Комментарии 116
А как там с яблоками?)
Кто-нибудь пользуется этим rust ore, или по старинке качаете apk-шки с сайта банков?
Автор, сделай опрос, пж...
прикольная автозамена, случайно так вышло :)
Нерепрезентативно тут выйдет. Я его ставлю всем родственникам. Как раз как надежный источник для обновлений приложений банков.
Как раз как надежный источник
Источник-то, надёжный... Но, кажется, отравленный.
Отравленный чем?
А что в нем отравленного? И что посоветуете вместо него?
Образ пользователя: женщина, 48 лет. Работает в бухгалтерии гос чего-то там. Должность рядовая. Уровень компьютерной грамотности ожидаемый и средний: Фоточки лайкать умеет, 1с пользоваться умеет, детям видео на ютубе включит, в играх три-а-ряд профессионал экстра класса.
Решаемая задача: Пользоваться Сбером. Переводы, вклады, кредит, зарплата.
А что в нем отравленного?
Гм... Программа, имеющая права на установку приложений на вашем телефоне, насильно на законодательном уровне устанавливаемая государством, от аффилированного разработчика. Я, в самом деле, не знаю что тут может пойти не так?
Решаемая задача: Пользоваться Сбером
Ну, с моей точки зрения тут ошибка ещё в постановке задачи.
гос чего-то там
А, тут можно не напрягаться. Рустор здесь не самая главная беда...
И что посоветуете вместо него?
Где-то тут в тредах предложили китайский магазин.
Я и говорю что на Хабре нерепрезентативная выборка.
Обычным людям нужна приложенька Сбера. У них там зарплата, накопления, кредиты и перевод на карту Сбера как оплата мелкому бизнесу. Переводить куда-то сложно, не хотят, да и смысла нет. Привыкли, удобно. Чего суетиться?
Вот для таких людей Рустор это лучшее решение из доступных. Непонятный китайский магазин со всех сторон хуже. Ручная установка апк с хотя бы какой-то проверкой подлинности приложеньки далеко за гранью их возможностей.
Я и говорю что на Хабре нерепрезентативная выборка.
В смысле, здесь больше людей хоть что-то знающих о безопасности? Ну, да, больше.
Вот для таких людей Рустор это лучшее решение из доступных.
Ну, ок, вот только что вы станете делать когда эти самые люди, которым вы установили рустор, прийдут к вам с вопросом, - а где мои деньги, - или, - а почему на данные моего паспорта взяли три ипотеки? Или, - что это за "интересные" приложения внезапно появляются на моём телефоне? - Или, - а что это телефон за меня голосует на госуслугах за нанесение ядерного удара по соседней стране и подписывает за меня согласия на службу по контракту?
Лучшее решение!
Непонятный китайский магазин со всех сторон хуже
Не знаю что там со сберкой, а тинёк предлагает скачать их приложение из магазинов от хуавея, сяоми и самсунга (йеп, и рустора, конечно).
Ручная установка апк с хотя бы какой-то проверкой подлинности приложеньки далеко за гранью их возможностей.
Поэтому, пусть рустор ставит всё, что захочет? - отличное решение! :)
ПС как тут уже написали, если приложение уже было установлено, то проверки выполнятся и для скаченной apk-шки при апдейте.
Ну, в общем, я бы не рискнул ставить рустор своими руками доверяющим мне людям. Как и какой-нибудь "госсертификат" удостоверяющего центра. Хотя, "удобно", да.
Вы сами-то как оцениваете вероятность всех этих ужасов? И как оцениваете увеличение опасности с учетом что у среднего человека установлена пачка приложенек от Яндекса, что-нибудь от ВК и Госуслуги на сдачу? Разрешения выданы обычно по умолчанию. Что попросили то и выдали. Да-да это опять удобно, привычно, нормально работает зачем ему менять.
Я оцениваю вероятность как ноль плюс эпсилон, увеличение опасности строго как ноль. И смысл людям страдать?
А вот увеличение безопасности денег по сравнению с установкой банковских приложенек из других источников я оцениваю как значительное. Опять общий уровень компьютерной грамотности, понимание векторов атаки и всё такое. Учить этому обычного человека бесполезно. Оно ему не нужно.
Или, - а что это телефон за меня голосует на госуслугах за нанесение ядерного удара по соседней стране и подписывает за меня согласия на службу по контракту?
То есть вместо того, чтобы просто на беке в базе гу поставить за вас согласие, злодеи будут собирать затрояненную сборку госуслуг, потом заставят русторе выложить эту сборку, дождутся когда обновление всем запушится и только после этого начнёт выдавать согласие? Вот это у вас там фантазии, да.
То есть вместо того, чтобы просто на беке в базе гу поставить за вас согласие, злодеи будут собирать
Пока ещё "злодеи" пытаются сохранить видимость действия законов и действительно зачем-то сгоняют бюджетников на "голосования" и устраивают вбросы и карусели. А для важных дел на госуслугах требуют подписывания с помощью ЭЦП. Мне сложно понять почему они всё ещё устраивают этот цирк с конями, но реальность пока именно такая, а не иная. Ничего не могу с этим поделать.
потом заставят русторе выложить эту сборку, дождутся когда обновление всем запушится и только после этого начнёт выдавать согласие?
Зачем "потом"? Это всё делается заранее. А про "заставят" - это вы смешно сказали. Что скажут, то и будет сделано. VK подконтрольна, продукт независимой компании "злодеи" не станут тянуть аж в закон.
Вот это у вас там фантазии, да.
А вы правда считаете, что все эти выпуски "госсертификатов" от левого CA, принудиловки с рустором и запретом техники на которую не ставятся так просто трояны - это исключительно для вашего удобства? Вот это у вас там незамутнённость, да-а! :)
А вы правда считаете, что все эти выпуски "госсертификатов" от левого CA, принудиловки с рустором и запретом техники на которую не ставятся так просто трояны - это исключительно для вашего удобства?
Нет, я считаю, что это от безысходности, потому что CA из trusted root чота не торопятся выпускать сертификаты. Как и принудиловка с рустором.
я считаю, что это от безысходности, потому что CA из trusted root чота не торопятся выпускать сертификаты
И имеенно от безысходности Russian Trusted Root CA выдан якобы НУЦем, не имеющим собственной же аккредитации в качестве УЦ. Ну, смешно же.
Как и принудиловка с рустором.
А к какой безысходности имеет отношение принудиловка с рустором (и запрет в госке использовать телефоны на которые не поставить так просто трояна)?
