Комментарии 102
Вот это вы молодцы, и это тем временем когда в Хроме кнопку просмотра сертификата запрятали аж в инструменты разработчика (когда раньше она была в начале адресной строки и было очень удобно)
в адресной строке отображается обычный закрытый замочекМолодцы. При открытии сайта мой браузер уже показывает chrome://browser/skin/cert-error.svg
А нельзя как-то в браузерах принудительно установить, чтобы конкретный сертификат мог использоваться только на конкретном домене? Может есть какое-то расширение для этого?
Так сертификат сам по себе должен удостоверять ограниченный список доменов. Не тот ключ, не тот домен или не тот серт. и все, в пролете. В чем смысл затеи?
Извините, я наверное неверно выразился. Я имел ввиду сертификаты CA, которые предустановлены в систему. Чтобы этот серт ЦА мог удостоверять только определенный домен и всё.
Вы имеете в виду удостоверять только поддомены определённого домена верхнего уровня (ru, com, info)?
Нет, чтобы определенный серт СА мог удостоверять только один свой домен, например. Или группу доменов.
Я вас не понимаю. Сертификат CA это Certification authority? Сертификат центра сертификации. Он нужен для проверки сертификатов сайтов выданных этим центром.
Какой смысл в центре сертификации который подтверждает только один домен не понятно.
Да, насчет ЦА — именно это я и имел ввиду.
Смотрите: для того, чтобы работал (например в корпоративной среде) какой-то внутренний ресурс, на комп устанавливается самодельный ЦА сертификат. Им подписан серт на определённый (внутренний) домен.
Как обезопасить остальной трафик от того, что какой-то админ начнет подписывать тем же сертом ЦА сертификаты для других доменов?
Или, например, троян от Innova (на проекте 4game):
Для того, чтобы запускать игры из браузера они ставят службу на комп, плюс внедряют свой сертификат ЦА на комп, чтобы браузер доверял самоподписанным сертам, которыми (как я понимаю) подписывается служба. Как обезопаситься от Инновы, и разрешить им подписывать трафик только на их доменах?
П.С.: Я понимаю, что есть HSTS и тому подобные штуки, но всё же?
Смотрите: для того, чтобы работал (например в корпоративной среде) какой-то внутренний ресурс, на комп устанавливается самодельный ЦА сертификат. Им подписан серт на определённый (внутренний) домен.
Как обезопасить остальной трафик от того, что какой-то админ начнет подписывать тем же сертом ЦА сертификаты для других доменов?
Или, например, троян от Innova (на проекте 4game):
Для того, чтобы запускать игры из браузера они ставят службу на комп, плюс внедряют свой сертификат ЦА на комп, чтобы браузер доверял самоподписанным сертам, которыми (как я понимаю) подписывается служба. Как обезопаситься от Инновы, и разрешить им подписывать трафик только на их доменах?
П.С.: Я понимаю, что есть HSTS и тому подобные штуки, но всё же?
НЛО прилетело и опубликовало эту надпись здесь
Поддержка Name Constraints есть в Windows 7+, OpenSSL и браузерах. Какое-то время назад сертификат Let's Encrypt содержал Name Constraints с CRITICAL, в exclude был указан *.mil. Именно из-за этого сайты с сертификатом Let's Encrypt не открывались на Windows XP.
Сертификат для Intel с Name Constraints: https://crt.sh/?sha1=d50c68fdcb0c3315eb9951f2444fd9e48ba34829
Сертификат для Intel с Name Constraints: https://crt.sh/?sha1=d50c68fdcb0c3315eb9951f2444fd9e48ba34829
Есть т.н. wildcard сертификаты (как на хабре, между прочим) – поэтому нельзя.
Можно при первом посещении прибивать гвоздями сертификаты для своего домена: HTTP_Public_Key_Pinning.
Есть. Называется OCSP.
Вот только если некто сумел установить сертификат в системное хранилище, он наверняка сумел изменить список серверов DNS, и подконтрольный ему сервер DNS выдаст нужную запись OCSP.
