Как стать автором
Обновить

Товарищ майор в клетке или как я изолировал Яндекс Браузер (для использования СБОЛа)

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров54K
Всего голосов 64: ↑55 и ↓9+63
Комментарии242

Комментарии 242

Если использовать Яндекс-браузер только для посещения госсайтов, то что ещё он может слить?

Проблема возникает в тот момент, когда вы хотите оплатить какой то товар на обычном коммерческом сайте. Следующим запросом он идет в банк.

а) использовать qr-код СБП,
б) не использовать подсанкционные банки.

Ну, это не секрет, что сейчас передается много информации о клиенте: какая ОС, экран, время, часовой пояс, установленные шрифты, и так далее.

Второй момент, вот, к примеру Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа . Если у вас на локалхосте стоит веб-сервер, то это тоже может быть записано, включая, как минимум, тот проект который у вас отдается как localhost:80/ и localhost:443/...

Ну передаётся и что?
Сканирование портов какое отношение имеет к обсуждаемой проблеме госсертификатов?

Проблема была озвучена ещё до ката: в целях соблюдения цифровой гигиены ставить Яндекс Браузер нельзя.

Вы знаете, это как что-то неприятное в руки брать: лучше в перчатках. Здесь в качестве "перчаток" выступает контейнер, могла быть виртуалка, возможно есть ещё какие-то варианты, о которых я не подумал.

Почему бы тогда не поставить на виртуалке госсертификаты и использовать нормальный браузер?

Тупо нет места на накопителе. У меня сейчас свободно 890 мегабайт :)

Моя опыт не универсальный, и сформировался в условиях озвученных ограничений, и именно поэтому я делился им как опытом, а не как туториалом (плашки "туториал" на статье нет).

А до варианта с LiveUSB, предложенного @HappyGroundhog, я не догадался.

Ну мы для этого и обсуждаем, чтобы находить лучшие решения. Я просто пытался понять, причины отторжения Яндекс-Браузера идеологические или есть реальные основания? А то так и кушать можно в перчатках...

Скорее идеологические. Так беспардонно кушать данные пользователя в таких количествах - заслуживает того же порицания, что и почивший Амиго.

Знаете, после нескольких десятков лет работы с разнообразным софтом вырабатывается интуиция. Достаточно одного взгляда, чтоб понять, что с конкретной программой что-то не так. И когда я устанавливаю Яндекс Браузер, ощущения как от китайской реплики iPhone, тупящей прямо из коробки, но зато с телевизором и тремя симками. Я брезгую пользоваться подобным.

Вот, я понял, почему и я так этому отношусь. На подсознательном уровне. Ну просто все противится "это" устанавливать.

И когда я устанавливаю Яндекс Браузер, ощущения как от китайской реплики iPhone, тупящей прямо из коробки, но зато с телевизором и тремя симками

А можно детали? Про мне просто ещё один chromium-based браузер

Ну да, с анимированными обоями, переводчиком и голосовым помощником из коробки. Прибитые гвоздями сервисы Яндекса - в подарок.

и что же такого ужасного в яндекс-сервисах?

То, что вы получаете их насильно...

Minesweeper в Windows тоже насильно.

Не ворует ваши данные и не шлёт их на удалённые сервера.

А ещё не затрагивает ваш пользовательский опыт: его нужно самому включить и тогда он включится. Он сам не выпрыгивает, не переливается светофором, не открывает модальных окон, не...

Твердотельник еще не отработал свой ресурс при таком объеме свободного места?

Ещё нет, но да, есть шанс, что он скоро "кончится".

Я новый накопитель уже купил, переставить пока некогда было.

По моему скопировать текущий диск на уже имеющийся новый (купленный) было проще/быстрее. Более того, это в любом случае предстоит делать, не?

По моему скопировать текущий диск на уже имеющийся новый (купленный) было проще/быстрее

Но не так интересно. Плюс сейчас у меня всё работает. Шанс того, что я всё сломаю - ненулевой. А у меня этот ноут используется еще и как рабочий, а разбирался с ЯБ на неделе.

Более того, это в любом случае предстоит делать, не?

Да.

ключевое слово "интересно")))

Интересно -- это веский аргумент, к нему вопросов нет.

Шанс того, что я всё сломаю - ненулевой

Да, не нулевой, но ведь небольшой: копируется диск (с ресайзом интересующих разделов), вытаскивается старый диск, втыкается новый.

Если что-то идёт не так -- вытаскивается новый, втыкается старый.

А вы читали статью? Я вот не читал, например, но это буквально первые абзацы.

В статье речь про установку сертификатов к себе на машину. А я пишу про установку на выделенную виртуальную машину, которая используется только для доступа к госсайтам. Автор поста, кажется, меня правильно понял выше.

1. Поставить виртуальную машину, в неё воткнуть сертификат

2. Поставить виртуальную машину, в неё установить Я.Браузер

100% рабочий план, казалось бы. Даже два! Но есть проблема: в моём ноуте SSD накопитель на 250 гигов, разделенный на Windows раздел и Linux раздел, и в Linux'e свободно меньше 5 гигов.
Еще один нюанс заключается в том, что виртуалки любят есть ОЗУ, и оперативки может и не хватить, когда уже запущена Intellij IDEA (две), Firefox с десятками вкладок (два), KeePass (два), Obsidian, и т.д. Своп мало того что медленный, так еще и некуда. Засада.
Надо как-то сэкономить ресурсы, которых и так в обрез. Но как?

Эмпирическим путём мы выяснили, что Вы остановились на первом абзаце, это второй :)

Мы здесь обсуждаем личные проблемы автора или общее решение (варианты решений)?

Вы интересный :)

Почему бы тогда не поставить на виртуалке госсертификаты и использовать нормальный браузер?

Ваш вопрос к автору выше. Обращённый к автору. Соответственно, о проблемах автора (почему он не взял это решение). О проблемах автора написано в абзаце, который я процитировал. Там же рассмотрены ещё два варианта решений (т.е. общие решения, хотя и не все – в комментариях ниже привели ещё парочку хороших: кастомный профиль в Firefox, добавление сертификата-исключения в Firefox, использование firejail, может уже ещё что-нибудь появилось) и оговорено, почему они не подходят (автору).

Вы извините, я не могу так каждый абзац пересказывать, я пойду))

Отпускаю :)

Да, но вы вопрос ведь задали мне?)

Краткий ответ: не самое рациональное расходование ресурсов накопителя по сравнению с другими доступными вариантами, в том числе предложенными другими хабровчанами.

Да, я понял. Кажется, оптимальное решение - установить сертификат в отдельный браузер (профиль браузера), а не в систему.
UPD: или использовать разные варианты исключений для сайтов.

Слишком просто, это гении максимальной сложности - они сделают какую-то нереально сложную дичь потратят на это надели и будут этим хвастаться. Не ломай гениям их гениальность. Я за своё время повидал таких уникумов, что аж страшно за наших it специалистов. Видел как люди тяжело приходят к простым и изящным решениям, долго барахтаясь в грязи. Ничего не поделаешь, гордятся этим.