Вот, правда, вы верите, что это для того, чтобы гражданам стало удобнее? Вот, тем самым гражданам, которым регулярно делают неработоспособным половину интернета? Вот, серьёзно?
И имеенно от безысходности Russian Trusted Root CA выдан якобы НУЦем, не имеющим собственной же аккредитации в качестве УЦ. Ну, смешно же.
А через кого вы бы предпочли чтобы РФ сертификаты сделала? Бигтех делать не хочет. Значит будете делать какая-то гос структура. Без сертификатов никак нельзя.
Делать надо быстро, год думать и получать аккредитации не выйдет.
А к какой безысходности имеет отношение принудиловка с рустором (и запрет в госке использовать телефоны на которые не поставить так просто трояна)?
Самое прямое. Обычный человек купивший телефон в обычном магазине магазине не должен платить кому-то за установку, например, приложеньки Сбера на него. И не должен рисковать деньгами ставя его из непонятных источников.
Заставить всех продавцов бесплатно поставить доверенный магазин приложений в котором есть доверенные приложеньки банков это разумный выход. Он на самом деле повышает удобство людей и на самом деле добавляет безопасности людям. Кому не надо может удалить. Возможность удалить это важно.
Вот, тем самым гражданам, которым регулярно делают неработоспособным половину интернета?
Крайний раз я понмю во времена войны с Телеграмом такое было. Не особо регулярно на самом деле.
За такое мы заслуженно шеймим, так делать не надо. Но при чем тут разумные и правильные действия повышающие безопасность людей и дающие им возможность нормально и безопасно пользоваться привычными и нормальными банками?
А через кого вы бы предпочли чтобы РФ сертификаты сделала?
Предпочёл бы, чтобы через нормальные CA, конечно. А вы?
Значит будете делать какая-то гос структура.
Вы представляете себе почему эта система устроена именно так, а не иначе?
Делать надо быстро, год думать и получать аккредитации не выйдет.
В стране минимум 47 аккредитованных УЦ.
И не должен рисковать деньгами ставя его из непонятных источников.
А почему я должен рисковать, получая трояна на свой телефон и MitM в сертификатах?
Крайний раз я понмю во времена войны с Телеграмом такое было. Не особо регулярно на самом деле.
обана! а лицокнига, стало быть не блочится? И инстаграмм? И половина диджитал оушена? И протон? И ещё дофига всего? И VPNы регулярно не отстреливаются? О-ля-ля! Да вы реально в сказке живёте!
Но при чем тут разумные и правильные действия повышающие безопасность людей и дающие им возможность нормально и безопасно пользоваться привычными и нормальными банками?
Перечитайте. Я всё написал достаточно доступным языком.
Предпочёл бы, чтобы через нормальные CA, конечно. А вы?
Они отказались делать.Бывает. Что дальше по вашему плану?
Заодно вскрылась грандиозная проблема всей системы выдачи сертификатов. С ней теперь надо что-то делать.
А почему я должен рисковать, получая трояна на свой телефон и MitM в сертификатах?
Вы ввели какую-то новую переменную. Мы вроде про Стор и про сертификаты которые отлично работают без установки в хранилище телефона. Ну вон чтобы не думать Яндекс Браузер поставьте и все. Это кстати и рекомендуется на всех госсайтах. Установка в основное хранилище идет дальше, если ЯндексБраузер не подходит. Я не вижу даже желания попадать в доверенные сертификаты на телефоне.
В стране минимум 47 аккредитованных УЦ.
Точно? И все в основных браузерах в доверенных? Покажите списочек. Он публичный.
обана! а лицокнига, стало быть не блочится? И инстаграмм? И половина диджитал оушена? И протон? И ещё дофига всего? И VPNы регулярно не отстреливаются? О-ля-ля! Да вы реально в сказке живёте!
Вот честно на полинтернета не тянет. Пообщайтесь с людьми хоть немного. Единственное что на самом деле заметили это Инста. И то потому что там бизнес и селебы сидели массово.
Я естественно против большей части блокировок. За редким-редкими исключениями. Например, фишинг особенно качественно сделанный стоит в начале блокировать а потом искать и сажать тех кто его сделал. Но преувеличивать про полинтернета не надо.
Что дальше по вашему плану?
За то, что дальше дают срок.
Заодно вскрылась грандиозная проблема всей системы выдачи сертификатов.
Никак нет. "Вскрылась" грандиозная продуманность системы выдачи сертификатов. И причина по которой во всём мире это не делает "какая-то госструктура". Но вы не поняли и считаете, что в кованых сапогах в систему доверенных сертификатов - это нормально. (Слово "доверенные" выделено неспроста, если что)
Вы ввели какую-то новую переменную. Мы вроде про Стор и про сертификаты
Какую переменную? Рустор - это дыра. Сертификат - это MitM.
сертификаты которые отлично работают без установки в хранилище телефона. Ну вон чтобы не думать Яндекс Браузер поставьте и все.
MitM будет в Яндекс браузуре. "И всё", ага. Я знаю, что Яндекс подсластил эту пилюлю и для сертификатов, подписанных этой пакостью у браузера особые правила и зараза теоретически отрезана от нормального мира. И ещё знаю, что Яндекс уже отжали у Воложа и решается каким же именно способом его "национализировать". Как вы думаете, после перехода в руки госки, насколько быстро из браузера выпилят песочницу для этого сертификата?
Я не вижу даже желания попадать в доверенные сертификаты на телефоне.
В самые интересные места на телефоне вы ходите из браузера. А для остального рустор всё сделает за вас.
Точно?
Точно 47. Я пересчитал.
И все в основных браузерах в доверенных?
Речь не о браузерах, а об аккредитованных УЦ. Вы, кстати, можете на минуточку задуматься о том почему именно ни один из аккредитованных УЦ не стал выпускать ЭТОТ сертификат и понадобился левый УЦ в нарушение собственных же законов.
Вот честно на полинтернета не тянет.
То есть всё нормально - расходимся?
Als die Nazis die Kommunisten holten, habe ich geschwiegen; ich war ja kein Kommunist.
Пообщайтесь с людьми хоть немного.
А зачем? Какое мне дело до "людей" которые свято уверены, что блокируют только ЦП, тк никогда не вылезали из одноглазников? Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.
Я бы даже сказал не temporary Safety, а мнимой.
Но преувеличивать про полинтернета не надо.
Als sie die Juden holten, habe ich geschwiegen; ich war ja kein Jude. (Когда они пришли за евреями,
я не возмутился.
Я не был евреем.)
