Saved searches
Use saved searches to filter your results more quickly
Cancel Create saved search
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Автообновление версии браузера #19
arkinform opened this issue Sep 14, 2020 · 27 comments
Автообновление версии браузера #19
arkinform opened this issue Sep 14, 2020 · 27 comments
Comments
arkinform commented Sep 14, 2020
Если рассматривать установку Chromium GOST браузера в корпоративной инфраструктуре, то за актуальностью и обновлением браузера может следить системный администратор. Но если Chromium GOST устанавливают обычные пользователи (например, для подключения к какому-то облачному сервису, защищенному GOST TLS), то это становится большой проблемой. Никаких уведомлений и даже механизма ручного обновления в Chromium GOST нет (либо я не нашел), в результате обычные пользователи так и будут продолжать использовать старую версию, которую они когда-то установили. Это плохо как с точки зрения безопасности, так и с точки зрения использования новых функций из новых версий браузера.
Будет очень полезно, если в Chromium GOST появится встроенный механизм обновления по аналогии с Google Chrome и прочими Chromium браузерами. Наличие новых версий можно, например, проверять непосредственно по репозиторию chromium-gost на GitHub.
The text was updated successfully, but these errors were encountered:
deemru commented Sep 14, 2020
Основная проблема, отсутствие широкого предрелизного тестирования.
Без тестирования нет возможности ответить на вопрос, сломается ли что-то у пользователей или нет, поэтому и включать автообновления в текущем варианте скорее зло, чем добро.
Пока нас устраивает передача основной ответственности за тестирование и распространение на дальнейших внедренцев, зато имеем очень короткий цикл разработки.
arkinform commented Sep 14, 2020
@deemru проблема в том, что в случае с обычными пользователями (некорпоративными) нет никакого «внедренца», который бы имел доступ к компьютерам этих пользователей. Текущие реалии заставляют крупные коммерческие облачные проекты (например, медицинские) проводить аттестацию своих портальных информационных систем, при этом аттестация без защиты канала связи по ГОСТ невозможна. Если обязательства по защите конечных устройств пользователей еще можно переложить на самих пользователей, то защиту канала по ГОСТ нужно прописывать в модели угроз самой облачной информационной системы. При этом TLS ГОСТ в браузере — это самый простой способ обеспечить массовому пользователю защищенное подключение по ГОСТ (в отличие от VPN и т.п.). Есть Яндекс.Браузер и Спутник с поддержкой TLS ГОСТ, но в них TLS ГОСТ поддерживается только в Windows. Если бы в Яндекс.Браузер или Спутник была поддержка TLS ГОСТ на Mac и Linux, то я бы не писал подобные вопросы в трекер Chromium GOST 🙂
leonty commented Sep 16, 2020
Компромиссом может быть уведомление о наличии новой версии (релиза в терминах гитхаба) без автоматической установки. Решение остаётся за пользователями.
alex-eri commented Sep 16, 2020
Если «облачному сервису» нужна новая версия браузера — пусть вывесит банер в пол экрана и надоедает пользователю пока тот не скачает и обновит его. Если не нужна — «работает — не трогай». Тут очень много всего что может сломаться, в особенности плагины вроде сбис, госуслуг, банков.
leonty commented Sep 16, 2020
«работает — не трогай» — так было 20 лет назад. Но сейчас это не тот подход, который можно применять к браузерам. Очень много уязвимостей закрывается, появляются новые атаки, да и вообще содержимое компьютера сейчас ценнее, чем когда так можно было говорить. Именно потому что «госуслуг, банков» и т.д. Для обычного пользователя обновления очень актуальны, хоть и не все пользователи это знают. Поэтому обычная уведомлялка как в хроме/файрфоксе была бы не лишней.
(говорю от имени обычного пользователя, не админа и не облака))
arkinform commented Sep 17, 2020 •
Тут очень много всего что может сломаться, в особенности плагины вроде сбис, госуслуг, банков.
