Rozšíření End-to-End pro Chrome (diskuse)

Chrome 35 je úplně na nic a na h.vno! Kterou hlavu napadlo skončit s podporou Java pluginu?

4.6.2014 23:08 mca | skóre: 17 | blog: keep_walking | Lévis, Québec City
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Managorskou? Jak jinak Te maji donutit jedinemu spravnemu reseni = jejich sluzby? Cloud VPS, Cloud iKVM? NSA backup? Kbyby tam ta Java zustala, tak bys mohl ovladat treba takove IPMI Supermicro a nekoupil bys jejich variantu.

"Hloupe dotazy posiluji kolektiv... ostatnim v tu chvili stoupne sebevedomi"

5.6.2014 10:34 Petr "Glubo" Sýkora | skóre: 21 | blog: Glubnik
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Tak vzhledem k tomu, jak je Java děravá, tak je to vcelku dobrý krok kupředu.

„O mrtvých jen v dobrém." „Pojďme se bavit o Stalinovi."

5.6.2014 13:37 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Java sa dá skonvertovať do JavaScriptu. Tieto opatrenia čakajú všetky prehliadače, rovnako ako časom odzvoní doplnokom (addons).

Je to bezpečnostné opatrenie, pretože je menej náchylné na chyby udržovať HTML5 a JavaScript ako množstvo všelijakých splátanín okolo. HTML5 s JS dokáže dnes už všetko čo Flash, Java, doplnky, takže odpadla nutnosť niečo také udržiavať.

Pomocou asm.js a emscripten dokáže spraviť aj celkom svižný port desktopovách aplikácií. Unreal Engine 4 je už tiež naportovaný.

Môžeš si testnúť aj niektorú z hier.

KERNEL ULTRAS video channel >>>

5.6.2014 14:20 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

. HTML5 s JS dokáže dnes už všetko čo Flash, Java

Byt javu a flash nerad, mam o tom urcite pochybnosti.
Kazdopadne obe technologies nejsou podporovane na mobilnich platformach => na webu jsou mrtve.

A former Red Hat freeloader.

5.6.2014 18:37 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Local storage
Interaktivita so serverom cez XHR2
Prenášanie súborov, FileReader, XHR2, saveAs
Beh na pozadí - WebWorkers
Prehrávanie médií
Komunikácia v reálnom čase WebRTC
Websocket
Canvas
Skriptovanie
Konverzia z najznámejších jazykov Java, Python, C, C++ ...
Framebuffer

Momentálne ma nenapadá čo by sa nedalo spraviť. Druhá vec je kvalita prevedenia. Svojská implementácia, takže buď si programátor zvykne na iný spôsob zápisu a logiky, alebo siahne po nejakom like C frameworku.

KERNEL ULTRAS video channel >>>

11.6.2014 15:15 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Stále nejde v prohlížeči něco elektronicky podepsat privátním klíčem uloženém na čipové kartě nebo v systémovém úložišti (resp. kdekoli jinde, než v souboru na disku).

11.6.2014 22:27 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Aj to ide, len nie tak jednoducho ako v desktopovej aplikácií, proste si ten kľúč musíš vyhľadať na USBéčku. Viem si predstaviť aplikáciu ktorá by ho automaticky skopčila do local storage a možno už také niečo aj existuje, ale nepátral som po tom.

KERNEL ULTRAS video channel >>>

12.6.2014 06:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Aj to ide, len nie tak jednoducho ako v desktopovej aplikácií, proste si ten kľúč musíš vyhľadať na USBéčku.

Počkat, jako že už je v JS nějaké obecné USB API, nebo je tam nějaké API pro asymetrickou kryptografii? Nebo jak „vyhľadať kľúč na USBéčku“? Pod tím si představím, že si javascript pustí něco jako lsusb.

12.6.2014 10:54 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Sorry, to som práve išiel spať, táto odpoveď je na úplne inú otázku, ktorú tu ale nikto nepoložil.

To fakt nieje možné. Celkovo kryptografia v prehliadačoch je v alfa verzií (zrovna s tým bojujem), ale niečo sa dá dozvedieť napríklad tu.