Но вы не поняли и считаете, что в кованых сапогах в систему доверенных сертификатов - это нормально
Именно что доверенных. Есть какие-то сомнения что сайт Сбера настоящий? Нет, нету. Есть подозрения что его скамеры захватили? Тоже нет. Есть подозрения что такого банка вообще нет и это мошенники? И опять нет. Значит сайт доверенный и настоящий.
Сертификаты это базовая инфраструктура интернета. Без которой он не работает. Не надо ее ломать из-за политических пристрастий. Это вызывает проблемы у всех и расходы на построение другой базовой инфраструктуры. И потом еще и расходы на поддержку этой новой инфры.
Какую переменную? Рустор - это дыра. Сертификат - это MitM.
Доказательств естественно не будет? Я так и знал.
Других решений понятных технических проблем от вас тоже не будет? Я тоже так и знал.
Если бы никто не занимался ерундой с выпиливанием приложенек банков из сторов и невыдачей сертификатов обычным сайтам банков, то я бы с вами согласился. Оно все не нужно. Но увы, в существующем мире оно стало необходимо.
Речь не о браузера
Это другое (с) На самом деле другое. Те кто выдают подписи с сертификаты ЭЦП понятия не имеют как работать с сайтами. Да и не хотят этого делать. Там общее только слово в названии, все остальное разное.
С политикой идите на более подходящие площадки. На Хабре стоит обсудить как бы вы решили эти технические проблемы. Текущие решения могут быть не идеальными, но других вы не предлагаете. Значит будем жить с текущими.
Именно что доверенных
Ну, я же просил подумать почему ни один из доверенных CA не выпустил этот сертификат и понадобилось создавать специальный неавторизованный CA.
Есть какие-то сомнения что сайт Сбера настоящий?
Есть ли в вас сомнения в том, что фишинговый сайт, похожий по расцветке на сайт сберки и использующий какой-то сертификат выпущенный левым удостоверяющим центром не имеющим аккредитации - настоящий?
Нет, нету.
Вот я и говорю, что вы незамутнёный ))
Сертификаты это базовая инфраструктура интернета. Без которой он не работает.
Именно так. И именно поэтому сертификатам левых мутных контор не доверяют. И именно поэтому ни один CA, которому доверяют не взялся выпустить ЭТОТ сертификат. Потому, что ему перестанут доверять.
Не надо ее ломать из-за политических пристрастий.
Причём здесь политика? Это вопрос именно доверия. Если вам важна именно политика, то вспомните обещание выданное сами-знаете-кем 21-го февраля 2022. И что было сделано 22-го. О каком доверии ко всему, что имеет к этому отношение после этого может идти речь?
Доказательств естественно не будет?
Доказательств чего? Что рустор может установить вам любые приложения? Посмотрите список его разрешений. Что с помощью рутового сертификата левой конторки не входящей в сеть доверенных центров сертификации можно организовать MitM? Прочтите, наконец, спецификацию.
Это другое (с) На самом деле другое. Те кто выдают подписи с сертификаты ЭЦП понятия не имеют как работать с сайтами. Да и не хотят этого делать. Там общее только слово в названии, все остальное разное.
Ещё раз намекаю, что вам не мешало бы для начала разобраться как работает эта система.
С политикой идите на более подходящие площадки.
Кроме вас политику тут никто не тащит.
но других вы не предлагаете.
Предложил, но вы их игнорируете.
Значит будем жить с текущими.
Да и живите. Главное, другим эту дурь не продавайте. Что будет в результате я вам уже показал.
Я все равно не понимаю к чему вы клоните.
Функция сертификата чисто техническая. Он удостоверяет что вам ответил сервер которому это разрешил владелец сертификата. Точка.
Функция того кто выдает сертификат тоже чисто техническая. При выдаче проверить что сертификат получает тот кто может решать какой сервер должен отвечать с этого домена а какой не может.
Сертификаты бывают разные. На обычной бумаге бесплатно, на гербовой платно, со стразами дорого. Тот кто его получает сам решит что ему надо. Функционально они одинаковы.
При чем тут ваши пространные рассуждения я не понимаю.
Нож режет, молоток бьет, пистолет стреляет, магазин приложений ставит приложения. Что дальше?
У меня нет воззрений. У меня rfc и понимание как работает техническая инфраструктура интернета. Ну и нежелание ее переделывать. Если надо то переделаем, но хотелось бы заняться чем-то более полезным.
Функция того кто выдает сертификат тоже чисто техническая. При выдаче проверить что сертификат получает тот кто может решать какой сервер должен отвечать с этого домена а какой не может.
Мне здесь видится нюанс. Не просто "при выдаче проверить что сертификат получает тот кто может решать какой сервер должен отвечать с этого домена", а еще и гарантировать это в процессе. И в случае компрометации сертификата (попал в чужие руки) оный сертификат отозвать, чтобы браузеры начали показывать предупреждения.
Согласны?
Гарантировать такое они не могут. Механизма нет. А вот отозвать сертификат по заявлению того кто может распоряжаться доменом конечно надо.
Все могут продолбать приватный ключ. Механизм отзыва есть и работает.
Вы уверены, что УЦ может отозвать сертифкат исключительно "по заявлению того кто может распоряжаться доменом"?
Эта причина, скорее всего, наиболее вероятная. Но мне кажется, есть и другие.
Я, пожалуй, размещу здесь первый попавшийся скриншот. Возможно вы увидите на нем что-то неожиданное.
УЦ тоже свой приватный ключ продолбать может. Тогда надо отзывать все выданное им. Вроде логично.
Гарантии, компенсации, деньги это все к юристам. Я не в курсе.
Отзыв без желания владельца домена и без форс-мажора с потерей какого-нибудь важного ключа это даже звучит странно. Все же работает как и задумывалось, зачем суетиться? Сертификаты это все еще техническая инфраструктура интернета. На работу с ними должны влиять только технические причины.
Я все равно не понимаю к чему вы клоните
К тому, что есть разница кем подписан сертификат. Сертификат, которому доверяют подписывается доверенным удостоверяющим центром. Ключевое слово - доверенным.
Функция сертификата чисто техническая. Он удостоверяет что вам ответил сервер которому это разрешил владелец сертификата. Точка.
Именно. Думаейте лальше вот в эту сторону - любой владелец любого сайта выпускает сертификат для своего сайта. Я сделал фишинг сайт сберки и выпустил сертификат, удостоверяющий, что это сайт сберки.