Решение проблемы есть, но оно требует полного изменения инфраструктуры DNS: переход на хранение записей NS в блокчейне.
Вот только если некто сумел установить сертификат в системное хранилище, он наверняка сумел изменить список серверов DNS, и подконтрольный ему сервер DNS выдаст нужную запись OCSP.
Решение проблемы есть, но оно требует полного изменения инфраструктуры DNS: переход на хранение записей NS в блокчейне.
Можно использовать DNS Certification Authority Authorization на своём домене.
Корневые сертификаты можно проверить утилитой Sigcheck: sigcheck -tv "*", sigcheck -tuv "*". Полезно делать это регулярно, учитывая, что в хранилище сертификатов сертификат добавляется легко и незаметно.
Что тогда делать в корпоративной среде? Когда пользователь пользуется яндекс браузером, через AD раздается свой корневой и внутренние ресурсы подписаны своим сертификатом.
С точки зрения безопасности, не стоит подменять сертификат для важных внешних сайтов с личными данными пользователей. Поэтому наше предупреждение рассказывает им о риске, но не навязчиво – выбор сохраняется на N дней. Это про обычную версию. С корпоративной сборкой вопрос другой. Там мы еще думаем.
Внутри компании есть справка и почта, которой пользуются только внутри. Из вне доступна только почта. Оба сервиса подписаны своим корневым сертификатом. Корневой раздан через AD, внешним сотрудникам прописан вручную.
Даже самое невзрачное предупреждение вызовет много вопросов в сторону IT отдела.
Даже самое невзрачное предупреждение вызовет много вопросов в сторону IT отдела.
Так, на сколько я понимаю, с внутренними сервисами проблем не возникнет, вот если вы попытаетесь со своим сертификатом проксировать тот же сбер — то это совсем другое дело
Один вопрос, а что мешает сделать нормальные сертификаты для справки и почты, хотя бы и бесплатные? Я понимаю, зачем в принципе нужно тащить свой корневой сертификат, но зачем его использовать ещё и для интравеба?
С корпоративной сборкой вопрос другой. Там мы еще думаем.Когда придумаете — расскажите, пожалуйста, как не подарить админам работодателя все свои логины и пароли от сайтов (по крайней мере те, которые пришлось использовать на работе).
Пока Яндекс.Браузер )
Пока Хром помечает страницы с полями для ввода как несекурные (а тем временем прячет инфу о сертификатах подальше), Я.Браузер прямо радует такими вот начинаниями.
Спасибо! Не ожидал, что проект так неплохо будет развиваться в полезных юзерам направлениях.
P.S. Одно никак не могу для себя понять: мне лично не хочется рекламным сетям сливать лишнюю информацию о себе, так вот через Я.Браузер такая метаинфа (грубо, список просмотренных сайтов и прочее, что позволит лучше таргетировать рекламу) сливается в Яндекс (при, скажем, активированном adblock-е), или нет?
Спасибо! Не ожидал, что проект так неплохо будет развиваться в полезных юзерам направлениях.
P.S. Одно никак не могу для себя понять: мне лично не хочется рекламным сетям сливать лишнюю информацию о себе, так вот через Я.Браузер такая метаинфа (грубо, список просмотренных сайтов и прочее, что позволит лучше таргетировать рекламу) сливается в Яндекс (при, скажем, активированном adblock-е), или нет?
Теперь Яндекс.Браузер не слепо доверяет корневому сертификату из системного хранилища, а проверяет его по списку известных авторитетных центров сертификации.
Проверяет локально или по сети?
Если локально, то чем это отличается от хранилища сертификатов (как у Firefox)?
Если по сети, то смысл в том, что сертификат Яндекса (точнее, узла, с которым связывается браузер для проверки сертификата), прибит наглухо, и его нельзя подменить? Иначе, почему невозможна такая же MITM-атака…
Локально, но это не хранилище сертификатов, куда можно поместить свой, а зашитый набор отпечатков.
Если сертификат на сайте поменяется, как будет реагировать браузер? Есть-ли отдельный механизм для обновления отпечатков, или только вместе с новой версией браузера?