Долго думал, отклонить ваш комментарий или нет с премодерации.

Решил опубликовать.

1) это далеко не максимальная сложность. Ничего сложного в изоляции нет. Есть сложность подготовить Docker image, но я считерил, переиспользовав готовый Dockerfile, поэтому в статье эта часть не раскрывается, а даётся ссылкой.

2) никто не тратил на это недели. Мной было потрачено 3 часа на всё-про всё, включая оформление PR автору исходного проекта (и он был принят).

За 3 часа после окончания рабочего дня я достиг цели - зашёл и пополнил счёт, откуда списывается ипотека. Потратил 1,5 дня своих выходных, чтобы написать статью.

3) не считаю себя гением и это не пост хвастовства. Жаль, что вам это неочевидно, даже несмотря на то, что "гениальность" предложенного решения специально была взята в кавычки.

Этот пост был описанием моего личного опыта и [неявным] предложением собрать в комментариях другие варианты решения актуальной и насущной проблемы.

Если судить по количеству предложенных решений в комментариях и рейтингу этих комментариев, то мой замысел удался.

---

Остальное комментировать не буду, потому что не про меня и не про мой пост, а про каких-то других людей в сферическом вакууме.

Всё-таки хотелось бы решений, которые подойдут для большинства пользователей, а не для it-специалистов. Хотя, подозреваю, что большинство просто установят сертификаты минцифры и забьют на безопасность (ну или просто не подумают об этом). И через некоторое время мы будем смотреть youtube и другие сайты через эти сертификаты.

Если большинство как-то осилит установку сертификатов в отдельный профиль браузера, оно и фильтрованный ютюб будет смотреть в этом профиле. Так что популяризация «решений» бессмысленна.

Не только слить, раньше, например, яндекс браузер ставил алису, запускал в режиме прослушивания команд.

У меня нет на компе микрофона и видеокамеры. Пусть слушает.

А многие сидят на ноутбуках.

На ноутбуках микрофон зачастую в вэбке, а она будет подозрительно светится при работе...

Светодиод часто включается програмно, драйвером.
А если нет, встречались случаи всяких ухищрений, когда камера включается на 0.1 сек раз в секунду, диод светится на 10% яркости, то есть как бы выключен, а данные утекают.

Есть физические заглушки на камеру, но микрофон так не закрыть, да.

Ну для особых случаев отстегнуть защелки рамки и отключить камеру. По крайней мере, меньше чем синяя изолента, привлекает внимание санитаров...

Есть же черная изолента! Неканон, но зато её почти не видно. Еще у некоторых ноутбуков бывает встроенная шторка камеры, либо камера утапливается в корпусе.

Шторка самоклеящаяся стоит рублей сто, а эффект — на тыщу.

Я давно искал человека который на маке сможет включить камеру, не включив светодиод. Покажете примерчик?

Актуальный ZeroDay стоит много денег. А на старые баги Apple, уже пофикшенные, есть примеры www.iphones.ru/iNotes/339731

Публикация бага в 2015 году, баг железа 2008 года. Ну такое. Шанс встретить в реальной жизни около нуля.

Как вы оцениваете вероятность того что ваш мак так поломают спалив при этом такой 0day баг? Это от 100 тысяч до миллиона долларов.

У меня нет макбука для экспериментов, а то интересно было бы написать код, который включает камеру, делает фото и сразу выключает. Как долго светится диод?

Доступ к камере дается не сразу, а только после того, как диод погорит некоторое время.

У меня ноут старый (не мак) нет никакой индикации включения камеры. Пойду поищу изоленту чтоли...

А если нет, встречались случаи всяких ухищрений, когда камера включается на 0.1 сек раз в секунду, диод светится на 10% яркости, то есть как бы выключен, а данные утекают.

Фантазии или дадите пруф?
Я помню давнюю новостную статью из разряда «эксперты обнаружили уязвимость», где была описана техника кратковременного включения камеры, создания снимка и выключения камеры. Пользователь не мог заметить активность индикатора. Я тогда подумал «о, прикольно, надо запомнить этот трюк».

Это было давно. Это давно уже не работает.

В этой ветке речь не о макбуках…

А чего вы собственно хотите? Современная винда тоже умеет ограничивать доступ к камере и микрофону. Если с Линуксом связались, то предполагается что вы сами все умеете и можете.

Старое железо и старый софт небезопасны по определению. Просто не используйте его, если вам важна безопасность.

Современная винда тоже умеет ограничивать доступ к камере и микрофону
Только для «плиточных» приложений (сейчас они могут быть и оконными, но я про новый runtime, а не классический Win32). А такие приложения не очень популярны.
Просто не используйте его, если вам важна безопасность.
В этой статье и речь, как НЕ использовать Yandex.Browser

MAC мне не подходит, как компьютерному энтузиасту (ну как я запихаю туда новую RTX 4080?). С другой стороны, Windows даёт больше свободы пользователям, а это приводит к тому, что каждая большая игра загружает свой kernel driver, под предлогом античита, что делает бессмысленным строгие политики безопасности ОС.

В-общем, с Win/Lin надо больше думать, но и больше возможностей получишь. А MAC — готовое решение, надёжное, но с ограничениями.

Только для «плиточных» приложений (сейчас они могут быть и оконными, но я про новый runtime, а не классический Win32). А такие приложения не очень популярны.

Да, у них есть проблемы. И путь которым они пошли мне не нравится. Лучше бы вместо продвигания новых особых приложенек старые в песочницу засунули. Это реально сделать.

С другой стороны, Windows даёт больше свободы пользователям, а это приводит к тому, что каждая большая игра загружает свой kernel driver, под предлогом античита, что делает бессмысленным строгие политики безопасности ОС

В мак тоже ставятся расширения ядра. Но процесс установки специально сделан настолько сложным и запутанным, что по этому пути идут только когда вообще никак без него.

Свобода одинаковая для пользователя.

MAC мне не подходит, как компьютерному энтузиасту (ну как я запихаю туда новую RTX 4080?)

Вы в словах игрок на PC сделали пару ошибок. Остальным оно не нужно. Нейросети учить удобнее на видеокартах на виртуалках.

Но тут да. Игры на PC это вин платформа без вариантов.

Свобода одинаковая для пользователя.
Мой кейс: нужно 30 терабайт места под сериалы — просто иду и покупаю пару HDD-шек на 18TB, раз в год подкупаю новый, или более ёмкий, или просто ещё один (корпус большой, 10 дисков легко влезает). На Маках такое возможно?

Конечно. А в чем проблема? Вы же не собираетесь их ставить внутрь корпуса ноута?

Mac Pro за $6000 для меня дорого.
А сколько там кстати на материнке SATA-портов, сколько отсеков 3'5 под HDD? В любом случае, купить хороший корпус Big Tower для меня намного разумнее.

Купите air, они тоже хорошие. Про нужен только тем кто точно понимает зачем он ему, всем остальных air с головой хватит. Он стоит 1000, бу еще дешевле.