Функция того кто выдает сертификат тоже чисто техническая. При выдаче проверить что сертификат получает тот кто может решать какой сервер должен отвечать с этого домена а какой не может
Не так. УЦ лишь удостоверяет, что ваш сертификат принадлежит вам. И подписывает ваш сертификат. Браузер проверяет по цепочке есть ли самый корневой УЦ в его списке. Списке доверенных УЦ. Тех, кому доверяют (обана, вы снова видите это слово - тот, кому доверяют!) А те, кому доверяют, в свою очередь, стараются сделать так, чтобы им доверяли (чорд, снова это слово - может быть оно здесь неспроста) и впредь, поэтому проверяют, что сертиикат, который они подписали и впрямь принадлежит тому, кто его выпустил. В этом месте задержитесь - что будет, если хацкер Вася Пупкин сгенерит сертификат для домена google.com, а УЦ его подпишет? А будет весело - сайт Васи может фишить гугла и браузер на это не возьудится (там немного сложнее, но примерно). Какое-то время. Но когда всё вскроется, сертификат поместят в список отозванных, а с УЦ будет разборка вплоть до удаления из списков доверенных (што? Снова это ненавистное тоталитарным властям слово?).
При чем тут ваши пространные рассуждения я не понимаю.
Ну, напрягитесь, уже немного осталось.
Теперь дело за малым - внести левый УЦ, которому никто никогда не доверял и который незаконен даже по собственным законам в списки корневых и можно подписывать им гугловые и все прочие сертификаты. Как с этим осуществить MitM атаку сообразите?
Ну и нежелание ее переделывать
Это и есть переделка самой сути и духа системы доверенных УЦ, которые "ломают интернет" для пользователей.
хотелось бы заняться чем-то более полезным.
Посадками? Не сомневаюсь.
Я все еще не понял как вы перешли от чисто технической задачи «Проверить что Вася запросивший сертификат имеет права на тот домен на который он его запросил. Если имеет выдать, если не имеет не выдавать» к вот этим всем рассуждениям. Кажется вы пропускаете какое-то звено.
УЦ сделали чтобы можно было работать в условиях когда чисто техническую задачу по обеспечению базовой интернет инфраструктуры превратили черти во что. Сделали довольно прилично кстати. Даже CT лог на минималках запилили. Прозрачность на нормальном уровне. Есть что улучшить (CT лог доделать по всем стандартам), но в целом нормально. Не надо было такой ерундой заниматься и не надо было бы УЦ делать.
Кого вы сажать хотите я не знаю. Я сервисы делаю. Полезные.
Я все еще не понял как вы перешли от чисто технической задачи «Проверить что Вася запросивший сертификат имеет права на тот домен на который он его запросил. Если имеет выдать, если не имеет не выдавать» к вот этим всем рассуждениям.
Ну, видимо, вам и не судьба, раз не получилось даже после того как всё разжевал.
Кажется вы пропускаете какое-то звено.
(веселясь) да, нет. Это вы пропускаете. И не одно. Например сормы. Или закон яровой. Или, вот вы сами вспоминали войну с телеграммом - никогда не задумывались зачем вашим понадобились "ключи от телеграмма"? Нет? Ну, божья роса.
УЦ сделали чтобы можно было работать в условиях когда чисто техническую задачу по обеспечению базовой интернет инфраструктуры превратили черти во что.
Кто превратил? И почему? А я ведь не менее двух раз предлагал вам подумать отчего во всём мире УЦ не являются госструктурами. Нет, так и не подумали? А еще предлагал подумать и тоже не менее двух раз почему существующие УЦ не выпустили этот сертификат. Тоже так и не? А на этот случай я одно такое специальное слово и болдом выделял и каждый раз ваше внимание на него обращал... Всё равно нет? Слишком неудобное слово? Чего же вы тогда притворяетесь, что не поняли меня? Всё вы прекрасно поняли.
Не надо было такой ерундой заниматься и не надо было бы УЦ делать
Какой-какой ерундой, говорите? Ну, же, я весь во внимании!
Я сервисы делаю. Полезные.
В роскомпозорерто? Угу. Полезные. Передавайте привет тому товарищу майору, которому они полезные.
Я опять не понимаю как вы от задачи выдать сертификат Сберу перешли к сормам и телеграму. Вы кажется опять что-то пропустили в своих рассуждениях.
Делать УЦ по другому долго. А проблему надо было решать быстро. Ломать крупные банки нельзя, это вроде очевидно. Со временем УЦ стоит перевести в какое-нибудь специальное НКО. Ничего не имею против.
Я не в Роскомнадзоре работаю, если что. Сервисы для людей делаю. Вероятно для вас тоже.
Делать УЦ по другому долго.
Товарищ майор. Существует 47 УЦ, вам уже докладывали. Ни один из них не взялся связываться с этой историей. Это в нынешних условиях несколько удивительно, но говорит в пользу того, что система сертификатов учтроена продуманно. Если её не ломать.
А вот если ломать и систему и нарушать собственные законы - тут только очевидная причина может быть. И не делайте вид, что она вам неизвестна. Не в том вы звании.
Сервисы для людей делаю. Вероятно для вас тоже
Надеюсь, что меня никогда не принудят ими пользоваться, тов. майор.
Я так и не понял о каком майоре вы говорите. Старайтесь меньше говорить загадками, вас тяжело понять.
Я вам уже писал. Что те УЦ это другое. Совсем другое. Нет вообще ничего общего между ЭЦП людям и фирмам и сертификатами для сайтов. Это разная деятельность которую ведут разные фирмы.
Я и выступаю за то чтобы не ломать систему сертификатов. Например, выдавать сертификаты сайтам крупных банков. Как я понимаю ваши тексты как раз вы хотите эту систему сломать. Может я и ошибаюсь, вы очень много говорите загадками.
Принуждение? Фу. Такое не интересно делать. Интересно быть настолько хорошим что к тебе пользователи сами идут.
Я так и не понял о каком майоре вы говорите
Продолжайте товарищ майо, продолжайте... Я понимаю, вам это для отчёта надо.
Я вам уже писал. Что те УЦ это другое. Совсем другое.
Ниетъ
Нет вообще ничего общего между ЭЦП людям и фирмам и сертификатами для сайтов.
Ну, я же, вроде бы расписал весь процесс как для прапорщиков, отчего же майор не понял? "Эцп людям и фирмам" и "сертификат для сайтов" это одно и то же. Пара ключей + метаинформация. И проверяются и подписываются они одним и тем же образом.
Я и выступаю за то чтобы не ломать систему сертификатов.
Вы выступаете за то, чтобы её сломать - подписывать сертификаты не доверенными центрами, а центрами не только не взодящими в доверенные, но и напрямую нарушающими местное законодательство.
