Комментарии 121
Объясните пожалуйста незнающему. Установка такого сертификата чем опасна? Любой https можно расшифровать и следить за всем или как это происходит. Спасибо
Это корневой сертификат, им подписывают ключи сайтов (можно подделные сертификаты на например гугл подкинуть браузеру, а он типа доверяет корневому сертификату и схавает этот как легитимный, а ключь будет у левых людей)
С ходу расшифровывать "любой https" нельзя. Нужно сначала подсунуть другой сайт вместо того, к которому вы обращаетесь. И государство, имея контроль над провайдерами, легко может это сделать. Но чтобы ваш браузер на такую подмену не возбудился всякими предупреждениями, подменяющий должен ещё установить свой корневой сертификат на ваше устройство. Ну или склонить/принудить вас к установке такого сертификата.
Почему нельзя? Провайдер выдает вам левый сертификат сайта, распаковывает весь ваш трафик, потом перепаковывает его нормальным ключом и отправляет реальному серверу. Именно так и работает MITM, не?
В этом и смысл, что если провайдер выдаст вам левый сертификат, то ваш браузер это увидит и будет ругаться. Либо левый сертификат не будет подписан доверенным корневым сертификатом, про которые знает браузер, либо это будет сертификат на левый сайт.
А сбер как раз и предлагает установить всем доверенный корневой сертификат, которым можно подписать любой другой сертификат и устроить такую MITM атаку.
А я что написал? :)
Я как раз и говорю, что установив левый корневой сертификат пользователю, можно читать его трафик, а оппонент утверэдает, что "Нужно сначала подсунуть другой сайт вместо того, к которому вы обращаетесь".
Я ещё раз перечитал. У меня изначально создалось впечатление что вы под выдачей левого сертификата имеете ввиду его выдачу без подмены корневого. Если с подменой, то всё так да.
Мне думается, вы с собеседником, что называется, не сошлись в терминологии.
Что есть сайт? Является ли аутентичный сертификат веб-ресурса частью сайта? Является ли конечный сервер, который отправляет клиенту данные, подписанные ключом, который является частью этого сертификата, частью сайта?
Является ли копия сайта самим сайтом?
Можно ли считать сокет, принимающий данные от митм, сокетом, принимающим данные от самого сайта (если такой вопрос в принципе имеет смысл)?
Ваш "левый сертификат сайта" будет подписан корневым и ничего ваш браузер не скажет. Вы точно тред читали?
Изначальный вопрос был:
Установка такого сертификата чем опасна?
Т.е. мы исодим, что корневой сертификат уже стоит. Никаких предупреждений браузер ваш не выдаст в этом случае.
Точно читал. YegorP написал, что «с ходу расшифровывать „любой https“ нельзя» без «подкинутого» корневого сертификата
Точно не читали. Или чего-то не поняли. Он писал, что даже с корневым сертификатом трафик расшифровать нельзя без имитации сайта:
Нужно сначала подсунуть другой сайт вместо того, к которому вы обращаетесь.
Пример того что может сделать ваш провайдер, если у него будет доступ к приватным ключам этого сертификата:
Развернуть прозрачный reverse proxy, например, для домена mail.google.com
Сгенерировать полноценный сертификат для этого прокси, так что браузер будет доверять ему
Подменять IP для mail.google.com в своих DNS на свой proxy
После этого вся ваша переписка на mail.google.com будет доступна провайдеру. Так же он сможет встроить любой код в HTML. При этом браузер будет считать это полноценным защищенным сайтом и любезно рисовать замочек рядом с адресом сайта.
Для решения этой задачи есть Certificate Transparency.
Ага. А вы знаете историю CA, который сейчас называется Let's Encrypt и почему он стал выдавать бесплатные сертификаты?
Не знаю. Просветите, пожалуйста. Без зазрения совести донатил им, неужели это корпорация зла?