Сертификат на сайте? Так с ним и так все хорошо. А если сертификат злоумышленника, то какая разница. Если его нет в списке доверенных, то будет предупреждать.
Хорошая попытка, яндекс, но нет
А если так:
Защита от wap-click https://habrahabr.ru/company/yandex/blog/273385/
Поддержка DNScrypt https://habrahabr.ru/company/yandex/blog/280380/
Антифишинг https://habrahabr.ru/company/yandex/blog/309808/
Шифрование Wi-Fi https://habrahabr.ru/company/yandex/blog/267013/
Борьба за расширения https://habrahabr.ru/company/yandex/blog/266061/
Защита от wap-click https://habrahabr.ru/company/yandex/blog/273385/
Поддержка DNScrypt https://habrahabr.ru/company/yandex/blog/280380/
Антифишинг https://habrahabr.ru/company/yandex/blog/309808/
Шифрование Wi-Fi https://habrahabr.ru/company/yandex/blog/267013/
Борьба за расширения https://habrahabr.ru/company/yandex/blog/266061/
Protect слишком уж навязывает себя ещё и с браузером по умолчанию и собственно поиском, потому…
Плюс, блин, что у вас за фигня с иконками? После каждой итерации версии нужно руками лезть в %version%\resources\sxs.ico.
Плюс, блин, что у вас за фигня с иконками? После каждой итерации версии нужно руками лезть в %version%\resources\sxs.ico.
В последний раз, когда я видел вайфай шифрование Яндекса, оно применялось только с точками со слабыми шифрованием. То есть, подцепился я случайно к левой точке с сильным шифрованием… И она совершенно спокойно снифферит мой трафик. Так что нет доверия маркетологам, которые пишут про плюсы Яндекс браузера.
Погодите. Как вы случайно подцепитесь к левой точке с паролем, не вводя пароль? Шифрование Wi-Fi у нас решает такие проблемы:
– Защищает от поддельных точек, которые имитируют известные сети названием. Устройства к таким автоматически подключаются, потому что название точки совпадает, а пароль не требуется.
– Защищает от злоумышленников со снифферами за соседним столиком.
Ровно об этом я писал на Хабре, и мы везде рассказывали. Поэтому включается автоматически, если у точки нет пароля, или используется слабое wep-шифрование. Если нужно включить принудительно, то есть Турбо. Безопасный Wi-Fi на нем и работает (только без сжатия).
– Защищает от поддельных точек, которые имитируют известные сети названием. Устройства к таким автоматически подключаются, потому что название точки совпадает, а пароль не требуется.
– Защищает от злоумышленников со снифферами за соседним столиком.
Ровно об этом я писал на Хабре, и мы везде рассказывали. Поэтому включается автоматически, если у точки нет пароля, или используется слабое wep-шифрование. Если нужно включить принудительно, то есть Турбо. Безопасный Wi-Fi на нем и работает (только без сжатия).
Не хватает ссылочки на гитхаб. Вот она была бы решающим аргументом.
Мне интересно каким образом вы наблюдаете за реакцией пользователей? Браузер очитывается в центр?
Стандартные способы:
– Выживаемость (удаляют ли браузер после появления новшества)
– Обращения в поддержку
– Жалобы в публичных каналах (блог, соцсети, ...)
– Выживаемость (удаляют ли браузер после появления новшества)
– Обращения в поддержку
– Жалобы в публичных каналах (блог, соцсети, ...)
НЛО прилетело и опубликовало эту надпись здесь
Мы недавно сделали важный шаг. Теперь бета-версии для Linux собираются не на базе кода беты, а на базе уже релизного кода (и выходят одновременно с ними). Но метку «бета» пока снимать не хотим.
НЛО прилетело и опубликовало эту надпись здесь
Ну и я спрошу… можно адресс проживания того человека, который придумал перетаскивать окно за адресную строку?
Не знал, что так можно.
Дайте и мне адрес автора, я его расцелую! Это реально удобно, раньше при огромном количестве открытых вкладок приходилось тянуться мышкой далеко вправо.