Как я понимаю ваши тексты как раз вы хотите эту систему сломать. Может я и ошибаюсь, вы очень много говорите загадками.
Я напрямую сказал не менее трёх раз почему данная система ломает систему сертификации. Перечитайте. Или вы из тех, кто так и не понял, что "ключей от телеграмма" не существует и Павел Дуров "говорит загадками"? Ага. Всё вы понимаете. И стыда не имеете.
Интересно быть настолько хорошим что к тебе пользователи сами идут
Не дай боже мне так оголодать.
Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.
Оно разное со всех сторон зрения. Генерация ключа и заполнение полей сертификата это даже не 1% работы. Просто поверьте.
Я вроде уже писал откуда и зачем появился этот УЦ.
В начале кто-то решил поломать устоявшуюся техническую систему выдачи сертификатов. И теперь у крупного банка проблема с получением сертификатов на свои сайты. Банк при этом выполняет все технические правила для получения сертификата, он точно все делает нормально и интернет не ломает.
В ответ логично сделать другую систему сертификации, чтобы такое не повторялось. Крупные банки нельзя ломать никому. В смысле вообще никому. Я подозреваю что сейчас многие озаботились наличием УЦ в своей юрисдикции. Просто на всякий случай. Как теперь доказано случаи разные бывают и лучше подстраховаться заранее.
Сделали скорее быстро чем хорошо. Но это понятно. Надо было быстро. Крупный банк без сертификата работать не может, а за ним десятки миллионов человек. Сейчас стоит доделать хорошо. Я только за. Делать хорошо никогда не поздно. И УЦ выделить в отдельное НКО и CT логи сделать и заявки подготовить на добавление в доверенные. Все это стоит делать постепенно.
При чем тут майоры, телеграмм и ключи я так и не понял. Если вы проясните как это связано связано с получением обычного сертификата Сбером буду благодарен. Может я чего-то не знаю о том как https работает.
Был бы кейс Казахстана я бы понял. Но тут прямая реакция на слом системы сертификатов в интернете. До этого никто с УЦ не шевелился особо. И это разумно. Зачем делать лишнюю работу?
Оно разное со всех сторон зрения. Генерация ключа и заполнение полей сертификата это даже не 1% работы. Просто поверьте
Ви таки не поверите, но именно этой оставшейся работой УЦ и занимаются. А вы даже не понимаете кто генерит ключи и заполняет поля. Это только полковникам сообщают?
В начале кто-то решил поломать устоявшуюся техническую систему выдачи сертификатов
Ух, ты! И кто же этот вредитель? Я, кажется, у вас уже спрашивал. Опять не ответите?
Сделали скорее быстро чем хорошо. Но это понятно
Да, нет, сделали именно "хорошо". Нарушив собственные законы. И сломав всю логику работы системы сертификации. Ай, молодцы! Звания внеочередные, видать, получили. Многие напрасно, вот, как вы.
заявки подготовить на добавление в доверенные
И кто ж им доверит? Вы, что ли? Им даже Яндекс не доверяет и ходит по ним огороженно.
Может я чего-то не знаю о том как https работает
Мы уже выяснили, что не знаете. Совсем.
Был бы кейс Казахстана я бы понял
И в чём же разница, а, майор?
Я как раз понимаю как выдаются ЭПЦ и почему сертификаты для сайтов это другое. А вы зачем-то лезете в технические детали. Они там не важны. Это технически простое действо. Там все сложности в других местах. И они разные для сертификатов сайтов и для ЭЦП.
Ну начнём с тех УЦ которые отказались сертификаты банку выдавать. Продолжить можно теми кто на них вероятно надавил. Эти люди сами не понимают что ломают большую, неплохую систему. Ну ладно, построим другую. Не в первый раз.
Все верно. Доверие в пределах публичного CT лога. Это хорошая и правильная система. Что-то такое вероятно и придет на смену текущей. Выглядит безопаснее и надежнее текущей. Решается некоторая часть проблем.
Казахские сайты могут получать сертификаты. Делать УЦ смысла нет. Разве что обычный бизнес на выдаче сертификатов поднимать, но там на обычный бизнес не похоже было.
Про майора уточните все таки. Не понимаю. Я даже не рядовой. От таких структур я максимально далеко.
Я как раз понимаю как выдаются ЭПЦ и почему сертификаты для сайтов это другое.
Судя по тому, что вы настойчиво утверждаете, что сертификаты кто-то там выдаёт, абсолютно не понимаете.
Там все сложности в других местах. И они разные для сертификатов сайтов и для ЭЦП.
Никак нет. Абсолютно одинаковые. Всё что нужно - это подтвердить идентичность заявителя тому, что он заявил.
Ну начнём с тех УЦ которые отказались сертификаты банку выдавать. Продолжить можно теми кто на них вероятно надавил.
А чего это они отказались выдавать? Из вредности, да?
Это хорошая и правильная система.
Это не хорошая и не правильная система, полностью противоречащая самой идее доверенных сертификатов. Не зря ей даже ЯндексБраузер не доверяет, хотя частично вынужден поддерживать это уродство.
Казахские
Так в чём разница с казахским MitMом?
Про майора уточните все таки.
Да, пожалуй, на майора вы не тяните )) https://music.yandex.ru/track/35778565?playTrack=35778565&from=serp_autoplay
Ну подтвердили. Что дальше? Я вот сам себя подтвердил и себе выдал на свой сайт. И толку?
Я не знаю почему отказались. Банк есть, сайт настоящий. Причин не выдавать штуку без которой их сайт работать не может не видно. Но это в целом и не важно. Это сломало систему без которой интернет работать не может и значит пора делать новую.
Я рядом писал что транслокальность (в прошлый раз ошибся со словом) это выход. И в тренде современного развития. Каждая страна сама выдает сертификаты на национальный домен. И нет проблем. Рядом живет 100500 ненациональных корневых доменов. Они пусть живут по любым другим правилам, разнообразие это хорошо. RFC писать еще рано, а вот первые встречи бигтеха для первоначального обсуждения уже можно собирать.
Доверенный сертификат = сертификат который говорит что вам ответил сервер который имеет на это право на взгляд того человека который владеет сертификатом. Точка. Я не понимаю зачем вы ищите какие-то дополнительные смыслы в техническом протоколе.
Казахстан сразу поймали за руку. Прям через день буквально. Современные системы именно так и работают. Все прозрачно и все видно.
Ну подтвердили. Что дальше?
Дальше у вас сертификат подтверждённый доверенным УЦ.