KERNEL ULTRAS video channel >>>

12.6.2014 06:44 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Existuje Webcrypt. Je to lokální HTTP server, který má přístup ke kryptografickému materiálu nebo modulům a umí všechny potřebné věci (generovat klíče, podepisovat, šifrovat). Webová aplikace z cizího serveru mu předává data přes přesměrování v HTTP. Jedni tvrdí, že je to budoucnost, druzí, že je to webová pitomost.

12.6.2014 07:10 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Možností, jak něco takového implementovat "přímo v prohlížeči", je spousta. Mne ale zajímal současný stav, tj. něco, co jde dnes nasadit na web a bude to fungovat většině uživatelů.

12.6.2014 18:01 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Dnešní stav je, že uživatele bezpečnost ani soukromí nezajímá, proto neexistuje nic, co „bude fungovat většině uživatelů“. A obávám, se že na předpokladu se nic nezmění. Takže jediným tahounem bude fragmentovaná národní státní správa se vším, co k tomu patří. Tomu bude odpovídat i výsledek a rychlost konvergence k jednotnému standardizovanému a přenositelnému řešení.

12.6.2014 18:12 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Pro ten elektronický podpis něco, co bude fungovat většině uživatelů, existuje - právě Java. I když Oracle dělá hodně pro to, aby to platit přestalo, a teď se přidává i Google a Mozilla.

Že nezajímá bezpečnost a soukromí uživatele, to se ještě dá pochopit. Jenže oni na to z vysoka kašlou především vývojáři webových prohlížečů, a to je mnohem horší. Respektive oni "bezpečnost" používají jako marketingovou vějičku, v zájmu "bezpečnosti" vymýšlejí nesmysly, a věci, které by bezpečnost opravdu zlepšili, důsledně ignorují.

13.6.2014 06:44 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

A podařilo se vám donutit security.provider, aby aplikace automaticky používaly PKCS#11 modul? Já jsem taky čekal, že to bude samo fungovat, ale buďto to nedělalo nic, nebo segfaultovalo.

13.6.2014 08:54 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Myslíte z Java pluginu použít privátní klíč zpřístupněný přes PKCS#11 modul prohlížeče? To jsem nezkoušel, ale nenapadá mne důvod, proč by měl mít uživatel certifikát pro elektronický podpis dostupný v prohlížeči, kde ho stejně nijak nevyužije. A pokud uživatel dostane certifikát do PKCS#11 modulu v prohlížeči, má ho snad dostupný i v OS – tedy ve Windows a na MacOS, pod Linuxem vlastně systémové úložiště certifikátů neexistuje…

13.6.2014 09:32 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

pod Linuxem vlastně systémové úložiště certifikátů neexistuje…

viz p11-kit, který se pomalu začíná rozšiřovat.

oVirt | SPICE

13.6.2014 19:39 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Máte kryptografické zařízení, se kterým lze mluvit přes PKCS#11, třeba prostřednictvím PKCS#11 modulu OpenSC. Takový modul umí používat OpenSSL, GnuTLS, NSS a tedy i lecjaký program. Například webový prohlížeč.

Pak máme JDK, který si bohužel dělá vše po svém. Ale údajně to má umět. Pak lze předpokládat, že javový applet při podepisování namísto PKCS#12 souboru použije PKCS#11 modul, z kterého si uživatel vybere klíč a zadá PIN. V tomto případě je tedy webový prohlížeč irelevantní.

14.6.2014 19:07 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

JDK bohužel kvůli multiplatformnosti nezbývá nic jiného, než si to řešit po svém. Ale pokud se to kryptografické zařízení umí zaregistrovat na Windows nebo Apple do systému, může s ním Java mluvit přes systém.

Přímé použití PKCS#11 modulu je také možné, ale předpokládám, že u aplikace spuštěné z Java pluginu bude problém v tom, že to vyžaduje načtení nativní knihovny ze systému, což by neměl bezpečnostní modul pluginu povolit.

14.6.2014 23:01 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Takový modul umí používat OpenSSL, GnuTLS, NSS a tedy i lecjaký program. Například webový prohlížeč.

Mne to zatim nikdy moc nefungovalo pod Linuxem, viz treba zde.

Pouzivam Yubikey NEO a tam jsem s Javou nemel problem.

A former Red Hat freeloader.

15.6.2014 09:11 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Včera jsem si opět zkusil SunPKCS11 s OpenJDK-1.7.0 a už téměř funguje. Kromě podstatné chyby, že má rozbité procházení slotů.

