Vlákno názorů k článku Od čtyř miliard stažení k adwaru: jak SourceForge ztratil důvěru komunity od B.H.L. - "Software nestahovat z náhodného výsledku vyhledávání jen proto,...

Ale v tom pripade je to uz chyba na strane drzitela certifikatu, to mate rovnake ako s akymkolvek inym druhom podpisu alebo autorstva.
Ked si niekto zverejni privatny kluc, tak tomu niet pomoci.

Ale tady nejde o zveřejnění klíče, ale o tu vazbu produkt - autor. To že si založim web, dám tam instalačku, součty, otisky a certifikát prostě nedokazuje vůbec nic.

Dokazuje to kto ste, lebo ta vezba nie je na vasom webe ale priamo v certifikate a certifikacnej autorite.

To sice vazba je, ale jak má koncový uživatel vědět, co tam má být napsáno? Prostě když si stáhnu program XY ze stránky xy.com podepsaný Karlem Vomáčkou, tak sice všechno krásně sedí, součty a certifikáty jsou ok, ale nic z toho nezaručuje, že mám originální XY.

Mozete sa pozriet ci Karel Vomáčka je majitelom aj github repozitara. No dolezitejsie je ine, ked nastane problem (malware, kradnutie dat). Tak mozete Karla Vomáčku zazalovat, lebo to uz nie je nahodny typek na intenete pod kryptickym nikom, ale konkretny clovek - certifikacna autorita ma poznacene jeho udaje z realnych dokladov.

Aha, takže kouknu, že na githubu je to kvomacka a v certifikátu je Karel Vomáčka z Ugandy a v tu chvíli už všechno sedí a kdyby náhodou ne, tak zaletim do Ugandy a vymámím z něj náhradu škod?
Tak to už vše vysvětluje.

Stale milionkrat lepsie ako PGP alebo hash na stranke. Zatial sme proste nic lepsie nevymsleli.

A jak víte, že ta aplikace má vůbec github repo, a to zrovna tohle? A že to github repo není nějaký její fork?

Ne, jediné co podepsaná binárka dodává je o krok navíc s false sense of security (a případně drobná překážka pro pachatele)

A ve finále, GL s žalobou na homelessáka Karla Vomáčku, na jehož občanku si za flašku krabicáku neznámý pachatel sehnal code signing certificate. (případně skutečného majitele, který o něj přišel)

> A jak víte, že ta aplikace má vůbec github repo, a to zrovna tohle?
To neviem, a realne trapi ma to?

> A že to github repo není nějaký její fork?
To ma netrapi, codesigning hovori o autorstve/dis­tributorovi - zodpovednej osobe alebo organizacii.

> A ve finále, GL s žalobou na homelessáka Karla Vomáčku, na jehož občanku si za flašku krabicáku neznámý pachatel sehnal code signing certificate.

Tak to by bol dost slusny reputacny problem pre certifikacnu autoritu. Ale stale tam mate ten certifikat a mozete sa rozhodnut ci mu doverujete - napriklad na zaklade inych projektov. Atd..

A ake rienie navrhujete vy? Ak mate lepsie ako codesigning tak sem s nim.

Moment, to, že CA vydá certifikát nějaké osobě, pokud si řádně ověří, že to je ta osoba není reputačním problémem, ale jádrem jejího businessu.
Není její povinností (ani právem) lustrovat majetkové poměry toho žadatele, a i to, co s tím certem (a klíčem k němu) udělá je na jeho odpovědnost.

Navíc ani samotný podpis nezaručuje nic, v naší branži se opravdu nic, jako zodpovědnost nenosí, ta v nejlepším případě končí na ceně jedné kopie SW díla, a v drtivé většině případů, pokud není škodič úplně hloupý, tak funguje plausible deniality. (já tam žádný backdoor nedal, nemůžu za to, že ta litellm byla nedůvěryhodná, ...)

Řešení? Jediným je velmi důsledná izolace jednotlivých aplikací (což přiznejme si také nefunguje 100%, viz mobilní telefony které touhle cestou šly) a kombinace přístupů.
Takhle - codesigning (nebo obecněji nějaký digitální signing) má nepochybně svojí roli. Ale tím, že pokrývá jen malou část celého řetězce trustu, tak rozhodně není samospasitelné.

Izolacia aplikacii je super, ale to naraza na ich pouzitie. Potrebujes aby mali pristup k disku, pri mnohych potrebujes aby vedeli spustat ine aplikacie k API OS, ku HW.

Ibaze by ti PC stacil ako Facebook/Instagram machine.

No právě. Na uživateli to nechat nemůžeme (v oprávněních se často nevyzná ani velmi znalý), řešily by to restriktivní SELinux profily, ale to jsme kruhem zase zpátky na začátku, kdo důvěryhodný vytvoří profil, tak už rovnou může balíčkovat...