Если рассматривать эти риски, то как сейчас работают обычные сайты, не требующие TLS ГОСТ, но использующие различные плагины для электронной подписи и т.п.? Пользователи работают с этими сайтами через обычные браузеры, которые регулярно автоматически обновляются (Google Chrome, Firefox, Microsoft Edge, Yandex Browser и т.п. — все обновляются автоматически). Современная Web разработка обязана поддерживать совместимость со всеми актуальными версиями браузеров.
Если «облачному сервису» нужна новая версия браузера — пусть вывесит банер в пол экрана и надоедает пользователю пока тот не скачает и обновит его.
В целом это неплохой вариант, если сам Chromium GOST не готов предоставить встроенный механизм автоматического обновления. Я понимаю доводы и опасения, о которых написал @deemru. Но сходу есть несколько проблем на примере Windows и Mac:
- Сборки для Windows не подписываются электронной подписью, поэтому пользователь при запуске скачанного дистрибутива получит «страшное» сообщение и многие обычные пользователи не догадаются нажать на лейбл «Подробнее», чтобы появилась кнопка «Выполнить в любом случае»
Фильтр SmartScreen в Microsoft Defender предотвратил запуск неопознанного приложения, которое может подвергнуть компьютер риску. Приложение: chromium-gost-85.0.4183.102-windows-386-installer.exe Издатель: Неизвестный издатель - Если пользователь все-таки смог запустить скачанный инсталлятор для Windows, то он выполняется абсолютно молча без каких-либо сообщений (если старая версия Chromium GOST уже установлена). В итоге пользователь не понимает, произошло что-то или нет, и будет считать, что «ничего не работает»
- Сборки для Mac распространяются в обычном tar.bz2 архиве, внутри которого Chromium-Gost.app тоже без электронной подписи. Если попробовать запустить этот файл напрямую из раздела «Загрузки», то пользователь тоже получит «страшное» сообщение и обычные пользователи не догадаются, что можно перейти в Finder и там открыть контекстное меню с нажатой клавишей Command и выбрать пункт «Открыть». Ну и, конечно, нужен привычный пользователям Mac механизм установки/обновления с переносом приложения в раздел «Программы».
Файл «Chromium-Gost.app» невозможно открыть, так как Apple не может проверить его на наличие вредоносного ПО. Данное ПО необходимо обновить. Обратитесь к разработчику за подробной информацией. Chromium-Gost
Chromium-Gost — это модификация стандартного браузера Chromium с открытым исходным кодом и поддержкой криптографических алгоритмов ГОСТ для установки защищённых соединений при работе с российской криптографией. Браузер имеет стандартные для Chromium интерфейс, функции и меню, а также поддерживает установку расширений из интернет-магазина Chrome.
В отличии от браузеров на базе Chromium, в которых при установке защищённых соединений используется библиотека BoringSSL, которая не поддерживает криптографические алгоритмы ГОСТ, Chromium-Gost использует интерфейс msspi.
При соединении с сайтом или веб-интерфейсом, поддерживающим криптографические алгоритмы ГОСТ, Chromium-Gost переключает режим работы на использование интерфейса msspi. При этом, для работы с алгоритмами ГОСТ требуется наличие в системе криптопровайдера, поддерживающего работу с российской криптографией.
Chromium-Gost доступен для операционных систем Windows, Linux и MacOS.
Особенности Chromium-Gost
Вот несколько ключевых моментов:
- Цель Chromium-Gost: Предоставить пользователям веб-браузер на основе популярного Chromium, который будет поддерживать криптографические алгоритмы ГОСТ, широко используемые в России.
- Работа с ГОСТ: Поскольку основной браузер Chromium использует библиотеку BoringSSL, которая не поддерживает ГОСТ, разработчики Chromium-Gost внедрили интерфейс msspi для обеспечения поддержки ГОСТ-алгоритмов.
- Автоматическое переключение: Если сайт поддерживает ГОСТ-алгоритмы, браузер автоматически переключается с BoringSSL на msspi для установления защищенного соединения.
- Прозрачность для пользователя: Для обычного пользователя процесс установки соединения будет казаться обычным. Это означает, что пользователь не будет видеть никаких оповещений или ошибок, связанных с процессом установки соединения, и будет взаимодействовать с сайтом, как обычно.