Вот я не поленился и сходил в википедию. Там написано, что
1) Certificate Trasparency (CT) - это не организация, а стандарт мониторинга и аудита, призванный гарантировать надёжность сертификата.
2) Let's Encrypt - это не стандарт, а организация; проект выходцев из Mozilla. Сертификаты они стали раздавать бесплатно потому, что так изначально и было задумано.
Так что либо шифро-рептилоиды захватили ещё и википедию, либо у меня нет причин не доверять Let's Encrypt
Т.е. это снова вопрос доверия? LE ничего не гарантирует технологически - только на словах, получается.
Так вы почитайте уже что такое SSL и PKI! Он и не должен ничего гарантировать кроме зашифрованного туннеля.
Как вы можете быть уверены, что этот пост написан именно мной, а не кем то от моего имени? Просто подумайте над технички решением этого вопроса.
Я так понимаю вопрос решается парой симметричных ключей, как шифрование с открытым и закрытым ключом, только ключи выполняют свою функцию наоборот. И вот я не понимаю, почему сертификат от Минцифры менее удостоверяющий, чем сертификат от LE, кроме как "у нас принято верить джентельменам".
Сертифкаты бывают очень разные по стоимости. И по предоставляемым гарантиям.
DV - простой domain validation. Для персональных сайтов!
Как раз LE выдает.OV - Organization Validation. Как у Сбера сейчас.
EV - Extended Validation.
И разница в гарантиях соответствующая. Пример:
Суммы от $10K для простого (но все-таки купленного) до $1.5M для расширенного гарантируют отсутствие "левого" сертификата.
А LE вообще бесплатно выдает. Да, он достаточно надежен, чтобы браузеры его воспринимали без ругани. Но для серьезных целей он не предназначен.
И сравнивать сертификаты от LE, предназначенные для простых персональных вебсайтов, с предложением УЦ Минцифры можно разве что по гарантиям. Одинаково отсутствующим.
Вы меня простите, но я получал EV сертификаты от уважаемых CA. И кроме зелененького значка в броузере, ничего они не удостоверяют - процедура верификации юрлица просто формальная.
Вы и сами можете это проверить.
Вы так пишете, будто можете легко получить EV сертификат на несуществующую организацию. Или на первую попавшуюся из справочников.
Сертификат выданный Let's Encrypt делает именно то, для чего был создан. Подтверждает, что полученные данные выданы именно тем сервером, который обслуживает этот домен. И не были модифицированы по пути. Всё. Ничего большего он не делает.
Совершенно верно!
На этапе установки соединения происходит обмен ключами, и ключ сервера мы можем проверить у "доверенного" СА (который кто-то положил нам в дистрибутив).
И после установки соединения, шифрование становистся симметричным, т.е. защищенным. Но вот с КЕМ мы установили соединение - гарантии нет никакой.
И вот я не понимаю, почему сертификат от Минцифры менее удостоверяющий, чем сертификат от LE, кроме как "у нас принято верить джентельменам".
Лично для меня, одного только факта, что организация создавшая сертификат контролируется текущим правительством РФ - это уже достаточный фактор недоверия.
Круто у вас все! Прям как в суде: "у суда нет оснований не доверять показаниям сотрудника полиции".
Рад за вас. Особенно за стандарт СА 8)
А вы знаете историю CA, который сейчас называется Let's Encrypt и почему он стал выдавать бесплатные сертификаты?
И что вы хотите сказать, Let's Encrypt подписывает любые запросы всем подряд, не проверяя является ли запросивший субъект той организацией, на кого регистрируется сертификат?
Ну-ка подпишите через Let's Encrypt запрос на сертификат с доменом google.com или mail.ru.
А если их попросят подписать какие-нибудь спец. службы?
Я не хочу этого сказать. Это ваши фантазии. Не нужно передергивать.
Давайте лучше про PKI подискутируем. Тут фантазиями не отделаетесь. Думать нужно.
