Автообновление версии браузера

[arkinform]

Если рассматривать установку Chromium GOST браузера в корпоративной инфраструктуре, то за актуальностью и обновлением браузера может следить системный администратор. Но если Chromium GOST устанавливают обычные пользователи (например, для подключения к какому-то облачному сервису, защищенному GOST TLS), то это становится большой проблемой. Никаких уведомлений и даже механизма ручного обновления в Chromium GOST нет (либо я не нашел), в результате обычные пользователи так и будут продолжать использовать старую версию, которую они когда-то установили. Это плохо как с точки зрения безопасности, так и с точки зрения использования новых функций из новых версий браузера.

Будет очень полезно, если в Chromium GOST появится встроенный механизм обновления по аналогии с Google Chrome и прочими Chromium браузерами. Наличие новых версий можно, например, проверять непосредственно по репозиторию chromium-gost на GitHub.

[x09]

Вряд ли такое будет, и вряд ли такое возможно (применительно к Linux). Я, как системный адиминистратор, регулярно выкладываю в местный репозиторий новые версии и на машины юзеров разлетается уже автоматически. Напоминалка для юзеров ни к чему не приведет т.к. по уму у них не должно быть прав ставить софт.

[deemru]

Основная проблема, отсутствие широкого предрелизного тестирования.

Без тестирования нет возможности ответить на вопрос, сломается ли что-то у пользователей или нет, поэтому и включать автообновления в текущем варианте скорее зло, чем добро.

Пока нас устраивает передача основной ответственности за тестирование и распространение на дальнейших внедренцев, зато имеем очень короткий цикл разработки.

[arkinform]

@deemru проблема в том, что в случае с обычными пользователями (некорпоративными) нет никакого "внедренца", который бы имел доступ к компьютерам этих пользователей. Текущие реалии заставляют крупные коммерческие облачные проекты (например, медицинские) проводить аттестацию своих портальных информационных систем, при этом аттестация без защиты канала связи по ГОСТ невозможна. Если обязательства по защите конечных устройств пользователей еще можно переложить на самих пользователей, то защиту канала по ГОСТ нужно прописывать в модели угроз самой облачной информационной системы. При этом TLS ГОСТ в браузере - это самый простой способ обеспечить массовому пользователю защищенное подключение по ГОСТ (в отличие от VPN и т.п.). Есть Яндекс.Браузер и Спутник с поддержкой TLS ГОСТ, но в них TLS ГОСТ поддерживается только в Windows. Если бы в Яндекс.Браузер или Спутник была поддержка TLS ГОСТ на Mac и Linux, то я бы не писал подобные вопросы в трекер Chromium GOST :)

[leonty]

Компромиссом может быть уведомление о наличии новой версии (релиза в терминах гитхаба) без автоматической установки. Решение остаётся за пользователями.

[alex-eri]

Если "облачному сервису" нужна новая версия браузера - пусть вывесит банер в пол экрана и надоедает пользователю пока тот не скачает и обновит его. Если не нужна - "работает - не трогай". Тут очень много всего что может сломаться, в особенности плагины вроде сбис, госуслуг, банков.

[leonty]

"работает - не трогай" - так было 20 лет назад. Но сейчас это не тот подход, который можно применять к браузерам. Очень много уязвимостей закрывается, появляются новые атаки, да и вообще содержимое компьютера сейчас ценнее, чем когда так можно было говорить. Именно потому что "госуслуг, банков" и т.д. Для обычного пользователя обновления очень актуальны, хоть и не все пользователи это знают. Поэтому обычная уведомлялка как в хроме/файрфоксе была бы не лишней.

(говорю от имени обычного пользователя, не админа и не облака))

[arkinform]

Тут очень много всего что может сломаться, в особенности плагины вроде сбис, госуслуг, банков.

Если рассматривать эти риски, то как сейчас работают обычные сайты, не требующие TLS ГОСТ, но использующие различные плагины для электронной подписи и т.п.? Пользователи работают с этими сайтами через обычные браузеры, которые регулярно автоматически обновляются (Google Chrome, Firefox, Microsoft Edge, Yandex Browser и т.п. - все обновляются автоматически). Современная Web разработка обязана поддерживать совместимость со всеми актуальными версиями браузеров.

