Comments 75
firefox -no-remote -P "profilename"Вдобавок, ещё и повышается безопасность, если в этот профиль не устанавливать дополнения и через него совершать все покупки.
Я бы для этой цели использовал отдельный Firefox-"форкнутый" браузер - Waterfox или Palemoon. На всякий случай, чтобы случайно не кликнуть на иконку второго профиля в Firefox.
Собственно, уже сейчас для доступа к российским ресурсам я использую Waterfox, пропуская трафик через ssh tunnel на российском VPS (я не живу в РФ и многие российские ресурсы недоступны без российского прокси или тоннеля). Поставлю в этот Waterfox российский сертификат и всё.
На всякий случай, чтобы случайно не кликнуть на иконку второго профиля в Firefox.По-моему проще сделать ярлык да поменять ему значок.
Для страховки можно в «финансовом» профиль другую тему браузера включить. Например, если у меня основной профиль, как и система, имеет тёмную тему, то во втором я бы включил светлую.
2) Опасным называют не сертификат Сбербанка. Опасным называют — сертификат высокого уровня, которым подписан сберовский сертификат. Опасным называют — сертификат, который выпущен от имени The Ministry of Digital Development and Communications.
3) На своём сайте Сбербанк предлагает установить не сберовский сертификат, а корневой от министерства. Тем самым клиент своей волей, своим умом признаёт, что во всём доверяет министерству. Вот этот акт доверия и считается опасным, потому что один лишь бог знает, чего ждать от министерства.
Объясните для непонимающего: если я поставлю "опасный" сертификат в систему, и сделаю его одним из доверенных CA, как он повлияет на работу сайта Microsoft, который подписан другим CA? При этом сайт Microsoft не будет использовать "опасный" сертификат для шифрования, ибо он ему не нужен.
Ладно, траффик с условных госуслуг и сбербанка сможет расшифровать условный тов. майор, т.к. он теперь шифруется "опасным" сертификатом, но он и так это может - ему сбербанк и госуслуги и так все передадут о вас.
Получается сертификат прямо влияет на работу только тех сайтов, которые его запрашивают или я не так понимаю что-то?
Теоретически этот "опасный CA" может выдать сертификат на microsoft.com, и он будет ровно настолько же доверенным, насколько доверенный "оригинальный". В реализации Microsoft CryptoAPI нет возможности ограничить Trusted CA каким-то конкретным перечнем реалмов.
На практике же такие вещи внимательно отлавливаются при помощи инструментов certificate transparency. Стоит опасному СА издать сертификат для чего-то постороннего - как буквально со следующим апдейтом он будет забанен во всех актуальных браузерах, и все попытки минцифры впарить свой сертификат сойдут на нет. Можете почитать историю с DigiNotar для примера.
Но это мы про какие-то глобальные истории. Локальные точечные атаки могут быть гораздо опаснее - например, в нужный момент можно подменить обновляемый telegram.exe на аналогичный бинарник с неким дополнительным функционалом. Безусловно, сделать это незаметно - достаточно сложно, но "опасный СА" + повсеместный хайджек днса + наличие DPI = практически готовый рецепт для осуществления такого рода атак.
Спасибо, правда интересные варианты. Но сейчас все идёт отказу от "альтернативных" браузеров и переходу на суверенный chromium Ябраузер. Видимо чтобы не сработала ваша теория про:
Стоит опасному СА издать сертификат для чего-то постороннего - как буквально со следующим апдейтом он будет забанен во всех актуальных браузерах
Не сработает.
Потому что TLS нельзя валить выборочно. Есть огромное количество устройств, на которых невозможно поставить Trusted CA на уровне системы - и в основном это мобильные устройства.
В Казахстане уже пытались национальный митм организовать, чем закончилось - все в курсе.
Основной ожидаемый вектор атаки – подпись провайдером/ТСПУ/РКН скама с помощью этого корневого сертификата. Скажем, в момент, когда вы пытаетесь зайти в хипстограм, и получаете редирект на какое-то поделие мейлру.
У Яндекс Браузера патч для поддержки этих сертификатов + Certificate Transparency опубликован. https://github.com/yandex/domestic-roots-patch
Ладно, допустим яндексу мы не верим что товарищь майор не заставил их подправить как надо реальный код, но хоть отревьюить этот патч (я там — не вижу не заявленного но я могу ошибатся конечно же) и собрать хромиум с ним и использовать его почему нельзя?
По мне — Яндекс попатался тут сделать все же что можно технически. И патч, и поддержка CT.