Я вот сам себя подтвердил и себе выдал на свой сайт.
Именно. Только вашей подписи никто не доверяет и все шлют ваш сертификат нахер.
Банк есть, сайт настоящий. Причин не выдавать штуку без которой их сайт работать не может не видно.
Вы можете как и в предыдущем случае сами подписать банку сертификат. Вот только вас все пошлют нахер.
Это сломало систему без которой интернет работать не может и значит пора делать новую. Это сломало систему без которой интернет работать не может и значит пора делать новую.
Обидно, когда вас, коней в яблоках, все посылают с вашим недоверенным сертификатом нахер? Ну, бывает. Право доверять вашей подписи нужно заслужить. Всякая шваль поганая может сколько угодно прдписывать сертификатч и растопырвать пальцы, только все ее слали и будут слать нахер. Вы сядите играть в карты с шулером его колодой? А я нет.
Доверенный сертификат = сертификат который говорит что вам ответил сервер который имеет на это право на взгляд того человека который владеет сертификатом. Точка.
Ну, подпишите сертификат сберки своей подписью, делов-то? В чём проблема, если это чисто техническое дело? Всем нет никакого дела, что какая-то фейковая шарашка созданная с нарушением даже собственного законодательства, считает, что сертификат сберки принадлежит сберке. Завтра она посчитает, что сертификат гугломыла принадлежит компании вагнер.
Казахстан сразу поймали за руку. Прям через день буквально. Современные системы именно так и работают. Все прозрачно и все видно.
И вас тоже поймали. О том и речь. Система работает и работает на отлично. Все шлют фейковые подписи фейковых сертификатов нахер. И это правильно. Вам не удастся сломать интернет, капитан. Его не в вашей конторе глубокого бурения придумали.
Крайний раз я понмю во времена войны с Телеграмом такое было. Не особо регулярно на самом деле.
Шутите? У меня прямо вот сейчас дофига и больше сайтов не работает, например гугловские плей стор и консоль к нему. Я VPN уже практически не отключаю (и то его блочить пытаются уже). Да и наш сайт временами на заблокированные IP попадает (мы за cloudflare сидим). Однажды чуть ли не целый день пользователи к нам зайти не могли. А посещаемость у нас не то чтобы большая, но и не маленькая, 300к+ юзеров в сутки.
А как вы планируете обеспечивать чтобы продавцы ставили рустор для параллельного импорта? Разблокировать загрузчик и кастомные прошивки накатывать? Чет так себе идея.
А как вы планируете обеспечивать чтобы продавцы ставили рустор для параллельного импорта? Разблокировать загрузчик и кастомные прошивки накатывать? Чет так себе идея.
Просто apk установленный руками продавца уже закроет большую часть потребностей. Зачем вы какие-то сложности придумываете?
Шутите? У меня прямо вот сейчас дофига и больше сайтов не работает, например гугловские плей стор и консоль к нему.
Если заблокируют Плей Стор вы об этом узнаете примерно через 10 наносекунд. Проверьте у себя все. Плей Стор работает.
Просто apk установленный руками продавца уже закроет большую часть потребностей. Зачем вы какие-то сложности придумываете?
До входа в юзерскую учетку его не установить. В учетку люди входят обычно уже дома. И речь идет о предустановке. Перечитайте новость (там к слову вообще про производителей, что бред, ибо большАя, если не бОльшая, часть девайсов оффициально не поставляется).
Если заблокируют Плей Стор вы об этом узнаете примерно через 10 наносекунд. Проверьте у себя все. Плей Стор работает.
Речь не про апи к приложению плей стора, а про сайт. play.google.com — к нему доступ то пропадает, то появляется. Большую часть времени отсутствует. Временами и другие ресурсы гугла отваливаются.
Про cloudflare я так понимаю возражений нет?
До входа в юзерскую учетку его не установить. В учетку люди входят обычно уже дома. И речь идет о предустановке. Перечитайте новость (там к слову вообще про производителей, что бред, ибо большАя, если не бОльшая, часть девайсов оффициально не поставляется).
Провод + ADB. Даже я далекий от мобильной разработки знаю про основные приемы.
В данном случае я читаю слово официально как официально сточки зрения России. А не с точки зрения производителя. Тогда все сходится. Открыть коробку установить и переупаковать как было умеют наверно все крупные импортеры.
Про cloudflare я так понимаю возражений нет?
Это треть интернета. За ним есть примерно все. Там 100% есть что-то заблокированное. И 100% эти блокировки не ковровые задевающие все подряд в большом числе как во времена борьбы с Телеграмом.
Речь не про апи к приложению плей стора, а про сайт. play.google.com — к нему доступ то пропадает, то появляется. Большую часть времени отсутствует. Временами и другие ресурсы гугла отваливаются.
У меня такая же нога и не болит. Только что специально проверил без всего. Но вот этот сайт я допускаю. Это незаметно примерно ни для кого из пользователей. Новостей из каждого утюга может не быть.
Провод + ADB. Даже я далекий от мобильной разработки знаю про основные приемы.
Без включенной отладки по adb (которая включается юзером в developer settings, которые еще активировать надо), а затем подтверждения юзером доверия к ключу — девайс на попытки что то сделать будет реагировать ровно никак. Да и если бы реагировал — при логине пользователя задается ключ шифрования для данных пользовательских. Соответственно пока он не создан — ничего не запишешь. Иначе бы кучу людей давно бы уже ловили за то что они девайсы в магазинах при продаже троянят.
Это треть интернета. За ним есть примерно все. Там 100% есть что-то заблокированные. И 100% эти блокировки не ковровые задевающие все подряд в большом числе как во времена борьбы с Телеграмом.
Есть что то заблокированное, да, вопрос законности этих блокировок оставим. Только вот блок не по домену (что логично было бы, а по IP часто). Соответственно страдают и те кто даже с т.з. упоротых законов перед ркн чисты.
Без включенной отладки по adb (которая включается юзером в developer settings, которые еще активировать надо), а затем подтверждения юзером доверия к ключу — девайс на попытки что то сделать будет реагировать ровно никак. Да и если бы реагировал — при логине пользователя задается ключ шифрования для данных пользовательских. Соответственно пока он не создан — ничего не запишешь.
Включаем отладку - ставим - выключаем отладку - запаковываем как было. Не уверен что автоматизируется полностью, но в целом выглядит недорого. +500р к цене телефона.
Только вот блок не по домену (что логично было бы, а по IP часто).
Я не в курсе как блокировки технически устроены. Можно предположить что у блокирующих лапки.