Вопрос не в PKI. Вопрос, сможете ли вы выдать себя за гугл или маил.ру?
Например, вы зарегистрировали домен, которого никто никогда не регистрировал ранее. Скажем, www.atom-browser-downloader.com. Если Lets Encrypt подписывает все запросы подряд, то укажите в данных сертификата организацию маил.ру. Вы хотите сказать, они подпишут?
Или как рассматривать ваши упрёки в сторону бесплатных сертификатов? По вашему, платные лучше бесплатных? Или Lets Encypt не выполняет взятых на себя обязательств бесплатно, которые выполняются другими CA платно?
Есть технические регламенты и аудит. (про публичные попытки их выполнить в данном случае — не видно)
Есть Certificate Transparency (это — сделали, правда со своими CT Log'ами но их хоть больше одного и они реально публичные судя по статье яндекса)
Вот только для "отечественного" линукса в яндекс браузер забыли сертификат добавить. Его нужно импортировать самому. А на госуслугах сертификат можно скачать только для windows, mac, ios и android.
Пользователям отечественного линукса некогда ходить по сайтам онлайн-банкинга.
Они заняты неоплачиваемой работой по тестированию убогой поделки
С тем, как это работает у яндекса, можно ознакомиться здесь.
Сертификат хранится в собственном хранилище, но похоже был добавлен только в windows сборку браузера. В linux версии сертификат я не увидел.
Вот только для «отечественного» линукса в яндекс браузер забыли сертификат добавить., обозначая проблемы именно с «отечественными» дистрибутивами Линукс?
Возможно я не совсем корректно выразился. В своем комментарии я хотел обратить внимание на то, что связка отечественного дистрибутива, браузера и сертификата не работает из коробки. При этом работает из коробки в Windows.
В отечественных дистрибутивах сертификат установлен в системе вместе с обновлениями, но в браузер добавляется вручную. Обе инструкции не упоминают яндекс.
У яндекса нет разделения пакетов на отечественные дистрибутивы, только deb и rpm. Поэтому да, проблема общая для всех Linux.
То есть, если Яндекс не пойдёт вразнос, то с этим сертификатом будут работать только определённые российские сайты, а для всех остальных он не будет использоваться?
А существует snap/flatpack/appimage яндекс браузера? Чтоб песочницу без виртуалки создавать...
А существует snap/flatpack/appimage яндекс браузера?
Нет. Я собирал appimage на базе этого скрипта для chromium.
нету, и слава бг. берите firejail который позволяет сделать песочницу для любого ПО из любого источника
По оценке экспертов, в случае установки владельцами сайтов российских TLS-сертификатов произойдёт их блокировка для зарубежных пользователей, которые не смогут зайти, например, на сайт «Сбера» из Турции
что за бред? от страны нахождения пользователя тут ничего не зависит
Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK
и это, скажем так, не совсем правда.
в некоторых браузерах сертификат Russian Trusted Root CA будет из коробки, в почти все остальные по желанию пользователя этот сертификат можно добавить.
А дальше уже вопрос: можно ли открыть госуслуги с зарубежного IP? Или нужен будет VPN в Россию?
Госуслуги с иностранных IP пока открываются. Но вообще некоторые государственные и окологосударственные сайты уже не работают у меня, так что может и госуслуги со временем перестанут работать.
Госуслуги с иностранных IP пока открываются
Август - Турецкая республика, не открываются (ни гос, ни мосуслуги, не емиас). Сентябрь - Мальдивские острова, аналогично.
Если что - ездил не я, я сидел в МСК и удаленно помогал туристам. И вот мякотка: Роспотребнадзор велит в день отлета отметиться на Госуслугах перед тем, как сесть на самолет в РФ. А сделать это (сюрприз) невозможно: с импортных IP не пущает.
Странно, на прошлой неделе из Канады открывал.