15.6.2014 09:54 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

To je Firefox. Ten je rozbitý záměrně.

Předchozí verze neuměly použít kryptografické zařízení připojené až po spuštění Firefoxu. Prý kvůli chybným proprietárním PKCS#11 modulům. Teď jsem si vyzkoušel 30. verzi a ta naopak se celá zablokuje v nějakém futexu.

Rovněž NSS neumí pracovat s jednou databází z více procesů, takže není možné použít ten samý modul z Firefoxu a Thunderbirdu najednou. To je kvůli tomu, že ve Windows se na bezpečnost kašle, takže tam si procesy mohou krást autentizované PKCS#11 relace, což v OpenSC je schválně kvůli bezpečnosti vypnuté. Jenže Linux není v očích Mozilly business case, takže na opravu peče.

Jinak řečeno cokoliv na NSS je odsouzeno k záhubě. Díval jsem na Midori s gcr a libsoup, které je postaveno nad GnuTLS, jenže to dělá banda Gnomáků, se kterými není žádná domluva. Nehledě na to, že je to prorostlé s Gnome.

On ale vývoj je těžký i na nižších úrovních. Opravil jsem používání OpenSSL enginů v cURL. Jenže opravu engine_pkcs11 (implementace OpenSSL enginu nad PKCS#11) jsem neprotlačil, protože správce vůbec nereaguje, třebaže ten samý člověk v OpenSC je docela aktivní. Takže lokálně mi kryptografické moduly v cURL aplikacích pěkně fungují, ale nikdo jiný si to užít nemůže. Ještě zvažuji, že přeportuji cURL backend pro GnuTLS na trojkové rozhraní, které PKCS#11 umí. To současné dvojkové umí jen soubory.

15.6.2014 19:36 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Diky, ta odpoved me trochu zaskocila. Pak chapu lidi, co sahnou po Jave.

A former Red Hat freeloader.

16.6.2014 06:52 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Pokud jde o původní kontext diskuse - elektronický podpis v prohlížeči, pak je Java jediná reálná možnost. Vedle ní už zbývají jen nativní pluginy pro každý prohlížeč, které by si uživatelé museli instalovat - a to není řešení pro veřejný web, které by mělo "prostě fungovat".

16.6.2014 11:22 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Rovněž NSS neumí pracovat s jednou databází z více procesů, takže není možné použít ten samý modul z Firefoxu a Thunderbirdu najednou.

to se snad týká jen berkeley db, kterou doufám FF ani TB nepoužívají a v dohledné době by už ani neměla být defaultní, nebo se pletu?

oVirt | SPICE

16.6.2014 19:45 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Nevím v čem jiném je problém, každopádně Firefox mi nový profil pořád vyrábí s BerkeleyDB.

12.6.2014 07:09 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Privátní klíč se ukládá na smartcard nebo token proto, aby se k němu nikdo nedostal. Takže vaše teorie, kterou jste si právě vymyslel, je zajímavá, nicméně troskotá na několika věcech:

privátní klíč na smartcard, tokenu nebo v HSM není z venku dostupný,
neexistuje nic jako "vyhledat klíč na USBéčku",
neexistuje žádný široce implementovaný standard, který by umožnil z webového prohlížeče nějak manipulovat přímo s USB zařízeními

No a ten privátní klíč nemusí mít s USB vůbec nic společného, může být uložen v nějakém HSM, se kterým se komunikuje jinak, než přes USB, může být teoreticky uložen třeba v samostatném serverovém procesu (po Heartbleed by to bylo dost rozumné opatření).

12.6.2014 08:36 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

po Heartbleed by to bylo dost rozumné opatření

Řekl bych, že úplně stejně rozumné jako předtím.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.6.2014 09:31 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Existuje nějaká iniciativa, která by se snažila něco takového implementovat na Linuxu, třeba pro Apache? Nebo toho lze docílit se současnými nástroji? Na Windows se k tomu dá použít systémové úložiště certifikátů, a dříve by mne nikdy nenapadlo, že může být bezpečnější privátní klíč uložit tam a ne si ho obhospodařovat přímo v aplikaci.