Дайте и мне адрес автора, я его расцелую! Это реально удобно, раньше при огромном количестве открытых вкладок приходилось тянуться мышкой далеко вправо.
Привет Cisco FirePower
А можно установить Я.Браузер так что бы он не установил Яндекс поиском по-умолчанию во всех других браузерах?
Предупреждения в Яндекс.Браузере нельзя назвать панацеей, потому что они никак не влияют на основной источник проблемы – программу, устанавливающую свой корневой сертификат.
Как Вы и написали. Я бы сказал, что задумка вообще бесполезная. Просто «для галочки», что браузер «безопаснее». Ничуть. Пока пользователи будут устанавливать приложения «не пойми откуда» (не важно какая используется ОС), никакие технические средства не помогут.
Пройдёт несколько дней и эти «программы, устанавливающие свой корневой сертификат» будут до кучи патчить или целиком подменять браузер.
Подобно вам, Google тоже делает дополнительную проверку корневых сертификатов. В частности нельзя зайти на google.com, если его сертификат будет подписан не CA от google… Ещё можно почитать https://www.chromium.org/Home/chromium-security/root-ca-policy
Нет, конечно ваше решение будет иметь кратковременное положительное действие. Конечно вы напишете об этом ещё одну статью. Конечно вы «забудете» в ней сказать, что уже есть (а уже есть) программы, которые обходят эту защиту. Возможно количество установок браузера повысится. Но интернет от этого не станет безопаснее.
Корень беды в том, что неподготовленные пользователи не знают чему можно доверять, а чему нет. Сегодня не существует Единого Центра Доверия :). И я сомневаюсь, что его создание вообще возможно. Решение о доверии чаще всего принимается интуитивно на основе вшенего вида.
Осторожность приходит с опытом. Но всевозможные рекламы «безопасного браузера», антивирусов и других «интернет защитников», усугубляет проблему тем, что пользователь об осторожности забывает.
Хотя сам браузер очень хороший :)
Не согласен. Наше решение не решает проблему в корне, но:
– Привлекает внимание к проблеме. Пользователь, увидев предупреждение, часто идет спрашивать у более знающих людей (или в поддержку, как сейчас и происходит) о причинах. У них появляется знание о самой угрозе. Это уже многое значит.
– Упрощает диагностику. Вставить рекламу в страницу можно многими разными способами. Но если речь идет о предупреждении, то сразу ясно, куда копать.
– Помогает вовремя остановиться и не потерять данные тем, у кого минимальные знания уже есть.
Приведите, пример, пожалуйста.
Все технологические компоненты Protect эффективны. Мы это видим по антифишингу, по защите от мобильных подписок, по многим другим вещам. 100% защиты не бывает, но вероятность попасться на удочку снижается.
– Привлекает внимание к проблеме. Пользователь, увидев предупреждение, часто идет спрашивать у более знающих людей (или в поддержку, как сейчас и происходит) о причинах. У них появляется знание о самой угрозе. Это уже многое значит.
– Упрощает диагностику. Вставить рекламу в страницу можно многими разными способами. Но если речь идет о предупреждении, то сразу ясно, куда копать.
– Помогает вовремя остановиться и не потерять данные тем, у кого минимальные знания уже есть.
Конечно вы «забудете» в ней сказать, что уже есть (а уже есть) программы, которые обходят эту защиту.
Приведите, пример, пожалуйста.
Все технологические компоненты Protect эффективны. Мы это видим по антифишингу, по защите от мобильных подписок, по многим другим вещам. 100% защиты не бывает, но вероятность попасться на удочку снижается.
Хотя сам браузер очень хороший :)
Спасибо :)
Молодцы, изобрели SSL Observatory из дополнения HTTPS Everywhere для Firefox, которое защищает пользователей с начала 2012 года.
Установил. Никак не реагирует. Как включить?
Наверное в настройках
P.S. Минуса излишни и не красят вас.
Заголовок спойлера
P.S. Минуса излишни и не красят вас.
У расширения для Хрома нет таких настроек. Завтра попробую в Лисе.