на прошлой неделе из Канады открывал
Повезло. Неисповедимы пути Господни пингов :)
А друзья рассказывали, что в Турции было весело. Конец августа, мамы-папы с детьми-школьниками догуливают каникулы на морском берегу, одновременно улаживая формальности. И тут подстава: ЕМИАС (мед справки и пр), МЭШ (расписание и прочие школьные дела), Госуслуги (подтверждение влета в РФ с ковидными делами) - и ничего из этого работает.
Друзья подумывали о микробизнесе: на месте поднять VPN с выходом в РФ и продавать доступ страждущим :):):)
Роспотребнадзор велит в день отлета отметиться на Госуслугах перед тем, как сесть на самолет в РФ
С Мальдив не велит. Можно по желанию это сделать, но вообще в самолёте при подлёте к Москве раздают бланки, которые надо заполнить и сдать в Шереметьево специально обученым людям. Если до этого была заполнена форма на Госуслугах, то бланк заполнять не надо.
Вы правы, бумажные бланки заменяют предварительную регистрацию на Госусгулях. Но электронно проще (ничего руками писать не надо и выходить с рейса быстрее).
К слову, некоторые мои знакомые, возвращавшиеся летом из-за границ, вообще забивали на все эти отмечания и регистрации. И (по состоянию на начало сентября) им ничего за это не было. Я такого поведения активно не одобряю, т.к. правило есть правило и нажать две кнопки на сайте не так уж и сложно. А неотметившиеся теоретически налетают на штраф (сумму не помню, но явно не две копейки).
Что мешает зарегистрироваться на госуслугах по прилёту в РФ пока не начали из самолёта выпускать? Времени более чем достаточно для заполнения нескольких полей.
Что мешает зарегистрироваться на госуслугах по прилёту в РФ
Вот вы знаете, сколько раз летал - столько задавал себе этот вопрос. Не знаю, если честно. Теоретически ничего не мешает, но во всех инструкциях Госуслуги твердят: "перед посадкой в самолет".
Может, они так наплыва регистрирующихся хотят избежать? Допустим, прилетел боинг из Турции с 400 туристами, и они как ломанулись на сайт! И все упало.:)
Только что попробовал (Турция, Алания) госуслуги открываются.
А что за отметка на госуслугах перед вылетом? (Первый раз об этом слышу просто)
А что за отметка на госуслугах перед вылетом?
Перед вылетом обратно в РФ. Это ковидные дела, с 20 года. Как правильно отметили выше, можно перед вылетом не отмечаться, а заполнить бумажку в самолете.
После возвращения - заходим и прикрепляем пцр (либо прививку, если есть свежая). В общем, там все написано.
Это форма информирования Роспотребнадзора о вашем прибытии, действует со времён ковидокарантинов, и как бы декларируется, что эту форму можно заполнить ещё в РФ при покупке обратного билета, то есть хоть за полгода, так как никакой ответственности за заполнение формы и последующий неприлет не предусмотрено.
За заполнение бумажной формы вместо электронной, в разгар истерик кого-то штрафовали, есть информация на форуме Винского, извините, с телефона очень неудобно ссылку вставлять.
Сейчас уже, конечно, на все это меньше смотрят, судя по всему.
Сам заполнял всегда бумажные, и потом грузил серт о прививке, проблем не было.
Спасибо ответившим. Хоть в курсе буду.
А насчёт корневых сертификатов. Думаю с теми что сейчас есть в том же хроме такие же проблемы ("доступ у Байдена")
можно ли открыть госуслуги с зарубежного IP
нельзя. Ещё сайт почты (pochta.ru) тоже нельзя.
Вообще-то в тексте речь идет о проблемах для иностранцев при внедрении шифрования "по ГОСТу" (ГОСТ Р 34.12-2015 ) вместо общепринятой связки RSA+AES256, а не о самих сертификатах минцифры, вообще. Там разное шифрование может быть.