Таким образом, для российских пользователей, которым необходима поддержка ГОСТ-алгоритмов в своем браузере, Chromium-Gost может быть отличным решением.
Как скачать Chromium-Gost
Перейдите на страницу загрузки и выберите версию для вашего устройства.
Установка и обновление браузера Chromium в Windows
Chromium – проект (браузер) с открытым исходным кодом, разрабатываемый сообществом The Chromium Authors. Далее рассмотрим возможные способы загрузки и обновления этого веб-обозревателя.
Как скачать Chromium с официального сайта
Обратите внимание, что официальная страница chromium.org не содержит прямых ссылок на загрузку Chromium, предлагая пользователю лишь краткую инструкцию (на англ. языке) по скачиванию последней версии для выбранной платформы (Windows, mac, Linux, ChromiumOS). Ниже представлена упрощённая версия данной инструкции на русском языке.
Инструкция: как скачать последнюю версию Chromium для Windows из официального репозитория Google
Чтобы скачать актуальную версию, следуйте приведённой ниже официальной краткой инструкции (на примере Windows 10, 64-бит).
- Откройте эту страницу: https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html;
- Перейдите в директорию Win_x64;
- В открывшемся окне, кликните левой кнопкой мыши (ЛКМ) по «Last Modified»;
- Введите значение из поля «Commit Position» в поле «Filter»;
- Перейдите в папку с этим номером;
- Скачайте файл mini_installer.exe или chrome-win.zip.
Скачать последнюю версию Chromium по прямой ссылке (32 или 64-бит) из официального репозитория Google можно на этой странице или здесь.
Как обновить
Внимание: все ваши настройки, расширения, история посещённых веб-сайтов, и даже cookies, после обновления Хромиум не пропадут (независимо от выбранного способа обновления)!
Установщик
Файл mini_installer.exe (представляет собой самораспаковывающийся архив 7-Zip. Вы можете распаковать его, чтобы увидеть его содержимое).
Путь установки по умолчанию в Windows 10: C:\Users\Администратор\AppData\Local\Chromium\Application
- Закройте Chromium, если он открыт;
- Запустите mini_installer.exe;
- Подождите буквально несколько секунд (тихая установка – silent install, т.е. никаких уведомлений в процессе обновления или установки выводится на экран не будет);
- Откройте браузер Chromium. Он обновлен!
- Удаление Chromium, установленного таким образом, осуществляется в штатном режиме (как любой другой программы).
Chromium в ZIP архиве
Для установки достаточно извлечь содержимое архива chrome-win.zip в любую папку на компьютере. Для запуска браузера Chromium используем chrome.exe (находится в папке).
- Скачайте chrome-win.zip (по инструкции выше);
- Закройте Chromium, если он открыт;
- При обновлении, сначала удалите все файлы из уже имеющегося каталога с программой;
- Затем переместите файлы из распакованного архива в ваш каталог установки;
- Откройте браузер Chromium. Он обновлен!
- Чтобы окончательно удалить Chromium – просто удалите каталог установки.
Видеоинструкция
Автоматическое обновление Chromium
В браузере Chromium нет опции автоматического обновления, как, например, в Google Chrome. Поэтому для поддержания браузера в актуальном состоянии вы можете использовать приведённую выше официальную инструкцию – для обновления в ручном режиме.
Для автоматического обновления Chromium используйте одну из специальных утилит (апдейтеров):
- Chromium Update Notifications;
- Chrlauncher;
- ChromiumForWindows;
- Chocolatey;
- Simple Chromium Updater;
- Chromium for windows installer;
- ChromiumUpdathe;
- cr-updater;
- Chromium_Updater.