Если "облачному сервису" нужна новая версия браузера - пусть вывесит банер в пол экрана и надоедает пользователю пока тот не скачает и обновит его.

В целом это неплохой вариант, если сам Chromium GOST не готов предоставить встроенный механизм автоматического обновления. Я понимаю доводы и опасения, о которых написал @deemru. Но сходу есть несколько проблем на примере Windows и Mac:

• Сборки для Windows не подписываются электронной подписью, поэтому пользователь при запуске скачанного дистрибутива получит "страшное" сообщение и многие обычные пользователи не догадаются нажать на лейбл "Подробнее", чтобы появилась кнопка "Выполнить в любом случае"

  Фильтр SmartScreen в Microsoft Defender предотвратил запуск неопознанного приложения, которое может подвергнуть компьютер риску.
  Приложение: chromium-gost-85.0.4183.102-windows-386-installer.exe 
  Издатель: Неизвестный издатель 

• Если пользователь все-таки смог запустить скачанный инсталлятор для Windows, то он выполняется абсолютно молча без каких-либо сообщений (если старая версия Chromium GOST уже установлена). В итоге пользователь не понимает, произошло что-то или нет, и будет считать, что "ничего не работает"
• Сборки для Mac распространяются в обычном tar.bz2 архиве, внутри которого Chromium-Gost.app тоже без электронной подписи. Если попробовать запустить этот файл напрямую из раздела "Загрузки", то пользователь тоже получит "страшное" сообщение и обычные пользователи не догадаются, что можно перейти в Finder и там открыть контекстное меню с нажатой клавишей Command и выбрать пункт "Открыть". Ну и, конечно, нужен привычный пользователям Mac механизм установки/обновления с переносом приложения в раздел "Программы".

  Файл «Chromium-Gost.app» невозможно открыть, так как Apple не может проверить его на наличие вредоносного ПО.
  Данное ПО необходимо обновить. Обратитесь к разработчику за подробной информацией.

[deemru]

• Сборки для Mac распространяются в обычном tar.bz2 архиве, внутри которого Chromium-Gost.app тоже без электронной подписи. Если попробовать запустить этот файл напрямую из раздела "Загрузки", то пользователь тоже получит "страшное" сообщение и обычные пользователи не догадаются, что можно перейти в Finder и там открыть контекстное меню с нажатой клавишей Command и выбрать пункт "Открыть". Ну и, конечно, нужен привычный пользователям Mac механизм установки/обновления с переносом приложения в раздел "Программы".

Файл «Chromium-Gost.app» невозможно открыть, так как Apple не может проверить его на наличие вредоносного ПО.
Данное ПО необходимо обновить. Обратитесь к разработчику за подробной информацией.

Всё так, одно уточнение, сборки для MacOS на самом деле подписаны, так как без подписи они вообще не могли бы запуститься на Каталине и выше:

[arkinform]

Я попробовал на примере Яндекс.Браузер, он устанавливается на Mac из dmg файла без необходимости изменения каких-либо системных настроек MacOS:

При первом запуске после копирования в Applications нужно только один раз нажать кнопку "Открыть":

Желательно, чтобы установка Chromium GOST была такой же простой для пользователя как в других браузерах.

@deemru Планируются ли какие-то изменения для упрощения установки Chromium GOST на Windows и Mac?

[deemru]

@deemru Планируются ли какие-то изменения для упрощения установки Chromium GOST на Windows и Mac?

Планируются, но скорее всего это будет в рамках другого проекта с другим названием, а данный проект останется технической основой.

[cvalka4]

Это просто LOL. Браузер который не обновляется. RCE ждут вас.

[cvalka4]

Вы бы хотя бы winget репозиторий создали, чтобы не позориться.

[leonty]

Типа пятница, вечер, сложная неделя, а тут раз, кто-то ещё и на гитхабе неправ )

[deemru]

Это просто LOL. Браузер который не обновляется. RCE ждут вас.

Вы бы хотя бы winget репозиторий создали, чтобы не позориться.

Исчерпывающий ответ уже дан выше: https://github.com/deemru/Chromium-Gost/issues/19#issuecomment-692021453

[cvalka4]

Пусть нашу работу сделают за нас "внедренцы".