Ни один массовый браузер нормально это шифрование "по ГОСТу" не поддерживает, только российские (и довольно криво). Т.е., доступ к сайтам, где внедрят "SSL по ГОСТу" останется только у тех, кто захочет установить себе какой-нибудь Chromium-ГОСТ (или ябраузер, прости господи). Количество таких иностранцев (не эмигрантов, которым надо за оставленную недвижимость заплатить, в смысле) представляется мне небольшим. Только если кому по службе надо отслеживать происходящее в РФ.
P.S."Бонус" от "шифрования по ГОСТ", помимо прочего - обогрев Вселенной. Потому что вместо быстрой и экономной процедуры с использованием расширений AES-NI все криптографические процедуры делаются "вручную", обычным кодом.
Работа по повышению IT-грамотности населения продолжается. Ранее население было обучено пользованию VPN, теперь переходим к виртуальным машинам.
Как-то за общими словами в статье не упомянуты очень простые последствия. Имея корневой сертификат, можно создать сертификат для любого сайта. В том числе для google.com, facebook.com, telegram.org, t.me и т.д. А если вы установите корневой сертификат себе на комп, ваш браузер будет заходить на подмененный "google.com" и будет считать, что все ОК. А дальше получить все логины, пароли и письма - перестает быть хоть какой-то проблемой.
Конечно, хорошо, когда есть список доменов с сайта https://www.gosuslugi.ru/tls. Но это как верить на слово, когда тебе говорят "Вот только эти сайты, мамой клянусь!".
Яндекс-браузер, по крайней мере, поддерживает CT-логи для сертификатов с госуслуг. То есть это уже не просто список.
Тут другой вопрос, доверяете ли вы Яндексу и возможному хардкоду в их сборках. Но это правда другой вопрос.
Как я понимаю, с учетом того что патчик Яндекса — выложен — см https://habr.com/ru/news/t/689078/#comment_24749432
то можно проверить что там нет совсем ужас-ужас, собрать свой хромиум с поддержкой таких сертификатов и должно работать как у Яндекса.
Значит надо расширить список корневых сертификатов, добавив понятие корневого сертификата для определённого национального домена. Почему-то в системе DNS каждая страна имеет свой домен, а в системе PKI нет, и по политическим причинам некоторые организации могут не иметь возможности получить сертификаты, это тоже непорядок.
Значит российский сертификат должен быть добавлен в список корневых с пометкой "только для российских доменов". На gosuslugi.ru с ним зайти можно, а на google.com нет. То же самое может быть в Казахстане, Иране, Китае и других странах с более высокой степенью суверенизации интернета: сертификаты для казахских, иранских, китайских сайтов.
Хотя и в таком случае можно организовать перехват, если на ru сайте используется международный сертификат, а потом подменяется на национальный. Как решить такую проблему? Наверное, можно создать расширение для браузера "запрет использования национального сертификата на определённых сайтах".
Есть вариант с certificate pinning, но это плохо работает с обновлениями.
Эм, кому это надо? В цивилизованном мире все и так неплохо работает. Зачем им что-то делать для тех, кто туда не стремится, да еще и постоянно плюется в их сторону?
по политическим причинам некоторые организации могут не иметь возможности получить сертификаты, это тоже непорядок
Эм, могут сделать свой. Это свой, скрепный, русским духом насыщеный сертификат. И без всякой политики. Что ж вам все не нравится?
Э-э-э, то есть надо в диспетчере разрешений смартфона пока что всем поотключать разрешения на установку чего бы то ни было?..
Ростелеком уже был замешан в историях с подменой трафика...
Такие MITM выкрутасы можно сделать ровно 1 раз:
Сертификат будет тут же сохранен пользователем.
Пользователь пойдет на страничку с certificate transparency логом и не обнаружит там этого сертификата.
После этого нелегальный сертификат выкладывается в публичный доступ, рядом ложится ссылка выше - кто угодно может ознакомиться с пруфами инцидента.