Да. Яндексу просто скажут не отзывать такой сертификат.
Когда одна сущность (государство) управляет и браузером и выдачей сертификатов - тут-то и образуется дыра в безопасности.
Дополнительно есть CAA (https://en.wikipedia.org/wiki/DNS_Certification_Authority_Authorization), в котором владелец домена указывает каким СА доверять. Но я не уверен все ли браузеры умеют и хотят это проверять.
А не может случиться так: мы например запускаем установщик Яндекс.Браузера с правами администратора, а он нам пропихивает "государственные" корневые сертификаты? Незаметно для пользователя
Как вариант "кто-то" кто имеет право подписывать другие сертификаты этим доверенным сертификатом, выпустит сертификат на имя microsoft.com (или любой другой), подменит DNS, а ваш браузер будет бесконечно доверять, в таком случае вы никогда не узнаете что неделю ходили на "неправильный" microsoft.com...
Подмена вашим провайдером сайта Microsoft с подменой их родного сертификата на опасный уже от доверенного российского СА.
Вы же не просматриваете всегда при заходе на сайт Microsoft - а кем конкретно был выдан сертификат, американский он или наш? Вы скорее всего просто видите что он доверяемый и спокойно идете дальше.
Атака "man in the middle". Примерно такой сценарий - ваше соединение с Microsoft перенаправляется товарищу майору. Он со своей стороны генерирует сертификат для микрософта и говорит что я это тот самый сайт (ключики то от отчечественного сертификата у него есть и он может подписать им что хочет). Ваш браузер этому верит потому, что этот новый сертификат подписан тем самым российским сертификатом который указан как доверенный. Но по факту это соединение с товарищем майором. А уже с компьютера майора идёт второе соединение уже непосредственно на сайт Microsoft. И ваши запросы передаются в это второе совединение, но уже прочитанные товарищем майором. Вот и придумывают люди всякие способы ограничить использование этого российского сертификата только в тех случаях где без это не обойтись.
Создание нового пользователя это огромная нагрузка на файловую систему, будет создано много файлов и папок. Может проще поставить Яндекс-браузер? Накладные расходы тоже есть, но им хотя бы пользоваться можно
Ну, не без этого. Немало будет файлов и папок. И, всё-таки, такую нагрузку на файловую систему я бы не стал называть огромной. Что же касается Яндекс-браузера, то почему бы и нет? Это решение предлагается прямо на странице Сбера, и те, кого ЯБ сам по себе устраивает, вряд ли нуждаются ещё в каких-либо предложениях.
Я-браузер тоже фокусы выкидывает. Решил попробовать что за зверь. На хабре нашлась заметка как сделать его автономным (ключ запуска для указания папки хранения настроек ЯБ). Так эта зараза при запуске без зазрения совести утянула из мозилы профиль, открытые вкладки, пароли... и даже не спросила а надо ли .
среда Линукс
Яндекс.Браузер сначала импортирует данные, а потом спрашивает "надо ли?". Если отказаться, то импортированные данные будут удалены и браузер перезапустится .
Если отказаться, то импортированные данные будут удалены и браузер перезапустится .
Импортированные данные отсылаются в Яндекс -> удаляются из браузера -> браузер перезапустится.
Если отказаться, то конфликт будет исчерпан и грабитель уйдёт восвояси.
Да какая там нагрузка от какого-то профиля, если у нас сама винда уже запросто сто гигов сожрать может?
Создание нового пользователя это огромная нагрузка на файловую систему
Такой абсурдный аргумет может подействовать исключительно на людей с околонулевой компьютерной грамотностью.
Может проще поставить Яндекс-браузер?
Нет оснований доверять Яндексу.
Даа. У меня на работе как подключится удаленно очередной администратор что-нибудь локально настроить, так сразу гигов 15 под новый профиль отъезжает. Я этого не вижу, но места на диске становится гораздо меньше.
Не, ну не 15 гигов уж. Он, может, что-то удалить из своей папки забыл. Какой-нибудь установщик.
Заинтриговали, решил проверить. Папка пользователя, под которым заходили для настройки начальной — 30 мегабайт. У пользователя, в котором пользовались ещё браузером — 222 мегабайта.
Что же оно еще тянет для доменного пользователя?
Весь его десктоп и системные папки?
Зависит от того, что в домене настроено. У нас roaming profile не включены, соответственно ничего лишнего не приходит на компьютер. Самое простое, что вы можете сделать — спросить администратора, что же там заняло столько места. Может, он действительно забыл установщики удалить.