А сколько там кстати на материнке SATA-портов, сколько отсеков 3'5 под HDD?

Вы точно понимаете концепцию ноутбука? Все большие диски ставятся с любую домашнюю железку, чуть ли не в роутер, и доступны по сети. Стоит копейки, пользоваться удобно.

Я видел ноуты с 3 посадочными местами, там до 6 ТБ можно утащить

большие диски ставятся с любую домашнюю железку, чуть ли не в роутер
То есть всё равно нужен сервер на винде, ну хотя бы чтобы торрент качался 24/7.
Вы точно понимаете концепцию ноутбука?
Ноут мобильная штука, куда-то таскать его. А дома лучше полноценный десктоп. Там и монитор большой, аудиосистема, клавиатура полноразмерная, и к ТВ подключен, чтобы с дивана смотреть кино.

То есть всё равно нужен сервер на винде, ну хотя бы чтобы торрент качался 24/7.

Видел я сервера на Винде, но это обычно всякие Эксченджи и прочие контроллеры домена с MSSQL. Там без вариантов.

Для торрентов вам винда зачем? Линукс, хедлесс торрент клиент и доступ через браузер с любого другого устройства. Это все поднимается прямо на роутере при желании.

Ноут мобильная штука, куда-то таскать его. А дома лучше полноценный десктоп. Там и монитор большой, аудиосистема, клавиатура полноразмерная, и к ТВ подключен, чтобы с дивана смотреть кино.

Конечно. И все это подключать к ноуту очень удобно. Можно через разнообразные док станции или просто одним проводом.

Кино удобнее прямо на телевизоре запускать. Источником может быть все что угодно. От Нефликса до локальной железки.

Видел я сервера на Винде, но это обычно всякие Эксченджи
Я про «домашний сервер». Как-то думал, нужен ли он мне. И решил, что не нужен. Ещё один системный блок будет стоять жужжать. Рабочую станцию я всё равно никогда не выключаю, так что преимущества выделенного сервера уменьшаются.
Для торрентов вам винда зачем?
Иногда хочется покачать с DC++ Как с этим на линуксе, не хочется разбираться.
все это подключать к ноуту очень удобно
И смысл тогда в ноуте, если он всегда подключен к стационарному месту, а без «обвеса» работа перестаёт быть комфортной? Мобильное железо дороже и слабее (из-за очевидных ограничений с охлаждением).
Кино удобнее прямо на телевизоре запускать. Источником может быть все что угодно
Я смотрю через MPC-HC с субтитрами. Я не хочу тыкать на каждой серии в нужные субтитры, а хочу, чтобы применялись правила (там можно гибко настроить пары язык озвучки → язык субтитров и приоритеты). Кроме того, пару раз встречались кривые ASS-файлы, где цвет текста выбран неудачно и сливался с фоном видео, там в десяток кликов можно переопределить стили, выбрав новые цвета и обводки.

И кстати, «кино напрямую на телевизоре» я наелся, когда родственникам кина записывал на флешку. Телевизор не понимает много кодеков, особенно новые HDR 10 bit. Тратить время на перекодировку? Также были проблемы с DTS на телевизорах LG — они не продлили лицензию на этот кодек, нужен именно AC3 звук. То есть перед скачиванием релиза нужно проверять кодеки.
От Нефликса до
Не люблю подписочные сервисы, но с этого года уже и возможности нет ими пользоваться.

Ещё один системный блок будет стоять жужжать. Рабочую станцию я всё равно никогда не выключаю, так что преимущества выделенного сервера уменьшаются.

Рабочая станция стоит на столе (или под столом), а сервер может быть на шкафу, в шкафу, в кладовке, на балконе, или даже в подвале (но последнее не рекомендуется).

Т.е. тут как с электромобилями и ТЭЦ - загрязнение -в данном случае шумовое - никуда не девается, однако выносится подальше от клиента.

Ещё раз
Рабочую станцию я всё равно никогда не выключаю
Потому что лень каждое утро запускаться, открывать все программы и т.д.

Корпус big tower с хорошей шумоизоляцией — и уже не особо и слышно.

Корпус big tower с хорошей шумоизоляцией — и уже не особо и слышно.

Это было неочевидно :)

Просто у меня рабочая станция напоминает самолёт, а в моменты нагрузки - взлетающий самолёт.

Видеокарта у меня самый шумный элемент, под нагрузкой самолёт. Но играх не так важно, потому не сидишь в тишине. А при простое не слышно.

А жесткие диски не раздражают? Жужжат, хрустят, и вибрации создают как от трамвая :)

На корзинах HDD болты проходят через резиновые прокладки, т.е. металлические части корзин не касаются дисков.
Во всех ноутах, которые я видел, микрофон отдельно и его работа никак не показывается

Тут операционки спасают. Все приличные операционки спрашивают первый раз для каждого приложения, а потом выводят уведомление когда микрофон кто-то использует.

«Все приличные операционки» = macOS?

У винды с этим похуже. Хотите максимальной приватности и защиты выбирайте маки или линуксы. Это вроде не новость.

Так других приличных и нет.

Windows уже много лет выводит значки в трей, когда приложения используют микрофон или местоположение. Вот вы знали, что Skype запрашивает местоположение? А я знаю.

Только если приложение использует новые API.
Простой эксперимент: заходим через firefox в голосовой канал дискорд, и внезапно, в трее нет значка микрофона, хотя я там разговариваю.
UPD. Нашёл значёк в этом сценарии, надо было развернуть скрытые.

Разрешения настраиваются только для «новых» приложений. А legacy можно либо все отключить, либо всем разрешить.
Скрытый текст

Если несложно, объясните популярно, что может слить Яндекс-браузер в отличие от "иноагентных" Хрома или Оперы. И почему потребовалась аж целая политика по запрету этого браузера? P.S.: ни разу не за Яндекс, если что.

Формально, возможности у них примерно одинаковые (по отношению к тому, до чего они могут дотянуться), однако отличаются количеством кода, который эту информацию с машины пользователя куда-либо имеет возможность передать. Смотрите, каждое расширение для браузера - это дыра в безопасности ("ну хоть что-то у нас в безопасности"). Во многих компаниях расширения проходят аудит, перед тем, как их разрешают использовать. Здесь же имеем безальтернативный набор предустановленных расширений, каждое из которых может сливать, а часть и сливает, информацию. Это первое.

Второе. Поскольку большинство расширений сделаны в России, то у коллег из ИБ и у меня лично есть большие сомнения, что передаваемые данные потом где-то не всплывут (машу рукой Яндексу с нереальным количеством утечек ПД и курьеров, и Еды, и водителей такси и всех остальных сервисов), компания не понесёт самое суровое наказание в 50 тысяч рублей (за всю утечку). При таких обстоятельствах данные можно сливать хоть на открытый MongoDB сервер.

Наконец, есть некоторый процент людей, который считает, что лучше их информацию будет уходить господину майору из АНБ, чем товарищу майору из ФСБ. Но вот это уже дискуссионно. Это третье.