Из всего этого будет следовать - закрытый ключ скомпрометирован. Доверия этому УЦ больше нет. Все (кого интересует безопасность) массово поудаляют этот CA.
А кого не интересует - для того такой вопрос (Russian CA) просто не стоит. Большинство людей вообще спокойно пользуются ОС Шindoшs и смартфонами, которые в открытую сообщают о сливе информации впользу Васянов не дающих никаких гарантий и находящихся в авшорных юрисдикциях. Чего уж говорить про установку какого-то файлика в браузер, это вообще ерунда какая-то. :)
Если можно, дайте, пожалуйста, ссылку на какой-нибудь certificate transparency log.
Не идеально, но с учетом срочности пойдет. Главное чтобы в течении года сделали хорошо.
Это не certificate transparency logs. Здесь недостаточно информации.
Конечно. Это времянка. Сделать хорошо это долго и дорого. До сих пор было не надо. Сейчас стало надо. Хочется верить что работа по нормальному логу начата и будет сделана за какой-то разумный срок.
И опять напоминаю про https://habr.com/ru/company/yandex/blog/667300/ -:)
Яндекс разрабатывает Браузер, поэтому мы заинтересованы в появлении CT-логов, которые помогут защитить наших пользователей от компрометации сертификатов. Разработчики любого браузера в этом заинтересованы, поэтому, к примеру, компании Google и Apple создали и поддерживают свои логи. Мы пошли этим же путём и создали свой лог, воспользовавшись уже существующим открытым решением. Наш лог уже запущен и работает, НУЦ уже вносит в него новые сертификаты.
Свои CT-логи также запустили VK и «Минцифры России». Технические адреса всех трёх логов с поддержкой национальных сертификатов можно найти по адресу https://browser-resources.s3.yandex.net/ctlog/ctlog.json. Этих данных уже достаточно для того, чтобы сообщество смогло читать логи, искать в них конкретные сайты и вести аудит всех изменений.
Со своей стороны мы также создали форму в Яндекс Вебмастере, которая упрощает получение информации обо всех выпущенных национальных сертификатах для конкретного сайта. Поиск идёт по всем доступным CT-логам, а также по белому списку доменов.
В https://browser-resources.s3.yandex.net/ctlog/ctlog.json — логи от Яндекса, ВК и Минсвязи.
Формочка проверки на наличие нацсертификата у яндекса тоже работает и пишет откуда — https://webmaster.yandex.ru/tools/ssl-check/?domain=sberbank.ru
https://webmaster.yandex.ru/tools/ssl-check/?domain=gosuslugi.ru
Весело станет тогда, когда протухнет сертификат самих госуслуг. Случится это 6 января 2023 года. Они поставят себе импортозамещённый сертификат и зайти на госуслуги станет можно только скачав корневой сертификат с их же сайта, либо через Яндекс браузер. К слову сказать, сертификат сайта Яндекс браузера протухнет 26 февраля 2023 г. И скачать Яндекс браузер станет возможным только установив корневой сертификат с сайта госуслуг с помощью Яндекс браузера.
В Windows, кажется, можно установить сертификат в CurrentUser. Создадим юзера SBERUSER, поставим под этим юзером сертификат c госуслуг, а из своего обычного аккаунта будем запускать браузер через ярлык с RUNAS Sberuser. Ну и в браузере этому юзеру разрешить только сайт Сбера. Или так не сработает?
Будет здорово, если сможете разобраться в вопросе и собрать статью.
Слишком сложно. Firefox portable носит свои сертификаты с собой. Качаем, добавляем и ни о чем не беспокоимся.
А как ограничить список сайтов? Наверняка, можно расширениями типа UO, но это немного не работает со внутренней кухней браузера, где можно будет подсунуть любые команды, как то делает Mozilla в случае критических проблем.