В любом случае, создание нового локального пользователя — это минимум нагрузки и занятого места.
При включённом Roaming Profile (а в нормальной организации, где пользователям могут менять компьютеры, это обычно включено), пользователь при логине стягивает с сервера весь рабочий стол со всем содержимым, папки со своими документами, и папку \AppData\Roaming.
В документах обычно много занимает папка "Загрузки". Хотя и рабочий стол у многих завален мусором.
В \AppData\Roaming - все настройки всех программ, иногда там же живёт почтовый ящик Outlook, кэши некоторых программ (Telegram, Teams, и т.д.).
Можете посмотреть свой собственный профиль - введите в адресной строке проводника: %appdata% и посмотрите размер папки Roaming
в котором пользовались ещё браузером — 222 мегабайта.
Это кэш браузера
Что касается следа, создаваемого
net user /add в файловой системе, это вообще ничто по сравнению с тем, что каждый день делает типичный программист своими pip install, npm-install, компиляцией любого C++/C# проекта среднего размера.
Создание нового пользователя это огромная нагрузка на файловую систему, будет создано много файлов и папок.
В чем вообще нагрузка в эпоху SSD? Пару десятков/сотен мегабайт записать это высокие накладные расходы?
В госучереждениях больше года сисадмины ставят уже три "опасных?" СА сертификата - минкоксвязь, минцифры и злополучный RussianTrustedRootCA, обычное дело.
Идея рабочая, спасибо.
"если потребуется скачивать файлы с сайта, по умолчанию они будут скачиваться в домашний каталог нового пользователя, что не очень удобно, наверное. "
костылить так по полной, можно линк создать куда душеньке угодно
( я так игрушки переношу с ssd на hdd и обратно)
mklink
Creates a symbolic link.
MKLINK [[/D] | [/H] | [/J]] Link Target
/D Creates a directory symbolic link. Default is a file
symbolic link.
/H Creates a hard link instead of a symbolic link.
/J Creates a Directory Junction.
Link Specifies the new symbolic link name.
Target Specifies the path (relative or absolute) that the new link
refers to.
Не могу понять, почему мы считаем российские сертификаты более опасными, чем те же американские которым мы слепо доверяем? Уверен, что и те и те запросто могут слушать мой трафик и если захотят, то вклинятся и смогут мне навредить.
Может быть потому, что у иностранных провайдеров сертификатов нет dpi оборудования на каждом узле российской сети. У провайдеров суверенных сертификатов оно есть. Им не хватало только ключей, что бы расшифровывается весь трафик, суверенные сертификаты и есть те самые недостающие ключи.
Нет. Никаких ключей CA не хватит при правильном подходе, чтобы расшифровать записанный траффик https://ru.wikipedia.org/wiki/Perfect_forward_secrecy
"На июнь 2016 года около 52 % веб-сайтов, доступных по протоколу HTTPS, использует PFS". Есть основания полагать, что в 2022 году всё заметно лучше
А вот MitM атака это очень даже можно, если есть доступ к CA. Но это уже расписали
Нет необходимости гонять трафик через "подконтрольные сервисы", достаточно поставить "подконтрольный софт"(с закладкой, например) на любой промежуточный узел. Я вот не уверен на 100% что всем промежуточным узлам можно доверять.
Касательно интереса к моей персоне: конкретно я могу быть не интересен, но возможность взять под контроль миллионы и иметь возможность воздейсвовать на эту массу - считаю вполне привлекательной идеей.
Американские СА будут в доверенных до первого инцедента. А что будет в случае инцедента с неправомерным использованием Российского СА? Перевыпуск? Произошло один раз - произойдет снова.
Потому что ЦРУ/ФБР для россиянина опасности не представляют, в отличие от аналогичных российских трёхбуквенных организаций.
А ради чего все эти заморочки? Чтобы каждый раз в браузере при открытии сайта сбербанка не тыкать "Доверять этому сертификату"?
Однажды, по невнимательности, можно довериться мошенникам не из банка. Например, при онлайн-оплате.
понимаю, что некропощщу, но сейчас проверил, в хроме открывается http, а не https, проверьте)
при этом, если попытаться зайти на https- соединение рвется, даже ошибку сертификата не выдает
Вариант с созданием собственного сертификата и переподписанием сертификатов НУЦ, наверное, самый профессиональный
Подскажите, где можно более подробно ознакомиться с данным вариантом?
Как можно установить «опасный» российский сертификат в Windows