В случае использования госсайтов, лучше пусть уходит в ФСБ. Всё равно таким образом они ничего нового не узнают.

расширения отключаются, внезапно

За исключением встроенных в браузер

каких?

список будьте добры

Я тут тоже постою. Что там за расширения такие, да ещё и не отключающиеся?

У нас на работе отключены расширения в Яндекс браузере.

ЯБ как минимум сливает ссылки, по которым ходят пользователи, а потом эти ссылки доступны всем из поиска. Для гуглодокументов они это дело прикрыли после скандала, для остального не знаю, но в логах моего сервака регулярно появляется яндекс, парсящий страницы, на которые ссылок нигде нет и до которых робот самостоятельно добраться не может.

Хромой так-же делает. У меня внутренний воркбенч всплыл в поиске гугла (на поддомене!) впереди основного сайта, хотя на него нет в природе ни одной ссылки на сайтах, а все ссылки были отправлены через почту. Аналитики тоже нет, да и вообще весь сайта сидит сам на себе без cdn или т.п. По итогу пользователи по запросу попадали по окно с авторизацией, без кнопки регистрация, описания или т.п. и писали в саппорт о багах. Я только через месяц понял в чем прикол, глянув историю заходов - парсеры гуляли как к себе домой. Причем там посещаемость была смешная - около 100-150 человек в день.

Там еще почтовые сервера ходят по ссылкам.

Телега тоже превьюшками балуется, если через неё ссылку переслать.

У меня внутренний воркбенч всплыл в поиске гугла (на поддомене!)

Если вы делали отдельный сертификат для этого домена, то дело может быть в этом: информация о сертификатах, выпущенных большинством центров сертификации, публична.
Можете проверить на crt.sh

ЯБ как минимум сливает ссылки, по которым ходят пользователи

И пароли, наверное. Грех же не хранить пароли, если всё равно их вводишь в окне браузера.

У меня более интересный вопрос как у безопасника. А чем любой абстрактный LiveCD с постоянным хранилищем не угодил? Опять же можно поставить отдельный FF и ему в хранилище положить сертификат и использовать его только для похода в СБОЛ.

Сейчас с точки зрения ИБ мы получаем докер демон + докер контейнер + VPN непонятно куда (хотя в корп блоге хостера это понятное решение :) ). Всё это выпадает из области контроля ИБ, в том числе в части контроля трафика...

Честно говоря, вариант с LiveUSB мне в голову не пришёл. Ваш вариант мне нравится больше, но коннект в Россию всё равно придётся поднять, если СБОЛ режет входящие соединения или если провайдер режет исходящие хоть чем-то более серьёзным, чем подменойDNS ответов.

Docker daemon на ПК разработчика воспринимается в компании нормально. В моём случае - BYOD, что делает ситуацию ещё проще.

НЛО прилетело и опубликовало эту надпись здесь

Поэтому я привёл полную ссылку как альтернативный вариант, для тех, кто [правильно] не использует сокращаторы ссылок

НЛО прилетело и опубликовало эту надпись здесь
Это мало чем отличается от
git clone ... && make && ./run-file
нет возможности проверить абсолютно всё, скачанное с сети, придётся чему-то доверять.

Можно проверить определенную версию, и качать её. Плюс сделать проверку хэша.

Но руками это немного геморройно, а писать плейбук было лень. Хотя можно и написать.

НЛО прилетело и опубликовало эту надпись здесь
Этот скрипт на 568 строк, который подгружает ещё что-то из сети и выполняет (easy-rsa), делает всякие apt-get install, systemctl, chown,…

Я не готов тратить полдня-день на детальный разбор всей этой мешанины. И почему если скрипт, надо проверять, а если бинарник — не надо?
НЛО прилетело и опубликовало эту надпись здесь

Если человек не готов пользоваться чужим скриптом, ему придётся писать свой.

НЛО прилетело и опубликовало эту надпись здесь

Ну вот выше человек оценил ревью на полдня-день.

Моя логика включает в себя и (опциональное) ревью.

Вы либо пользуетесь (по результатам ревью - если там всё хорошо или без - если вам всё равно), или не пользуетесь (по результатам ревью - если там всё плохо или без - если просто не готовы использовать чужой код), но во втором случае, если эти действия нужно проделывать часто, вы их начнете автоматизировать - т.е. дело закончится написанием или скрипта, или плейбука или какой-нибудь другой автоматизации.

Отличается. На HN обсуждали ещё 9 лет назад. Там и статья интересна и комменты к ней.

  1. Вам могут подменить скрипт в зависимости от user-agent.

  2. Соединение может оборваться и выполнится только часть скрипта. Возможно, только часть команды. Возможно, этой командой будет rm -rf.

Если wget ... && ./install.sh то код не запустится при сбое загрузки.
Если вводить построчно, увидишь ошибку на первой строке и вторую не введёшь

Согласен... А где УЦ? Где сертификаты? Где токены ?! Безобразие то какое. А подобные скрипты для домохозяк.

Сертификат уже встроен в браузер же.

А на новых маках вообще можно подключить liveCD?

Подключаете USB и в Settings -> General -> Startup Disk выбираете вашу флешку. Но такое прокатит нормально скорее всего только с виндой, так как нужны драйвера для AirPort (WI-FI) и тд., а для винды они официальные есть от bootcamp

Вот, тоже собирался предложить FF как решение с собственным трастовым хранилищем. Всяко удобнее, чем перегружаться в LiveCD

Можно развернуть яндекс браузер сразу на виртуалке у хостера. Потребуется тариф дороже чем для vpn, зато еще большая изоляция, и возможность доступа с разных компьютеров и с телефона.

Да, тоже хороший вариант, и я его рассматривал изначально, но интернет здесь местами плохой, и пропускной способности не хватило, чтобы обеспечить сносный опыт использования, когда проводил эксперимент.

Второй момент, почему не стал так делать: основные виртуалки у меня живут зарубежом, а российские я поднимаю сходить на госуслуги, в СБОЛ, и если хочу скачать что-нибудь через торрент. После этого - виртуалка дестроится до следующего раза.

И возможность того, что яндекс-браузер немножко изменится и начнёт подворовывать. И не проверишь. Никаких внятных технологий trusted computing у типичного хостера нет.

А почему вместо приседаний вокруг VNC просто вот не взять и не запустить с браузер с DISPLAY=127.0.0.1:0.0 - или, если в уроненный на голову параноик который боится что браузер будет сливать ваш десктоп через скриншаринг, сделать то же самое через Xnest/Xephyr (запустить Xnest/Xephyr и также на них цепляться через DISPLAY=127.0.0.1:1.0 например)?

Хороший вариант, просто по какой-то причине я до него не догадался, мозг выбрал "ленивую" стратегию идти по инструкции от QGB.

За что люблю писать статьи - что в комментариях могут предложить то, что прошло мимо сознания во время самостоятельного изучения вопроса.

А firejail? Полегче, всё-таки, чем виртуалка. У меня именно так.

Никогда не пользовался этим инструментом изоляции. Спасибо, гляну.