13.6.2014 10:19 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Není mi jasná souvislost s mým příspěvkem. Pokud tě zajímá Apache, pak nevidím důvod proč neprojít jejich webové stránky nebo nepoužít vyhledávač. Existuje pro Linux hromada software, který umí pracovat například s PKCS#11, ale neumím ti z hlavy vysypat který všechen software to podporuje, případně který podporuje jiné protokoly. V praxi se hodně používají i věci jako OTP tokeny, které fungují nezávisle na podpoře v klientských aplikacích a v serverových aplikacích vyžadují jednoduchý autentizační modul.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.6.2014 12:27 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Vzhledem k tomu, že spousta serverového softwaru používá OpenSSL, očekával bych implementaci spíš tam. Dnes umí OpenSSL pracovat s privátním klíčem v souboru, nebo může komunikovat s nějakým HSM. Úplně stejně by mohl komunikovat se „softwarovým HSM“. Pro spoustu instalací by to bylo dostatečné řešení – pokud má někdo nějaký VPS, asi k tomu nebude pořizovat nějaký USB token. Já nevím o žádném enginu do OpenSSL, který by „softwarový HSM“ implementoval, Googlem jsem nic nenašel (ale jenom hádám, na co se jej vlastně ptát). V mainstreamu asi zatím nic takového neexistuje, ale třeba už někdo na něčem takovém dělá, a třeba o tom někdo z diskutujících ví.

13.6.2014 14:42 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

SoftHSM

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.6.2014 16:30 Filip Jirsák
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Díky. Takhle nějak jsem si ten projekt představoval :-)

13.6.2014 16:33 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Seznámil jsem se s ním v souvislosti s DNSSEC a FreeIPA, tedy je to něco, u čeho se očekává reálné použití.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

12.6.2014 10:59 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Jj som pako.

KERNEL ULTRAS video channel >>>

12.6.2014 20:28 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Přidej si do nssdb "kulky" (modul coolkey) a zkus to ještě jednou.

oVirt | SPICE

9.6.2014 21:18 g.g
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

U Chrome se dá kompilovat i do PNaCl. ;-)

Takže čistý výsledek by měl být ten, že software v C/C++/Javě by měl schopný běžet ve všech prohlížečích, a v některých dokonce i rychle. ;-)

5.6.2014 16:16 chrono
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

To je ale problém Oracle a nie Google (nikto nebráni Oracle urobiť ich Java plugin aj s Pepper rozhraním). :)

7.6.2014 12:05 R
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Takze Google si vymyslel vlastne PPAPI (ktore ziadny iny browser nepodporuje) a teraz odstranil podporu NPAPI a je to problem Oracle? A je to este aj problem IcedTea, ze?

Mne ten Chromium 35 uz nejde ani spustit (illegal instruction), tak som ho vyhodil. Problem vyrieseny.

8.6.2014 20:08 chrono
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Samozrejme že je to problém Oracle. V Linuxe sa NPAPI používa viac-menej len kvôli Flash (a možno trochu kvôli tej Jave), takže skôr či neskôr budú musieť prehliadače pod Linuxom podporovať PPAPI (pretože Flash v inej verzii nebude). ;)

12.6.2014 03:05 jadd | skóre: 34 | blog: Greenhorn
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Verze 11.2 ti nestačí? Mě stačí i 10.2. Nebo jaký fleš nebude?

13.6.2014 13:15 chrono
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Áno, keď Adobe prestane vydávať bezpečnostné opravy pre Flash 11.2, nič mi nebude brániť poslednú verziu používať aj ďalej. Bude také niečo podporovať aj Firefox, alebo ten plugin zablokujú (ako to napr. urobili pri niektorých verziách Java pluginu)?

13.6.2014 13:23 chrono
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Každopádne je možné, že o tri roky, keď prestane Adobe vydávať opravy pre 11.2, už nikto nebude Flash používať.

12.6.2014 09:15 R
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Jednoducho povedane: Google sa sprava rovnako ako M$ - vymyslia si svoj "standard" a potom nutia vsetkych ostatnych ho implementovat.

13.6.2014 13:13 chrono
Rozbalit Rozbalit vše Re: Rozšíření End-to-End pro Chrome

Nikoho do ničoho nenútia. Ak bude chieť Oracle, aby ich Java fungovala v Chrome/Chromium, tak to budú musieť nejako riešiť (inak môžu PPAPI ignorovať).