P.S. https://yadi.sk/i/lMUh3-T23J6LXg Стыдно теперь? :)
P.S. https://yadi.sk/i/lMUh3-T23J6LXg Стыдно теперь? :)
У расширения для Хрома нет таких настроек.
Так хром такого явно не позволит. Даже не знаю, как там сам HTTPS Everywhere работает, думал, и его нельзя в хроме запустить.
Стыдно теперь? :)
Сотрудники 600
Нет, не стыдно. Обращение было к компании.
Завтра попробую в Лисе.
Завтра уже успело наступить и пройти ))
Ну изобрели и изобрели. Ключево, что это сейчас будет сразу из коробки, а не доставляться кастомно.
НЛО прилетело и опубликовало эту надпись здесь
proof?
НЛО прилетело и опубликовало эту надпись здесь
Срок сертификата истек. Хотя наверное фотка старая
НЛО прилетело и опубликовало эту надпись здесь
Спасибо, проверяю. P.S. На Android у нас нет никакого своего списка сертификатов. На yabrowser.com, например, тоже Lets Encrypt, но открывается успешно.
У вас скорее всего был не полный чейн сертификата. Судя по тому что серту 4 дня (а вы ещё 13 мая присылали скрин), серт вы обновили. И таки что-то мне подсказывает, что дело было в вашем сертификате, а не в браузере =)
Ничего подобного. Прекрасно посещаю сайты с Lets Encrypt и сам же использую их сертификаты. Давайте посмотрим конкретный пример. Вдруг баг (а я ничего не исключаю никогда).
Верной дорогой движетесь, товарищи!
Ок, с причиной разобрались, теперь не мешало бы разобраться со следствием. Допустим обычный юзер во время серфинга нахватал дыр и даже об этом не подозревает. Как уберечь себя от нежданчика? Приведу в пример Неуловимого Джо, который вроде бы никому и не сдался, но всякие бяки все равно могут мирно обитать в его пространстве, до поры до времени. У меня после похода к пиратам, док бывает с десяток троянов отлавливает. Но с ними все понятно, я просто оцениваю информацию в моменте и на объективных данных принимаю решение. Когда копался в игровых конструкторах, совершенно случайно узнал о снифферах. Меня весьма удивила инфа о том, что админ интернет-провайдера может заглянуть в окошко и даже зайти в гости без стука. Ну с ним ладно, ни один здравомыслящий человек, а другие на таких местах скорее не водятся, не захочет рисковать жопой ради мимолетного приключения. Поставил Microsoft Network Monitor, глянул на всякие абраказябры, хотя понимания того, что с этим «барахлом» делать, все равно не прибавилось.
И вот теперь снова интересная заметка, отчасти раскрыта тайна красного замочка. У меня несколько дней такой висел в гугловском сортире и я как бы не особо воспринимал его. «Ну висит и висит, все равно сортир известный, со всего миратуда срать ходют там справляют нужду.
Но давайте теперь вернемся к нашему герою Джо. С моментаоплодотворения яйцеклетки проникновения, вынашивания осваивания территории и летального исхода, могут пройти недели, месяцы и даже годы. Далеко не многие умеют оставаться в тени, лично мне по кайфу сумерки, поэтому хотелось бы понимать, где и когда за мной могут увязаться нежелательные хвосты.
В общем-то я уже около года, как перешел на Y и ни капельки не обламываюсь. Но судя по той информации, которую приходится обрабатывать, темную все равно могут устроить.
И вот теперь снова интересная заметка, отчасти раскрыта тайна красного замочка. У меня несколько дней такой висел в гугловском сортире и я как бы не особо воспринимал его. «Ну висит и висит, все равно сортир известный, со всего мира
Но давайте теперь вернемся к нашему герою Джо. С момента
В общем-то я уже около года, как перешел на Y и ни капельки не обламываюсь. Но судя по той информации, которую приходится обрабатывать, темную все равно могут устроить.
Думаю в базах Яндекса есть сертификаты перехватчики которые он показывает как правильные.
И все знающие люди понимают почему.
И все знающие люди понимают почему.