У него кстати есть профиль для yandex-browser в стандартной поставке: /etc/firejail/yandex-browser.profile

Да, но для надёжности ему лучше бы private каталог выделить, чтобы вообще ничего постороннего не видел.

Можно проще. В firefox заходим на сайт sberbank.ru, получаем ошибку, добавляем сертификат в исключения. Повторяем для всех интересующих доменов. Всё — никаких сложностей, разве что крохотная иконка в адресной строке, показывающая, что работаем через исключение. Раз в год, когда заканчивается сертификат на домен, повторяем.

От MITM тоже защищены, т.к. если сертификат изменится, нужно будет его заново подтвердить, перед этим можно посмотреть цепочку подписей.

В моем случае страница открылась, т.е. браузер не выкинул ошибку, а работать оно не захотело.

Поэтому пришлось думать.

Что именно не работает? Смотрите в дебагере, на какие домены ещё были обращения. Корни эти доменов тоже открыть в браузере и добавить в исключения.

господяяя и сюды докер приплели. чем firejail не устроил? зачем этот оверинженеринг?

Docker! DevOps! Стильно-модно-молодежно! :)

Я бы и Кубер поднял, но был несколько ограничен в ресурсах /s

А почему использование namespaces с помощью docker — оверинжиниринг, а использование namespaces с помощью firejail — нет?

Так с firejail все делается одной командой (там уже есть конфиг для яндекс браузера), а здесь потребовалась целая статья чтобы описать как все настроить. Это же и есть по определению оверинжиниринг?

sudo docker run --name yandex --net=host -d aresox/yandex:1.0

в общем-то, тоже одна строка

Firefox поддерживает профили (правда, через командную строку — firefox -P <name>), при этом хранилище сертификатов у него находится именно в профиле, поэтому наиболее легковесный вариант — создать отдельный профиль и добавить туда сертификаты. При необходимости в этом же профиле можно установить требуемые настройки прокси, ну и перекрасить интерфейс в явно отличающийся от нормального цвет.

через командную строку

about:profiles

Ой, да просто. Создаем ярлык с путем: C:\Program Files\Mozilla Firefox\firefox.exe -p temp. Такое у меня в Total'е прописано на кнопке. temp - это название профиля. Создает его - один раз вызвать firefox -p

Поставил отдельный портабельный Firefox и воткнул туда этот сертификат.

Устанавливать рутовый сертификат не хотелось

Не понятно, почему этот вариант отвергнут.

Поскольку ваш комментарий минусуют, то постараюсь объяснить за что:

рутовый сертификат даёт возможность "прослушивать" весь трафик машины. В браузере, не в браузере, на российских и не на российских веб-страницах.

HTTPS Pinning иногда спасает, но не везде и не всегда.

Потому что есть вероятность получить сертификат "verified by Минцифры", зайдя на майкрософт ком.

Погодите пожалуйста, поясните подробнее. Может это глупые вопросы, но я бы хотел понять.

  • Разве этот рутовый сертификат не значит просто что-то в духе "я доверяю сертификатам, которые выпустила эта Certificate Authority (МинЦифры)"?

  • Разве трафик не шифруется в обе стороны и вторая сторона может его расшифровать только потому, что сертификаты выпущены одной CA (аналог приватного и публичного ключа)?

  • Разве в начале каждой сессии не устанавливается какой-то handshake, что делает ее уникальной приватной от самой CA?

  • Не совсем силен в криптографии, но допускаю, что если на сайте стоит сертификат МинЦифры и у меня есть сертификат МинЦифры, то наверное расшифровать мой трафик как минимум проще (прошу специалистов пояснить). Но если на сайте НЕ сертификат МинЦифры, а вот как на Хабре например?

  • И главный вопрос, если много кто использует тот же let's encrypt в качестве CA, то что мешает уже ей читать наш трафик?

Речь идёт о проксировании. Провайдер поднимает «копию» сайта habr.com, подписывает его сертификатом минцифры, и перенаправляет маршруты на него. Ваш браузер не замечает подмены, потому что сайт подписан действительным сертификатом. А подменный сайт только и делает, что проксирует все запросы на настоящий habr, попутно логируя весь расшифрованный трафик.

И да, имея подписывающий сертификат let's encrypt, можно провернуть то же самое. Но мы ему доверяем, не то что МинЦифре…
Чем больше людей его примут, тем проще правительству будет фильтровать YouTube в дальнейшем. Сейчас могут либо полностью выключить Google (на что они не решаются, т.к. придётся вообще всё инфраструктуру отрубить, словав у населения все смартфоны на Android), либо смотреть, как на YouTube появляются всякие неприятные им ролики.

Я бы не хотел, чтобы весь YouTube был перепахан плашками «Закрыто РосКомНадзором» на основании решения какого-нибудь Саратовского суда, который найдёт сатанизм или насилие над детьми в юмористических роликах типа этого. Только не говорите, что этого никогда не случится. Такое уже случалось (за что Лурк закрывали?)

Так фильтровать будут только у тех, кто установит сертификат, не? Или остальным просто отрубят?

Если сертификат установит 86%, на остальных будет пофиг, скажут: ставьте сертификат и смотрите фильтрованный YouTube, или вообще ничего не будет работать у вас.

Если есть желание, чтобы 86% не установили сертификат, то решение должно быть простым, надёжным и понятным для большинства, без всяких докеров, контейнеров, песочниц, виртуальных машин и т.д. и т.п.

Хотя, подозреваю, что именно с ютубом может быть иначе - скажут, ходите только через наш сертификат или не ходите никак. Но VPN же должен помочь в таком случае...

С одной стороны, популярные VPN-ы заносят в чёрный список и они перестают работать. С другой стороны, за зарубежный VPN всё сложнее заплатить: сбербанковские карты много кому не нравятся.

Попросим зарубежных друзей запилить бот в телеге с роликами из ютуба. Только полное перерезание внешних кабелей может помочь изолировать страну.

Бот будет выкачивать mp4 и закачивать в телеграм? Там ограничение на размер файла в 2GB. Если это будет массовым, Дуров быстро подкрутит лимиты и сделает загрузку больших файлов платной. Например, в Дискорде бесплатно только до 8MB.
Вы просто не сможете подключиться к оригинальному серверу, у вас будет выбор: принять подключение к серверу с левым сертификатом и всеми прелестями MITM или не подключаться вовсе.

По идее, VPN должен помочь в таком случае.

НЛО прилетело и опубликовало эту надпись здесь

тут не совсем по теме, но к вышеизложенному добавить - можно состряпать программку, которая по запросу пользователя отключает или включает сии девайсы( камеру, микрофон), следующее - на звуковой тракт можно поставить виртуальный микшер и завести в микрофон что нибудь типа цифрового шума 8-16 бит ли ничего не значущую мелодию, тоже 8 бит, отделный старый ноут со яндексом и сбером изолированный.

Это не даёт никаких гарантий. Можно состряпать программу, которая будет напрямую снимать данные с устройств, своими драйверами, в то время как в диспетчере устройств камера будет выключена, а дефолтным микшером будет синтезатор шума. Правильное решение — вообще не запускать потенциально опасный код.