А вдруг и это будет интересно:
- ТОП-5 программ для записи видео с экрана со звуком Windows 10
- Что такое аппаратное ускорение, зачем и как его отключить в Windows
- Как скачать видео с YouTube в высоком качестве с помощью youtube-dl в Windows
- Как записать загрузочную флешку с помощью Ventoy
- Как отключить проверку цифровой подписи драйверов в Windows 10
- Экран блокировки Windows 10, 11: монитор выключается через одну минуту (решение)
Как обновить chromium ghost
Лидер российского рынка по распространению средств криптографической защиты информации, электронной подписи и развитию инфраструктуры открытых ключей на основе российских криптографических алгоритмов
- О компании
- Контакты
- Схема проезда
- Новости
- Лицензии
- Аккредитация
- Реквизиты
- Вакансии
- КриптоПро CSP
- Использование
- КриптоПро CSP Lite
- КриптоПро TLS c ГОСТ
- КриптоПро Java CSP
- КриптоПро Winlogon
- Считыватели
- История версий
- Сравнение версий
- Совместимость реализаций X.509 и CMS
- Загрузка файлов
- КриптоПро JTLS
- КриптоПро Java CSP
- Загрузка файлов
- Описание
- Платёжный HSM
- Использование
- Информационные материалы
- Мобильные приложения
- Тестовый СЭП
- КриптоПро DSS Lite
- КриптоПро CloudCSP
- Загрузка файлов
- VPN-сервер NGate
- TLS-сервер NGate
- Сервер портального доступа
- IPsec VPN-шлюз NGate
- Общая информация
- Информационные материалы
- Аппаратные платформы
- Загрузка файлов
- КриптоПро УЦ 2.0
- КриптоПро Службы УЦ
- Задачи
- Развёртывание
- Консалтинг
- Обучение
- Техническая поддержка
- КриптоПро Шлюз УЦ-СМЭВ
- Использование
- Совместимость реализаций IPsec
- Загрузка файлов
- Браузер Chromium-Gost
- КриптоПро ЭЦП Browser plug-in
- Приложение cryptcp
- КриптоПро Office Signature
- КриптоПро PDF
- КриптоПро AirKey
- Защищенная мобильность
- КриптоПро Stunnel
- stunnel-msspi
- КриптоПро SPR 4.0
- Secure Pack Rus (SPR 3.0)
- КриптоПро Шлюз УЦ-СМЭВ
- КриптоПро ЭЦП
- КриптоАРМ ГОСТ
- КриптоПро CRM
- КриптоПро SSF
- КриптоПро HLF
- Электронные замки
- Считыватели смарт-карт
- USB-токены
- Услуги УЦ
- Сервис электронной подписи
- Консалтинг
- CRM решения для УЦ
- Защита информации
- Блокчейн (распределённый реестр)
- Обучение
- Список партнёров по регионам
- Дистрибьюторы
- Стать партнёром
- Вход для партнёров
- Решения партнёров
- Портал технической поддержки
- Центр загрузки
- Тестовый УЦ
- База знаний (FAQ)
- Документация
- Поиск
- Проверка лицензии
- Проверка возможности обновления
- Юридические лица
- Форма заказов
- Оплата
- Доставка
- Форма заказов
- Оплата
- Доставка
- Форма заказов
- Доставка
- Оплата
- Условия возврата
- Форма заказов
- Доставка
- Оплата
- Условия возврата
- Order form
- Payment methods
- Delivery
- Как оформить заказ
- Как скачать
- Как установить
- Как ввести лицензию
Дополнительное ПО
- Браузер Chromium-Gost
- КриптоПро ЭЦП Browser plug-in
- Приложение cryptcp
- КриптоПро Office Signature
- КриптоПро PDF
- КриптоПро AirKey
- Защищенная мобильность
- КриптоПро Stunnel
- stunnel-msspi
- КриптоПро SPR 4.0
- Secure Pack Rus (SPR 3.0)
- КриптоПро Шлюз УЦ-СМЭВ
- КриптоПро ЭЦП
- Использование
- КриптоПро ЭЦП SDK
- Загрузка файлов
Вход
Купить
Услуги УЦ
Услуги СЭП
Подписка
Браузер Chromium-Gost
Браузер Chromium-Gost — веб-браузер с открытым исходным кодом на основе Chromium с поддержкой криптографических алгоритмов ГОСТ (в соответствии с методическими рекомендациями ТК 26) при установке защищённых соединений через интерфейс msspi.