Провод + ADB. Даже я далекий от мобильной разработки знаю про основные приемы.
Для этого надо сделать первоначальную настройку аппарата. Ну и это будет обычная установка приложения, без системных прав. Зачем извращаться если можно просто ставить руками этот рустор с сайта через WiFi если покупателю он нужен?
А как вы планируете обеспечивать чтобы продавцы ставили рустор для параллельного импорта? Разблокировать загрузчик и кастомные прошивки накатывать? Чет так себе идея.
Продавцы отлично понимают что с теми же самсунгами у которых триггернется от этого кнокс — первый же покупатель который понимает в чем вообще проблема — просто пойдет в АСЦ Самсунга и попросит провести диагностику мол Secure Folder не работает например, после которой получит на руки акт где все расписано (почему то мне кажется что если сказать зачем — распишут максимально подробно) а с ним — в магазин за возвратом денег за продажу нерабочего б/у под видом нового.
С не-самсунгами — разлочить загрузчик так чтобы это было вообще никак не заметно… а так на современных аппаратах можно? Ну и проверялки на рут будут орать на сам факт разблокировки (да да MagiskHide и прочее — но для этого надо чтобы пользователь был сам все так настроил и в курсе был а иначе — любой сервисный центр который возметься подписаться под очевидным актом где сказано что разлочен загрузчик и прошивка неизвестно чья и видимо поэтому — не работает например СБПэй и МирПэй(у СБПэй реально проблемы с рутованым андроидами есть).
Продавцам техники это — очевидно. Именно поэтому они очень врядли пойдут дальше чем навязывание бесплатной(или даже платной) услуги по настройке телефона и установке рустора. С учетом что на это надо время даже если услуга бесплатная — если устанавливающий видит что покупатель резко против — ну попросит акт о выполненных работах подписать и все. Если уже услуга еще и платная — а давно разрешили в нагрузку продавать к товарам еще и обязательные услуги?
При этом (возможно бесплатная) услуга по установке которую продавец обязан оказать по запросу покупателя — вообще закроет почти все реальные вопросы и те кому этот рустор нужен — получат и его и настроенный телефон.
Заставить всех продавцов бесплатно поставить доверенный магазин приложений
Если бы было продолжение "по просьбе клиента" - вопросов бы не было.
А запрет продать телефон без установки, даже если клиент на этом настаивает - про другое.
А через кого вы бы предпочли чтобы РФ сертификаты сделала? Бигтех делать не хочет. Значит будете делать какая-то гос
Если вопрос именно так стоит — пусть Минсвязи официально назначает НУЦ корневым сертификационным центром и этот приказ официально публикуется.
Просто насколько понимаю сейчас — ситуация именно что документа что НУЦ имеет право этот Russian Trusted CA выпускать и выдавать кому то сертификаты — тупо нет.
И при конфликта — суд может сказать чтонибудь вроде — а докажите что это вообще не левый какой то сертификат и что выпускавшие — имели право его выпускать.
Если я ошибаюсь — пожалуйста подробное как для тупой блондинки объяснение на основании каких правовых документов этот Russian Trusted CA существует.
Если я ошибаюсь — пожалуйста подробное как для тупой блондинки объяснение на основании каких правовых документов этот Russian Trusted CA существует.
Он существует ровно на тех же правах что и остальные корневые центры сертификации. Делать по другому это усложнять возможную перспективу его выделения из госструктры во что-то формально независимое и добавление его в доверенные везде.
А о чем вы судиться собираетесь? Ключи утекут и деньги будут потеряны? Так тут обычный договор при получении сертификата все разрулит. А больше причин вроде нет.
Выпускать сертификат имеет право кто угодно. И вы я можем выпустить. В чем вообще проблема? Выгодно делать так чтобы потом не усложнять договоренности с бигтехом о добавлении во все браузеры.
Ограниченное доверие допустим только для .ru домена и общее соглашение что все страны могут сделать такие центры для своих корневых доменов вообще отлично вписывается в современный путь развития. Гиперлокальноть это не только модно, но и разумно и правильно. Микрософт вон вовсю делает уже очень похожие штуки.
И имеенно от безысходности Russian Trusted Root CA выдан якобы НУЦем, не имеющим собственной же аккредитации в качестве УЦ.
О каком именно CA тут речь? О НУЦ минцифры? Он не имеет аккредитации?
А к какой безысходности имеет отношение принудиловка с рустором
К той, где банковские приложения всех крупных банков выкинули из всех сторов и рядовой гражданин не в состоянии их поставить самостоятельно на ведроид из коробки из-за чего крупные банки могут терять ощутимые деньги.
Вот, правда, вы верите, что это для того, чтобы гражданам стало удобнее?
С верой - это вам к попам.
Решаемая задача: Пользоваться Сбером. Переводы, вклады, кредит, зарплата.
Ходят слухи, что Бернард Шоу умудрялся пользоваться Сбером, не имея приложения на телефоне. Говорят, у них интернет-банк есть..
Я его ставлю всем родственникам.
Вы как принц Гарри, вас в семье не любят, поэтому вы всем бэкдоры ставите?
Обновление есть в самом приложении.
Удобно. Свои аппы тоже просто постить.
Юзаю GetApps от китайцев. Через него Сбер обновляю и Тинькофф (второго тоже не так давно выпнули с Google Play).
Вроде только второй остался в этом китайском сторе
Хуавеевское AppGallery, кстати, тоже неплохое. И работает лучше, чем родной от гугла - качает в разы меньшие объемы данных (умнее устроен сам механизм обновлений) и частенько на большей скорости. Плюс умеет параллельно качать одно, а обновлять другое - уже скачанные ранее. Гугл в такой ситуации сидит и ждёт пока доустановится.
Я им пользовался на старте. Когда ввели обязательную регистрацию — удалил)
APK можно качать не только с сайтов банков, а откуда угодно — цифровые подписи обеспечат безопасность — при условии что изначально приложение было установлено из доверенного источника.
Имею на телефоне целую горсть магазинов приложений, в том числе и rustore. С задачей "установить - обновить" он справляется. Пользоваться или нет - уже каждый сам для себя решит.
Предустановка российского магазина приложений будет обязательной, даже в случае запрета или ограничения со стороны правообладателя операционной системы или аффилированных структур.
Можно расшифровать кем и как?
Можно расшифровать кем и как?
Это же не проблема регулятора. Особенно ЭТОГО регулятора.
Импортёром или розничным продавцом.
Да, прикиньте, заказывать сложную технику из-за рубежа (и потом приседать на тему установки gapps / русского языка / окирпичивания девайса в РФ) хотят не только лишь все.
