — авторитет сервиса пробьёт дно и упокоится на уровне "авторитета" любой файлопомойки.
Если они криптографию не ослабят, но внедрят проверку файла до заливки — криминал просто будет использовать неофициальные клиенты, в которых этой проверки не будет.
По сути, единственное, что они могут сделать без потери авторитета — добавить реагирование на жалобы, в которых им пользователи будут присылать рабочие ссылки на скачивание (т.е. содержащие ключ для расшифровки). Это даст им возможность легально (владелец ключа им осознанно поделился) проанализировать залитый файл. Но это можно было сделать без блокирования текущего сервиса, так что дело вряд ли в этом.
Возможно, они хотят добавить плюс к заливанию зашифрованного файла дополнительно заливание хеша/какой-то аналитики оригинального файла — это убьёт анонимность и возможность denial, но сохранит шифрование… Возможно это неплохой вариант для достаточно популярного сервиса, и он действительно потребует изменения протокола и клиента. Но, в целом, это всё-равно профанация — ничто не помешает криминалу использовать кастомный клиент, который просто будет при заливании файлов передавать случайное значение вместо реального хеша оригинального файла. Формально, мозилла защиту внедрила, а что, что негодяи её обошли — ну, ой. Но если исходить из таких формальностей, то можно же просто запретить заливать вредоносные файлы и файлы нарушающие права копирастов в полиси, и умыть руки — это будет явно проще и дешевле.
ничто не помешает криминалу использовать кастомный клиент, который просто будет при заливании файлов передавать случайное значение вместо реального хеша оригинального файла.
Но несовпадающие хеши будут звоночком о возможной неблагонадёжности файла при скачивании, поэтому в решении исходной проблемы добавление хеша всё равно поможет.
И как именно эти действия помогут им сохранить авторитет?Эти действия, формально, — заявление о том, что проблема безопасности пользователей их волнует. Как они её будут решать — дело десятое.
Через год оказалось…
На любом файлообменнике можно обнаружить кучу разной дряни, тем более если она сжата с паролем. Неужели они полагали, что им будут лишь котиков и релизы Firefox загружать?
Фигово, конечно. Просто странно, что очевидная вещь изумление вызвала. Еще более странно, что люди что-то скачивают по ссылкам от незнакомых людей. А ведь раз скачивают, распаковывают и запускают — значит пользователи не нулевого уровня развития. Не бабушки восьмидесятилетние. Неужели для того чтобы считать письмо со ссылкой доверенным нужно всего лишь чтобы оно как спам не прмечалось?
Вдобавок ссылки на домен send.firefox.com в электронных письмах с рассылками в сторону атакуемых пользователей рассматривались многими информационными системами как заслуживающие доверие и, например, не блокировались антиспам фильтрами.
Mozilla временно отключила сервис отправки файлов Firefox Send: через него передавали зловреды