Основной задачей проекта является техническая демонстрация возможности встраивания ГОСТ в браузер с открытым исходным кодом Chromium. Данное технологическое решение может помочь разработчикам адаптировать браузер при встраивании поддержки ГОСТ.
Компания КриптоПро не является правообладателем браузера Chromium-Gost и не отвечает за его функционирование и поддержку на регулярной основе, продукт развивает и поддерживает сообщество разработчиков на безвозмездной и добровольной основе, среди которых важную роль составляют специалисты КриптоПро.
Скачать
Браузер Chromium-Gost доступен для операционных систем Windows, Linux и MacOS.
Ссылки для скачивания актуальных сборок и основная ветка разработки:
https://github.com/deemru/chromium-gost/releases/latestТребования к системе
Для работы с алгоритмами ГОСТ требуется наличие в системе криптопровайдера, поддерживающего работу с российской криптографией.
В качестве криптопровайдера мы рекомендуем использовать КриптоПро CSP. Для работы с защищёнными соединениями не требуется покупка лицензии КриптоПро CSP, кроме того КриптоПро CSP имеет ознакомительный период с работой всех функций программы, включая работу с долговременными ключами и подписями на их основе. Для скачивания КриптоПро CSP достаточно пройти простую процедуру регистрации на сайте.
Проверка работоспособности
Если соответствующий криптопровайдер установлен в системе, то проверить работоспособность браузера Chromium-Gost, можно перейдя по ссылке на сервис для разработчиков https://gost.cryptopro.ru
Сертификат сайта должен выглядеть следующим образом, что подтверждает установку защищённого соединения по алгоритмам ГОСТ:
Альтернативный вариант проверки — через панель разработчика:
— Находясь в браузере, нажмите F12, откроется панель разработчика браузера
— Перейдите на вкладку Security
— Находясь на вкладке Security, обновите страницу (1 — на картинке ниже)
— Перейдите на появившуюся закладку https://gost.cryptopro.ru/ (2 — на картинке ниже)
— Проверьте данные соединения и сертификата (3 — на картинке ниже)
Если у вас показывается другой сертификат (примеры ниже), то попробуйте переустановить криптопровайдер и перезапустить браузер Chromium-Gost.
Или в альтернативном варианте проверки — если соединение не по ГОСТ:
Если у вас по какой-то причине не установлены корневые сертификаты (перечёркнут https, как на картинке ниже), мы рекомендуем переустановить криптопровайдер, воспользовавшись универсальным установщиком КриптоПро CSP с автоматической установкой необходимых корневых сертификатов.
Принцип работы
Оригинальная реализация Chromium при установке защищённых соединений использует библиотеку BoringSSL, которая не поддерживает криптографические алгоритмы ГОСТ. Для обеспечения работы ГОСТ-алгоритмов используется интерфейс msspi, который может поддерживать соответствующие алгоритмы, используя установленный в систему криптопровайдер.
При запуске браузера определяется наличие технической возможности работы криптографических алгоритмов ГОСТ через интерфейс msspi. В случае успеха при установке очередного защищённого соединения помимо оригинальных идентификаторов алгоритмов в пакете будут отправлены идентификаторы алгоритмов ГОСТ.
Если сайт поддерживает работу по ГОСТ, он может отреагировать на наличие этих идентификаторов предложением работы на ГОСТ-алгоритмах. Тогда защищённое соединение в рамках BoringSSL установлено не будет, так как BoringSSL не поддерживает ГОСТ, но поступит сигнал о соответствующей ошибке.
В случае возникновения подобного сигнала для данного сайта происходит переключение в режим работы интерфейса msspi. Если защищённое соединение успешно устанавливается через интерфейс msspi, сайт отмечается поддерживающим алгоритмы ГОСТ и все последующие с ним соединения будут использовать интерфейс msspi.
Для пользователя данный алгоритм работы остаётся прозрачен, так как Chromium автоматически устанавливает повторное соединение через интерфейс msspi.