Как я понимаю — тут вот в чем дело.
Условный Samsung имеет с гуглом договор по которому ладно уж имеет право ставить Samsung Galaxy Store в дополнение к Google Play но НЕ имеет право ставить Amazon AppStore например. А если компания поменьше — то или Google Play или левые сторы… причем в рамках всей линейки производителя. Потому что запрет в договоре с Google.
Решение регулятора — именно обход запрета — теперь условный Samsung (и тем более условный Xiaomi) может воткнуть RuStore на том что официально поставляется в Россию и сказать что невиноватая я, меня по закону принудили, обстоятельства непреодолимой силы в смысле решения органов власти. Google после этого придется в суде доказать что в России органы власти нелигитимные в принципе. И где суд рискнет такое решение принять? С учетом что это совсем… другой уровень конфликта.
(я в курсе что Samsung в России сейчас по большей части — серый, я также в курсе про трюк которым Google Play ставится например на eInk-читалках на андроид, тот что с галочкой про установку и показом инструкции к пользователю как это активировать, вот только Play Integrity API на это не очень хорошо реагирует, для читалок то пофиг...)
Не хватает уголовки за выпиливание его из прошивки.
Мейлру стали так пропихивать везде, что похоже этот рустор будет обязательным для установки даже при запрете от владельца гаджета.
Можно к этому относиться по-разному, но абсолютное большинство покупателей будет довольно, что смогут сразу получить нужные для них программы вроде того же Сбербанк онлайн. Потому что даже простая установка того же rustore самостоятельно вызывает кучу сложностей, особенно когда операционная система постоянно пугает при этом.
Вот как только гайки ещё подкрутят и понесутся грозные предупреждения гражданам за использование неправильных программ (vpn всякие) и заходы на неправильные сайты - вот тогда все будут довольны. А рустор - идеальный госшпион для этого.
Одни закручивают гайки и запрещают неправильные программы (банки всякие). Другие закручивают гайки и тоже запрещают неправильные программы (VPN всякие).
А, в это время, обычным пацанам приходится юзать "те самые банковские приложения" через "тот самый VPN", потому, что при попытке доступа к сайтам этих банков из-за пределов РФ трафик почему-то идет через "восточную Европу", где какие-то "четкие пацаны" делают MitM.
Как быть... Как быть..?
Вас не затруднить рассказать поподробнее, как именно делают MitM для Российских банковских приложений в "восточной Европе"?
Хорошо бы с примерами Российских Банковских Приложений с отключенным SSL Pinning для облегчения деятельности "четких пацанов из восточной Европы" и вот это вот все. Очень заинтриговали.
Как именно они это делают, - вопрос не по адресу. Я, как пользователь, видел только симптомы.
Из-за пиннинга сертификатов приложения просто не работают и жалуются на "тот самый" сертификат. А, при заходе на веб версию банковского портала браузер предупреждает о "небезопасной/устаревшей версии протокола SSL, что-то там". При этом, при включении VPN через VPS находящийся в РФ все эти "проблемы" "магически" исчезают.
было бы неплохо посмтреть на сертификат, который "небезопасной/устаревшей версии протокола SSL, что-то там". Пока что это какие-то сказки.
Сказки это только для тех, кто верит в сказки и единорогов. А простые пацаны просто верят своим глазам.
А сертификат я вам тупо не дам, потому что его, походу, генерируют на лету под конкретный клиентский IP, а это слишком большое палево ;-)
А в чём палево перед чёткими пацанами из Восточной Европы? Что они сделают?
Это примерно как использование торрентов в некоторых юрисдикциях) Может прилететь "письмо счастья").
Простите, но я ничего не понимаю. Правда. Каким образом выкладывание поддельного сертификата, использующегося в MitM, может привести к проблемам с законом?
В сертификате же, по идее, только открытые данные, которые могут быть доступны всему миру by design, и в этом нет ничего страшного. Разве нет?
Или вы не хотите "чётким пацанам" давать возможность сопоставить эту учётку Хабра с конкретным IP? Я всё ещё не понимаю, в чём причина, но признаю ваше право не хотеть.
Ну так расскажите поподробнее.
Понятно, что скриншота "чего-то там сертификата" вы не покажете. Хотя и не понимаю, почему бы не показать его публичные характеристики (каким CA выдан и т.п., без fingerprint лично под вас), если вы по прежнему его видите.
Когда, из какой страны, на сайт какого банка вы пытались зайти с таким интересным результатом, вы можете написать?
Перехватывали ли таинсвенные "они" только этот банк, или может быть еще какие-то банки, вообще российские сайты, или же вообще все сайты, в т.ч. локальные?
Я могу написать что видел сие на Госуслугах, Сбере, Альфе. И больше нигде проблем не замечал, но из российских сайтов больше ничем и не пользуюсь. Географически я западнее восточной Европы, так что трафик через восточную Европу идет просто в силу расположения.
Митм не постоянный. Появляется периодически. Потом исчезает. Особо часто было первые месяцев 6 с февраля 22ого.
Методы атак тоже меняются. Были SSL даунгрейд атаки. Были варианты вообще с SSL srip с даунгерейдом до простого HTTP. Были случаи с попытками подмены ДНС.
Вы что-нибудь знаете про CT логи? И про такой замечательный сайтик https://crt.sh/ ?
При заходе на сайт сбера браузер ругается на реальный сертификат сбера так то. Поскольку подписан он сертификатом который только яндекс браузер признает.
В мобильном Хроме ссылка https://online.sberbank.ru/CSAFront/index.do открывается с сертификатом HARICA DV TLS RSA. Без предупреждений.
Если бы в браузере не было корневого сертификата с Госуслуг сайт Сбера бы и через VPN все равно ошибку сертификата показывал. Так что, тут явно не в этом дело.
del
Просто оставлю это здесь)
И для этого есть простейшее решение.
Вот у связного например есть каталог услуг по настройке
Берем и прописываем что любой продавец обязан бесплатно (или за фиксированную какую то цену) по требованию покупателя создать необходимые аккаунты и установить RuStore. При этом обязан проинформировать о данной возможности покупателя.
И все
Для продавца попадалово на (возможно бесплатное) оказание услуги за которую деньги драть хотят либо ее добавление если кто не имел.
Сейчас с такими обновлениями системы как смартфонах tecno, infinix, itel, realme, one plus, vivo и oppo можно встретить предустановку такого магазина приложений от вк рустор
Другие новости
RuStore будут предустанавливать на гаджеты в РФ даже при запрете от правообладателей ОС