Почему-то эту сборку некоторые антивирусы сносят, а отключать антивирус людям, которые про Adobe Reader пишут "у меня не adob, а acrobat - там нет этого меню" не хочется...

Это вот неожиданно было, про антивирусы. Проверим:

Chromium с поддержкой ГОСТ 108.0.5359.124 на Virustotal:
- архив с portable – 0 срабатываний
- инсталлер x64 – 0 срабатывний

Если есть какая-то конкретика с полей – опубликуйте, пожалуйста, всем будет полезно.

Возможно, дело в "недостоверных центрах сертификации", а яндекс для хэша своих сборок согласовал зелёный свет с крупными игроками?

Ну и опять же, зачем отключение антивируса, когда есть белые списки?

Прошу прощения - видимо, говорил об одной из предыдущих сборке, эта совсем свежая, работает, что радует!

Я что-то потерял нить: у нас речь идёт о срабатывании антивирусов (лично я первый раз об этом слышу касательно этой сборки) или добавлении в сборку отечественных сертификатов (до какого-то момента их действительно там не было и появились они не сразу; в этом направлении меня заставляет думать ваша формулировка "работает").

немного паранойи

А то в связи с сертификатной чехардой пишут в основном о яндекс-браузере, безальтернативно. А начинаешь предлагать альтернативы – появляются местами странные комментарии. Яндексу, конечно, пригодился бы такой приток пользовательской базы. Но и фактически безнаказанные утечки, и прошлые факапы заставляют активно думать об альтернативах.

Я говорил о срабатывании антивируса.

А это только ГОСТ-шифрование или и сертификаты?

В версии точно со 104 (мб и раньше) сертификаты есть, да.

Уже развернул его на предприятии групповыми политиками. Плюс еще адмх шаблоны от хрома подходят. Есть исходники, обновляется регулярно. Огонь решение!

Добавлю, на нем без проблем идет всякий ЭЦПшный софт, без проблем работают гос порталы типа ДМДК, Росаккредитации, торговые площадки и т.п

Докер, очевидно, не нужен. Достаточно легковесного lxc разделяющего общую файловую систему с контейнером (а то и вовсе apparmor может быть достаточен).

Самое опасное в готовых "сборках", что там неизвестно что скачано неизвестно откуда. Что может быть пострашней яндекс-браузера самого по себе.

У меня есть идея получше - сменить банк, раз для работы с этим нужны такие напряги.

Тогда уж и страну заодно, ведь некоторые вещи можно только через госуслуги сделать.

Причем - насовсем и полностью.

Но я из оптимистов - верю, что завтра станет лучше.

Однажды ученик спросил у Мастера:

  • Долго ли ждать перемен к лучшему?

  • Если ждать, то долго! - Ответил Мастер.

drop table mortgage;
drop table mortgage;

Другие банки с радостью рефинансируют если не удастся дропнуть :)

Пользоваться приложением на телефоне не вариант? Или телефоны на Андроид тоже запрещены политиками безопасности?

СБОЛ для Андроида это троян.

Не готов его ставить.

У меня на iOS стоит и пока что работает. А для мобильных приложений разве потребуется сертификат? Они разве не могут внутри себя нужный сертификат содержать? Достаточно обновлять приложение периодически, но оно и так само собой происходит.

На iOS он запускается без шаринга контактов, геопозиции и т.п. Такой - не дали? Ну ладно :(

На Андроиде он требует абсолютно все доступы, и если ему хоть что-то не дать, то он посылает пользователя нафиг. Не дали? Иди нафиг!

Я пробовал ставить СБОЛ один раз, пару лет назад, поведение было именно таким, как я описал - без выдачи указанных разрешений он не запускался. Возможно, что с тех пор политика поменялась.

В свою очередь, поставил на iOS и забил.

Ставится из galaxy store работает без разрешений даже. При установке из play хотел разрешения. А вообще можно изолировать в shelter (при условии aosp) либо как в Самсунге knox

Скачал, установил свежую версию.

Запускается без предоставления разрешений.

Хорошо, СБОЛ под Андроид был трояном. Сегодня им не является.

Сегодня это просто приложение, которое весит 500 МБ.

Не так давно проверял - был «трояном». Рад что они отказались от этой мерзкой практики обеспечения «безопасности».

Песочница.
Work profile на телефоне не сломан тотально? Ставим Shelter https://github.com/PeterCxy/Shelter (есть в Play Store и F-Droid)
Ставим туда и выдаем что просит. Никто ж не просит чтобы там реальные были данные (и чтобы вообще — были).

У меня так стоит. Да и ещё автоматом морозится при блокировке телефона. Сейчас разморозил, посмотрел разрешения - у него всё запрещено

А нельзя на телефоне распихать каждое приложение в свою песочницу — рабочий профиль?

Ещё ему не нравится установленный Anydesk\Teamviewer.

И емнип, приложение сбербанка отказывается работать на рутованых телефонах.

Отказывалось. Сейчас работает.

вопросов больше не имею

Я просто завел себе отдельный телефон для банковского зверинца, там вообще больше ничего нет, ни сим, ни контактов, vpn always on.

А почему бы не использовать отдельную инсталляцию firefox (можно даже портативную версию собрать) и не установить сертификат в его огнехвостово хранилище?

Да, это вполне рабочий вариант.

Есть ещё браузер Атом.

Он тоже умеет ходить на сайты с сертификатами НУЦа.

Лежит здесь: https://browser.ru

Яндекс по крайней мере описали как у них это работает и почему не будет проблем и патч выложили + есть основания все же их ставить не только ради НУЦа (перевод например)


Если мы не верим Яндексу, то верить ВКонтакту оснований еще меньше (а если верим — то зачем нам Атом? Чем он лучше?)

Чем лучше? Атом красивше! И удобнее. У меня стоит на машинке, я им пользуюсь.

И точно не хуже.

И если посмотреть рядом на хабре (https://habr.com/ru/news/t/702180/), то можно обнаружить, что там как раз и упоминаются оба браузера: Яндекс.Браузер и Атом.

А вот здесь (https://www.interfax.ru/russia/827230) так и вообще есть рекомендация Минцифры использовать Атом и Я.Браузер.

Задача с Атомом была бы той же самой.