Что касается этой новой функциональности, я считаю это движение в правильном направлении.
Но я считаю, что Яндекс браузер был хорош тогда, когда только появился и не навязывал свои сервисы, а предоставлял возможность ими пользоваться.
Было бы здорово иметь возможность единожды отказаться от постоянных предложений установки яндекс браузера что на десктопе, что на мобильном телефоне. Каждый раз когда я открываю yandex.ru и у меня на полэкрана баннер с предложением установить, который я уже отклонил вчера, а я его опять вижу — вот честно — пользоваться всеми другими сервисами яндекса пропадает желание. Неужели нельзя сохранять выбор и предлагать установить только когда появилось какое-то действительно серьезное обновление, которые может меня заинтересовать? Ну не надо делать из яндекса mail.ru…
Но я считаю, что Яндекс браузер был хорош тогда, когда только появился и не навязывал свои сервисы, а предоставлял возможность ими пользоваться.
Было бы здорово иметь возможность единожды отказаться от постоянных предложений установки яндекс браузера что на десктопе, что на мобильном телефоне. Каждый раз когда я открываю yandex.ru и у меня на полэкрана баннер с предложением установить, который я уже отклонил вчера, а я его опять вижу — вот честно — пользоваться всеми другими сервисами яндекса пропадает желание. Неужели нельзя сохранять выбор и предлагать установить только когда появилось какое-то действительно серьезное обновление, которые может меня заинтересовать? Ну не надо делать из яндекса mail.ru…
так все-таки, как конкретно вы
а то недавно google заявил, что из хрома уберут функцию «закрыть другие вкладки», т.к по их данным, ей пользуются в 0,64% случаях использования контекстного меню.
откуда у вас у всех такая статистика?
наблюдали за реакцией пользователейпо решению с открытым замочком?
а то недавно google заявил, что из хрома уберут функцию «закрыть другие вкладки», т.к по их данным, ей пользуются в 0,64% случаях использования контекстного меню.
откуда у вас у всех такая статистика?
Любой крупный браузер (или сайт, продукт, приложение, операционная система, что угодно) собирает статистику использования фич. Chromium в том числе. Статистика анонимная, но этого достаточно, чтобы оценить реальное, а не предполагаемое использование браузера. Отключается обычно у всех одинаково – в настройках. Но я отключать не рекомендую.
спасибо за ответ, но я по-прежнему буду сомневаться в том, что если в любом продукте отключить все галочки в настройках, никакая статистика и правда не будет передаваться.
опять же, в вашем браузере есть галочка — «отправлять статистику», которую можно отключить? вот скриншот из Chromium, не вижу, чтобы тут что-то подобное было
или вы все-таки принудительно собираете какую-то статистику, которую нельзя отключить?
опять же, в вашем браузере есть галочка — «отправлять статистику», которую можно отключить? вот скриншот из Chromium, не вижу, чтобы тут что-то подобное было
или вы все-таки принудительно собираете какую-то статистику, которую нельзя отключить?
Так вот же все есть: https://habrastorage.org/web/696/ada/61c/696ada61ce57434cb0b5d39f0c1f82ed.png
4й пункт
5.7. Пользователь настоящим уведомлен и соглашается, что при использовании Программы Правообладателю в автоматическом режиме анонимно (без привязки к Пользователю) передается следующая информация: тип операционной системы устройства Пользователя, версия и идентификатор Программы, статистика использования функций Программы, а также иная техническая информация.
Про отключение ни слова.
А если эти сертификатом установлены администратором для использования систем DLP — я.браузер молча под них прогнется?
P.S. Официальной portable версии не предвидится?
P.S. Официальной portable версии не предвидится?
Мне хочется, чтобы браузер не думал за меня и не лазил за меня по сайтам, но с каждым днем все хуже и хуже. Firefox постоянно лезет в мозиллу, я.браузер постоянно лезет в яндекс зачем-то, на кучу разных доменов. Сафари вот ещё не сильно стучит, зато сама макось постоянно лезет в эппл.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Борьба с перехватом HTTPS-трафика. Опыт Яндекс.Браузера