Назовите это ГосСбер браузер и не используйте ни для чего другого. Или доверьтесь Яндексу.
Остальные решения этой проблемы слишком сложные.
В Firefox в сетевых настройках можно настроить несуществующий локальный прокси, а интересующие сайты добавить в список исключений этого прокси. Для корректной работы сайтов добавлять, разумеется, придется и "служебные" домены
.
1. В автозапуске какая-то яндекс-мандула.
2. В службах какая-то яндекс-мандула.
3. В планировщике угадайте что?
Напомню — это просто браузер. Что там ему надо в вышеперечисленных пунктах — я даже не представляю. Обновляться? Ну-ну.
Я не одобряю такое поведения яб-а, но вы вообще другие браузера, кроме лисы ставили себе? Да и лиса тоже с пушком, любит в тихую удалять поисковые системы из себя, швабодка, попенсорч, зашибись! my ass.
Не надо нагнетать. Пользуюсь яндекс браузером очень давно как дома та и на работе, никаких проблем или неудобств не испытываю. После установки отключаю Алису, автозагрузку с системой,боковую панель и пользуюсь. Причем, уверен, что есть много людей, которым эти функции удобны.
Нынче браузер одна из ключевых программ. Так что сложность этого комбайна становится сопоставима с операционной системой
Есть еще вариант ограничить список доменов, которые разрешается подписывать конкретным корневым сертификатом (в данном случае - Russian Trusted Root CA), через параметр "name constraints" в X.509.
Так как модифицировать корневой сертификат с госуслуг невозможно, для такой схемы потребуется сделать промежуточный (intermediate) CA-сертификат. Подробная инструкция есть на SO:
(осторожно, это не будет работать на macOS и еще в некоторых программах - там ограничения просто игнорируются)
"Для себя", конечно, лучше использовать portable Firefox. Вариант с "name constraints" больше подходит для настройки компьютеров менее опытных пользователей, развертывания в домене и т.п.
в жопу сбер, в жопу я.браузер! Именно отказом от использования такого дерьма должно реагировать сообщество. Не используемый продукт - мертвый продукт.
Не понимаю, почему я должен отказаться от яндекс браузера, если он меня устраивает и как браузер (со всеми фичами), и подходом к проблеме с сертификатами (использует упомянутые сертификаты только на тех сайтах где они необходимы)?
ну т.е. другими словами зачем ограничивать корпорации когда они залазят ко мне в трусы? Если меня это устраивает? Да ни за чем, можно им даже помочь, расшарить всю переписку, все контакты, историю браузера, доступ к камерам и микрофонам, выложить в открытый доступ все персональные данные и документы, банковские карты... главное что бы было удобно! А безопасность... да кого она волнует.
Вот я на работе оформляю заявку на получение лицензии на госуслугах или регистрирую фискальный регистратор на сайте налоговой, и если это в силу каких-либо неведомых причин можно сделать только через яндекс или через ie, то я буду ими пользоваться. Я не пойду к начальнику с предложением отказаться от затеи в силу гипотетической атаки "человек посередине". Я понимаю, что мир не идеален и всегда был и будет таким и надо объективно оценивать риски, а также возможности координально повлиять на ситуацию. Я так понимаю на сайтах не включенных в список лежащий на госуслугах браузер упомянутые корневые сертификаты не применяет. В чем тогда проблема с яндекс браузером?
Насчёт Сбера согласен, а яндекс браузер удобен на телефоне. На компе - согласен, говнище полное.
У меня из-за него был сбой с разрешением экрана (очень странная история) на старом ПК с х32. Пару месяцев не мог понять, в чём дело, а переустановка винды перенесла браузер и проблему :).
Потом переустановил на х64, и всё заработало. Браузер, конечно, снёс, установил хром и лису.
«Роскомсвобода»: в случае необходимости только «Яндекс Браузер», «Сбер»: нужно ставить сертификаты на каждое устройство