Решить проблему можно без установки корневых сертификатов и yandex-browser-stable:

mkdir -p "$HOME/Загрузки/rusert"
cd "$HOME/Загрузки/rusert"
wget https://gu-st.ru/content/lending/russian_trusted_root_ca_pem.crt
wget https://gu-st.ru/content/lending/russian_trusted_sub_ca_pem.crt
Во всех chromium based - chrome://settings/certificates - Безопасность - Настроить сертификаты - Центры Сертификации - Импорт
Во всех лисоподобных - about:preferences#privacy - Просмотр сертификатов - Сертификаты - Импортировать
Проверено на Opera, Pale Moon, Firefox, Chromium, Waterfox

Если есть желание использовать и изолировать yandex-browser:

Firejail запускает приложения в режиме sandbox-изоляции(механизм namespaces и фильтрация системных вызовов seccomp-bpf)
В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа
 - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения.
Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям
разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs),
ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
Firejail:
https://github.com/netblue30/firejail
https://sourceforge.net/projects/firejail/files/firejail/
https://launchpad.net/~deki/+archive/ubuntu/firejail
GUI на Qt:
https://github.com/netblue30/firetools
https://sourceforge.net/projects/firejail/files/firetools/

Решение проблемы свободного места:

- установить localepurge и bleachbit(1-2 Gb освободятся)
- удаление старых ядер для ubuntu(для debian не использовать)
sudo apt-get purge $(dpkg -l 'linux-*' | sed '/^ii/!d;/'"$(uname -r | sed "s/\(.*\)-\([^0-9]\+\)/\1/")"'/d;s/^[^ ]* [^ ]* \([^ ]*\).*/\1/;/[0-9]/!d' | head -n -1)
- очистка конфигов от удалённых пакетов
sudo dpkg --list | grep "^rc" | cut -d " " -f 3 | xargs sudo dpkg --purge

chrome://settings/certificates не работает, просто настройки открываются

Оно только под linux работает. У Chrome там собственное хранилище сертификатов. По Win используется системное.

Лучше поздно чем никогда

Я пошел другим путем. У Firefox есть свое хранилище сертификатов. Создаём отдельный профиль(в качестве точки указал папку в созданном контейнере veracrypt(хватит и 1гб), на вопрос зачем, отвечу так захотелось да и безопасности мало не бывает из такого профиля пароли не украдешь пока контейнер размонтирован) Ставим серт минцифры туда. Забываем о Яндекс браузерах и прочей фигне в системе. И майор под контролем.

Сделал примерно также, только вместо отдельной копии мозилы, librewolf. Туда накатил сертификаты и СБОЛ заработал. Собственно хожу на сайт сбера только оттуда.
А еще вспомнил, что валяются старые (резервные если вдруг телефон крякнет) винфоны с виндой 8.1 и 10, на случай когда СБОЛ на профилактике, а деньги отправить надо. На обе модели из магазина (бинго бинго его оттуда забыл выпилить МС) прекрасно поставился и работает независимо от частообновляемого СБОЛа.
Единственно давно не обновлялось приложение и крайний релиз от 2013 года и СБП там на отправку не завезли.

Хорошо что у них ГОСТ серты только прижились в подписи. На сайты они сделали rsa4096, а представьте размер геморроя пересобирать мозилу из исходников с поддержкой ГОСТ .. а от товарища майора будет готовое решение...

Любой браузер нужно изолировать от системы...

Нужно особенно хром. Но это заморочки с песочницами. А тот же qubes os не каждая железяка потянет.

Вот скажи, ТС, а зачем ты хранишь деньги в этом самом Сбере, раз такие напряги? Зачем всё это, если Сбер про тебя уже всё давно слил товарищу майору и далее?

Вопрос звучит провокационно, но всё же отвечу:

денег у меня нет (ни в Сбере, ни вообще), а там я плачу по своим обязательствам - а именно по ипотеке и т.п.

Все подсанкционные банки пойдут по этому же пути по мере протухания их глобальных сертификатов. Госуслуги те же - уже.

У меня Госуслуги показывает сертификат, истекающий 07.01.2023. СБОЛ - 25.01.2023. Сбербизнес - 09.06.2023. Росреестр - сертификат от Минцифры, сайт Сбера вообще выбрасывает на незащищённый.

Есть еще такая штука https://github.com/DimaZirix/podbox

podbox create chromium --gui --net --ipc --audio fedora:37
podbox exec chromium --root dnf install chromium libXt dbus-glib gtk3 pulseaudio-libs libcanberra-gtk2 PackageKit-gtk3-module -y
podbox desktop create chromium chromium-browser 'Chromium' --icon chromium --categories 'Network;WebBrowser;'

Требуется установка podman. После выполнения будет создан ярлык с хромиумом, который будет запускаться в контейнере. Аналогично можно запихнуть туда ЯБ

Я как открыл для себя neko(и в особенности neko-rooms) - перестал велосипедить свои контейнеры с браузерами. Популярные браузеры там есть(именно Яндекс-браузера правда нет, но при желании можно навелосипедить и его)

А почему не отказаться от сбола?

ипотека у него в сбере

Кстати, а где бы эти российские сертификаты скачать, чтобы добавить в отдельный профиль фаерфокса, если вдруг понадобятся?

Спасибо!

Мощно сделать проще: портабельный Firefox + добавляем в него корневым сертификатом сертификат полученный с госуслуг (Минцифры). Куда уж проще. И легче, и вложенной виртуализации нет, ещё и портабельность в придачу.

Как известно, Сбербанк потерял возможность продлевать свои сертификаты из-за санкций еще весной.

Разве? Регулярно выпускают новые сертификаты для различных сервисов, что для sberbank.ru, что для sber.ru

https://crt.sh/?q=sberbank.ru

https://crt.sh/?q=sber.ru

Продлевать vs выпускать? На уровне техники может быть одно и то же, но с точки зрения бизнес-процессов и рисков - уже нет.

Судя по crt.sh, сберовцы уже не могут зайти в админку/апишку DigiCert и продлить (перевыпустить?) там сертификаты. Let's Encrypt тоже с марта не вариант для sberbank.ru по-видимому. GlobalSign ещё есть, но кто его знает. Поэтому и обкатывают новые схемы доверия.

если суть проблемы только в исползьовании российской криптографии, то еще есть спутник, разработку которого как я тут внезапно выяснил прикрыли, и есть хромиум гост, его я юзаю для всех клиентов, которые используют торги, ключи и прочее, работает хорошо, сборки есть на разные дистры на страницу проекта на гитхабе, мусора минимум, с подписью доков проблем нет в отличие от яндекс браузера

@Areso специально зарегистрировался чтобы написать

если вы такой программист, что проделали такой "финт ушами", не проще тогда (раз знания есть) взять у яндекса патч для хромых https://github.com/yandex/domestic-roots-patch и вкорячить в какой нибудь ungoogled чистый, собрать и пользоваться с кайфом?

Компилировать браузер сильно дольше, чем собирать докер контейнер.

Компилируется!
Компилируется!

Но таки да, ваш вариант тоже рабочий.

это получается как в поговорке "долго запрягаем, быстро едем" или как там правильно?

просто мне после прочтения показалось, что так будет проще, нету места, попросить кого то чтобы собрал, тем более что в браузере по вашему всё равно же товарищ майор, поэтому можно же собрать отдельно браузер с сертами, а такие костыли создавать ну только ради практики какой то, чисто удостовериться, что так тоже можно. Ну еще скорее всего, это я так думаю, а у людей, которые часто пользуются докерами и больше в теме, конечно своё видение что проще ?