[s1flashg]

Что вы вокруг да около, прямо скажем это большой минус, что в программе не предусмотрен автоапдейтер, который фоново на автомате ставит обновление, без участия пользователя, это есть во многих браузерах, а тут как то обделили, и это очень странно.

[deemru]

Что вы вокруг да около, прямо скажем это большой минус, что в программе не предусмотрен автоапдейтер, который фоново на автомате ставит обновление, без участия пользователя, это есть во многих браузерах, а тут как то обделили, и это очень странно.

Никто не спорит, что это минус. Но все аргументы выше изложены.

Исчерпывающий ответ уже дан выше: #19 (comment)

Пока они не будут решены, автообновления не могут быть одобрены.

Либо делаем хорошо, либо никак.

[s1flashg]

Так говорите будто это бета, уже какая версия, когда она станет достаточно хорошей, и есть ли предел совершенства

[deemru]

Так говорите будто это бета, уже какая версия, когда она станет достаточно хорошей, и есть ли предел совершенства

Если уходить в оффтопик, то у браузера изначально была исключительно техническая судьба, процитирую страницу браузера с сайта КриптоПро (https://www.cryptopro.ru/products/chromium-gost):

Также никто никогда не говорил, пользуйтесь, а мы будем поддерживать. Наоборот, всегда советовали использовать браузеры с поддержкой ГОСТ от крупных компаний.

Просто так сложилось, как раз таки, как сказано выше, из-за короткого цикла разработки, что острые проблемы пользователей решаются открыто и обычно оперативно. И поэтому оставшиеся довольными пользователи продолжают далее пользоваться браузером и их количество растёт.

Данный тикет никто не закрывает, возможно описанные выше проблемы удастся когда-нибудь решить.

[s1flashg]

Ну что браузер получился вполне хорошим, даже сам по себе, к не только для работы с крипто сайтами

[cvalka4]

И сейчас ноль браузеров с поддержкой ГОСТ.

[s1flashg]

А как же Яндекс и атом якобы они поддерживают гост

[kovdan01]

@deemru Выше упоминался вариант создания репозитория в winget - подскажите, пожалуйста, планируете ли это сделать? P.S. Спасибо за работу.

[cvalka4]

Там люди не в состоянии осилить winget репозиторий.

On Tue, Nov 21, 2023, 14:12 Daniil Kovalev @.***> wrote:

@deemru https://github.com/deemru Выше упоминался вариант создания репозитория в winget - подскажите, пожалуйста, планируете ли это сделать? P.S. Спасибо за работу.

— Reply to this email directly, view it on GitHub https://github.com/deemru/Chromium-Gost/issues/19#issuecomment-1821524266, or unsubscribe https://github.com/notifications/unsubscribe-auth/ABD5FLVEVEBOG4EEAWL3BVLYFT4ITAVCNFSM4RLMHCEKU5DIOJSWCZC7NNSXTN2JONZXKZKDN5WW2ZLOOQ5TCOBSGE2TENBSGY3A . You are receiving this because you commented.Message ID: @.***>

[deemru]

@deemru Выше упоминался вариант создания репозитория в winget - подскажите, пожалуйста, планируете ли это сделать?

Нет.

[cvalka4]

Что и требовалось доказать

On Tue, Nov 21, 2023, 15:44 Dmitrii Pichulin @.***> wrote:

@deemru https://github.com/deemru Выше упоминался вариант создания репозитория в winget - подскажите, пожалуйста, планируете ли это сделать?

Нет.

— Reply to this email directly, view it on GitHub https://github.com/deemru/Chromium-Gost/issues/19#issuecomment-1821649349, or unsubscribe https://github.com/notifications/unsubscribe-auth/ABD5FLRD5JVDBGJLDPMADYTYFUHCDAVCNFSM4RLMHCEKU5DIOJSWCZC7NNSXTN2JONZXKZKDN5WW2ZLOOQ5TCOBSGE3DIOJTGQ4Q . You are receiving this because you commented.Message ID: @.***>

[deemru]

Что и требовалось доказать

Мне не нравятся ваши комментарии. Они не несут никакого смысла. Это единственное предупреждение. Далее будет просто чистка.