НЛО прилетело и опубликовало эту надпись здесь

Как много советов применять Firejail и при этом все забывают упомянуть, то этим летом там была обраружена уязвимость и готовый эксплоит позволяющие получать root права в системе где Firejail запущен. Запускать потенциально опасную программу даже в изолированной среде на рабочем компьютере это плохая практика. А хорошие практики это headless browser, сам браузер является потенциально опасной программой поэтому с ним нужно работать удаленно в контейнере. Есть прод browserless они предлагают готовые образы браузеров в контейнере, есть платные и бесплатные решения, они предлагают предприятиям браузер в облаке, можно скачать готовый образ контейнера с github и запустить в VPS. В итоге получаешь ярлык браузера на рабочем столе, браузер запускается чуть медленнее, все работает в облаке или VPS после закрытия браузера, как обычно для контейнера все сбрасывается.

К сожалению, если VPN доступен изнутри докера контейнера нативно и без лишних телодвижений

Это как? Недавно смотрел, не нашёл простых способов привязать докер-контейнер к определённому интерфейсу.

Могу прислать в личку мой конфиг, при котором у меня всё завелось.

Все это время меня интересует вопрос: почему Сбербанк и Госуслуги не могут использовать Let’s Encrypt? Средний пользователь iOS, даже имея большое желание, замучается с установкой сертификатов (и, вероятно, не справится).

Наверняка есть какие-то внутренние политики против бесплатных сертификатов (как минимум упускается возможность распилить деньги на платных), но можно же, наверное, сделать гейтвей на отдельных хостах — все-таки это лучше, чем оставить пользователей совсем без доступа.

Let's Encrypt внезапно поддерживает санкции
https://community.letsencrypt.org/t/certificates-for-us-sanctioned-countries/1223 против Ирана
И прямо сказано (https://community.letsencrypt.org/t/russia-certs-and-sectoral-sanctions/189631 ) что тем конторам из России кто в SDN List не дают. Сберабанк внезапно там есть


Как проверяют — вопрос конечно отдельный...

Спасибо за ссылки!

Моя мысль как раз в том, чтобы создать отдельную компанию (как всякие яндексы и касперские «передали» свои аккаунты в App Store иностранным (швейцарским, кажется) «дочкам»), на нее зарегистрировать домены, которых нет в стоп-листах, и дальше анонимно выпустить для них сертификаты LE.

Гениально! Забить костыль микроскопом.
Проще в firefox portable сертификат поставить, и использовать флешку, NAS шару и т.п.

NAS шары под рукой слегка нет, а до флешки я самостоятельно не догадался :)

VPN Server

К сожалению, у провайдера в списке доступных "приложений" нет openvpn сервера, поэтому надо ставить руками. Ну как руками — другие админы уже давно написали скрипт автоматизации, так что воспользуемся им:

через сокращатор ссылок:

wget https://git.io/vpn -O openvpn-install.sh

или полный путь:

wget https://raw.githubusercontent.com/Nyr/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh

А вам не кажется что это полный зашквар использовать скрипты с github для таких целей? Так то надо было пойти единственно верным путем это развернуть свой УЦ про XCA уже писали здесь, дальше разграничение прав и директорий. Для каждого приложения создаю пользователя, в корне есть /services туда вынесены конфиги и исполняемые, для opeenvpn там своя папка права на папки 500, на файлы 400, на исполняемые 500. Суммируем что имеем, под каждый сервис на сервере отдельного пользователя и отдельную директорию в /services, раскиданные права и ограниченные пользователи без домашнего каталога и оболочки, ssh настроен только доступ по сертификатам. Пользователи с оболочкой внесены в ЧС в конфиге ssh, есть отдельный пользователь sudo. А ещё я пользуюсь root с доступом через rutoken и только через vpn. Для этих целей есть сервер с openvpn без доступа к интернету, а клиенты включая сервера имеют доступ к закрытой подсети, где можно разместить и инструкции и сайты и что угодно. Openvpn выбран как простое и быстрое решение для удаленного доступа.

По поводу root конечно могут закидать помидорами. Но это уже привычка работать под root. Да и пароли от пользователей не всегда есть под рукой в быстром доступе. Т.к. генерирую и храню в keepass. А база от него в контейнере veracrypt ......

Какие-то костыли, лучше наскребсти грошей на новый ssd, поднять виртуалку. В перспективе ssd пригодится

Виртуалка не заслужила бы статьи на Хабр и дискуссии в 200 комментариев.

Но да, уже купил новый накопитель, осталось только установить.

Тут описано много телодвижений, но мотивации делать именно так не хватает, поэтому недоумение. Во-первых, почему нужно ходить в СБОЛ с рабочего компа, есть же личный телефон? Во-вторых, можно дискутировать по поводу ЯБ, но почему российский сертификат устанавливать "не хотелось"?

  1. Не люблю пользоваться телефоном (банально ничего не вижу и интерфейс мне кажется неудобным, а экранная клавиатура выбешивает непосредственно фактом своего существования). Опять же - с телефоном возникнет пункт 2.

  2. Потому что я не хочу однажды зайти на сайт, который будет подменён или аугментирован ("дополнен") чем-нибудь российским и при этом подписан валидным УЦ и рутом. Примеры тут уже приводили - с наличием российского УЦ и рута можно творчески работать над Википедией, Ютубом, Твиттером, любыми источниками информации. В случае отсутствии настроенного SSL Pinning'a или первого входа на эти системы, вы и не узнаете, что кто-то творчески доработал напильником. Можно даже российские JS счётчики посещаемости навешивать на любые сайты, ну просто потому что хочется, можется, и даже закон есть!

Так а по второму пункту есть конкретика? Чем счетчики условно российские хуже нероссийских? Да и вообще какая проблема вставить счетчики вообще без всякого TLS, если сайт позволяет внедрять в себя произвольные скрипты?

  1. Низкой культурой российских операторов обработки данных.

  2. Ну вот, российский SSL === отсутствие TLS для российских госорганов и госсчётчиков.

Так а по второму пункту есть конкретика? Чем счетчики условно российские хуже нероссийских?
Ну, им дай волю, они будут собирать полное досье на каждого: все поисковые запросы, все просмотренные ролики, все прочитанные статьи и написанные комментарии. А потом это утечёт и любой, например, начальник, или сын маминой подруги, сможет незадорого это всё купить.
если сайт позволяет внедрять в себя произвольные скрипты
Это вообще как? Есть примеры таких сайтов?

Это вообще как? Есть примеры таких сайтов?

Любой http сайт, открытый с мобильного интернета типа Мегафона...

Вот, с российским SSL любой сайт сможет оказаться в такой позиции.

Любой http сайт
Которых уже исчезающе мало.

Просто подумал, может я что-то не так понял или чего-то не знаю…

Которых уже исчезающе мало.

Это неправда. Таких аж 10% от всего интернета:

Админки всяких роутеров?
Интереснее посмотреть, сколько времени пользователь проводит на https сайтах, я тут ожидаю около 100%

Админки всяких роутеров имеют JS счётчики?)

Со вторым согласен.

А что это за график? Это может быть просто число хостов, на которых открыт порт 443 против числа хостов, на котором только порт 80 без 443.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий