Comments 242
Если использовать Яндекс-браузер только для посещения госсайтов, то что ещё он может слить?
Проблема возникает в тот момент, когда вы хотите оплатить какой то товар на обычном коммерческом сайте. Следующим запросом он идет в банк.
Ну, это не секрет, что сейчас передается много информации о клиенте: какая ОС, экран, время, часовой пояс, установленные шрифты, и так далее.
Второй момент, вот, к примеру Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа . Если у вас на локалхосте стоит веб-сервер, то это тоже может быть записано, включая, как минимум, тот проект который у вас отдается как localhost:80/ и localhost:443/...
Ну передаётся и что?
Сканирование портов какое отношение имеет к обсуждаемой проблеме госсертификатов?
Проблема была озвучена ещё до ката: в целях соблюдения цифровой гигиены ставить Яндекс Браузер нельзя.
Вы знаете, это как что-то неприятное в руки брать: лучше в перчатках. Здесь в качестве "перчаток" выступает контейнер, могла быть виртуалка, возможно есть ещё какие-то варианты, о которых я не подумал.
Почему бы тогда не поставить на виртуалке госсертификаты и использовать нормальный браузер?
Тупо нет места на накопителе. У меня сейчас свободно 890 мегабайт :)
Моя опыт не универсальный, и сформировался в условиях озвученных ограничений, и именно поэтому я делился им как опытом, а не как туториалом (плашки "туториал" на статье нет).
А до варианта с LiveUSB, предложенного @HappyGroundhog, я не догадался.
Ну мы для этого и обсуждаем, чтобы находить лучшие решения. Я просто пытался понять, причины отторжения Яндекс-Браузера идеологические или есть реальные основания? А то так и кушать можно в перчатках...
Скорее идеологические. Так беспардонно кушать данные пользователя в таких количествах - заслуживает того же порицания, что и почивший Амиго.
Знаете, после нескольких десятков лет работы с разнообразным софтом вырабатывается интуиция. Достаточно одного взгляда, чтоб понять, что с конкретной программой что-то не так. И когда я устанавливаю Яндекс Браузер, ощущения как от китайской реплики iPhone, тупящей прямо из коробки, но зато с телевизором и тремя симками. Я брезгую пользоваться подобным.
Вот, я понял, почему и я так этому отношусь. На подсознательном уровне. Ну просто все противится "это" устанавливать.
И когда я устанавливаю Яндекс Браузер, ощущения как от китайской реплики iPhone, тупящей прямо из коробки, но зато с телевизором и тремя симками
А можно детали? Про мне просто ещё один chromium-based браузер
Твердотельник еще не отработал свой ресурс при таком объеме свободного места?
Ещё нет, но да, есть шанс, что он скоро "кончится".
Я новый накопитель уже купил, переставить пока некогда было.
По моему скопировать текущий диск на уже имеющийся новый (купленный) было проще/быстрее. Более того, это в любом случае предстоит делать, не?
По моему скопировать текущий диск на уже имеющийся новый (купленный) было проще/быстрее
Но не так интересно. Плюс сейчас у меня всё работает. Шанс того, что я всё сломаю - ненулевой. А у меня этот ноут используется еще и как рабочий, а разбирался с ЯБ на неделе.
Более того, это в любом случае предстоит делать, не?
Да.
ключевое слово "интересно")))
Интересно -- это веский аргумент, к нему вопросов нет.
Шанс того, что я всё сломаю - ненулевой
Да, не нулевой, но ведь небольшой: копируется диск (с ресайзом интересующих разделов), вытаскивается старый диск, втыкается новый.
Если что-то идёт не так -- вытаскивается новый, втыкается старый.
А вы читали статью? Я вот не читал, например, но это буквально первые абзацы.
В статье речь про установку сертификатов к себе на машину. А я пишу про установку на выделенную виртуальную машину, которая используется только для доступа к госсайтам. Автор поста, кажется, меня правильно понял выше.
1. Поставить виртуальную машину, в неё воткнуть сертификат
2. Поставить виртуальную машину, в неё установить Я.Браузер
100% рабочий план, казалось бы. Даже два! Но есть проблема: в моём ноуте SSD накопитель на 250 гигов, разделенный на Windows раздел и Linux раздел, и в Linux'e свободно меньше 5 гигов.
Еще один нюанс заключается в том, что виртуалки любят есть ОЗУ, и оперативки может и не хватить, когда уже запущена Intellij IDEA (две), Firefox с десятками вкладок (два), KeePass (два), Obsidian, и т.д. Своп мало того что медленный, так еще и некуда. Засада.
Надо как-то сэкономить ресурсы, которых и так в обрез. Но как?
Эмпирическим путём мы выяснили, что Вы остановились на первом абзаце, это второй :)
Мы здесь обсуждаем личные проблемы автора или общее решение (варианты решений)?
Вы интересный :)
Почему бы тогда не поставить на виртуалке госсертификаты и использовать нормальный браузер?
Ваш вопрос к автору выше. Обращённый к автору. Соответственно, о проблемах автора (почему он не взял это решение). О проблемах автора написано в абзаце, который я процитировал. Там же рассмотрены ещё два варианта решений (т.е. общие решения, хотя и не все – в комментариях ниже привели ещё парочку хороших: кастомный профиль в Firefox, добавление сертификата-исключения в Firefox, использование firejail, может уже ещё что-нибудь появилось) и оговорено, почему они не подходят (автору).
Вы извините, я не могу так каждый абзац пересказывать, я пойду))
Да, но вы вопрос ведь задали мне?)
Краткий ответ: не самое рациональное расходование ресурсов накопителя по сравнению с другими доступными вариантами, в том числе предложенными другими хабровчанами.
Да, я понял. Кажется, оптимальное решение - установить сертификат в отдельный браузер (профиль браузера), а не в систему.
UPD: или использовать разные варианты исключений для сайтов.
Слишком просто, это гении максимальной сложности - они сделают какую-то нереально сложную дичь потратят на это надели и будут этим хвастаться. Не ломай гениям их гениальность. Я за своё время повидал таких уникумов, что аж страшно за наших it специалистов. Видел как люди тяжело приходят к простым и изящным решениям, долго барахтаясь в грязи. Ничего не поделаешь, гордятся этим.
Долго думал, отклонить ваш комментарий или нет с премодерации.
Решил опубликовать.
1) это далеко не максимальная сложность. Ничего сложного в изоляции нет. Есть сложность подготовить Docker image, но я считерил, переиспользовав готовый Dockerfile, поэтому в статье эта часть не раскрывается, а даётся ссылкой.
2) никто не тратил на это недели. Мной было потрачено 3 часа на всё-про всё, включая оформление PR автору исходного проекта (и он был принят).
За 3 часа после окончания рабочего дня я достиг цели - зашёл и пополнил счёт, откуда списывается ипотека. Потратил 1,5 дня своих выходных, чтобы написать статью.
3) не считаю себя гением и это не пост хвастовства. Жаль, что вам это неочевидно, даже несмотря на то, что "гениальность" предложенного решения специально была взята в кавычки.
Этот пост был описанием моего личного опыта и [неявным] предложением собрать в комментариях другие варианты решения актуальной и насущной проблемы.
Если судить по количеству предложенных решений в комментариях и рейтингу этих комментариев, то мой замысел удался.
---
Остальное комментировать не буду, потому что не про меня и не про мой пост, а про каких-то других людей в сферическом вакууме.
Всё-таки хотелось бы решений, которые подойдут для большинства пользователей, а не для it-специалистов. Хотя, подозреваю, что большинство просто установят сертификаты минцифры и забьют на безопасность (ну или просто не подумают об этом). И через некоторое время мы будем смотреть youtube и другие сайты через эти сертификаты.
Не только слить, раньше, например, яндекс браузер ставил алису, запускал в режиме прослушивания команд.
У меня нет на компе микрофона и видеокамеры. Пусть слушает.
А многие сидят на ноутбуках.
На ноутбуках микрофон зачастую в вэбке, а она будет подозрительно светится при работе...
А если нет, встречались случаи всяких ухищрений, когда камера включается на 0.1 сек раз в секунду, диод светится на 10% яркости, то есть как бы выключен, а данные утекают.
Есть физические заглушки на камеру, но микрофон так не закрыть, да.
Я давно искал человека который на маке сможет включить камеру, не включив светодиод. Покажете примерчик?
Публикация бага в 2015 году, баг железа 2008 года. Ну такое. Шанс встретить в реальной жизни около нуля.
Как вы оцениваете вероятность того что ваш мак так поломают спалив при этом такой 0day баг? Это от 100 тысяч до миллиона долларов.
А если нет, встречались случаи всяких ухищрений, когда камера включается на 0.1 сек раз в секунду, диод светится на 10% яркости, то есть как бы выключен, а данные утекают.
Фантазии или дадите пруф?
Это было давно. Это давно уже не работает.
А чего вы собственно хотите? Современная винда тоже умеет ограничивать доступ к камере и микрофону. Если с Линуксом связались, то предполагается что вы сами все умеете и можете.
Старое железо и старый софт небезопасны по определению. Просто не используйте его, если вам важна безопасность.
Современная винда тоже умеет ограничивать доступ к камере и микрофонуТолько для «плиточных» приложений (сейчас они могут быть и оконными, но я про новый runtime, а не классический Win32). А такие приложения не очень популярны.
Просто не используйте его, если вам важна безопасность.В этой статье и речь, как НЕ использовать Yandex.Browser
MAC мне не подходит, как компьютерному энтузиасту (ну как я запихаю туда новую RTX 4080?). С другой стороны, Windows даёт больше свободы пользователям, а это приводит к тому, что каждая большая игра загружает свой kernel driver, под предлогом античита, что делает бессмысленным строгие политики безопасности ОС.
В-общем, с Win/Lin надо больше думать, но и больше возможностей получишь. А MAC — готовое решение, надёжное, но с ограничениями.
Только для «плиточных» приложений (сейчас они могут быть и оконными, но я про новый runtime, а не классический Win32). А такие приложения не очень популярны.
Да, у них есть проблемы. И путь которым они пошли мне не нравится. Лучше бы вместо продвигания новых особых приложенек старые в песочницу засунули. Это реально сделать.
С другой стороны, Windows даёт больше свободы пользователям, а это приводит к тому, что каждая большая игра загружает свой kernel driver, под предлогом античита, что делает бессмысленным строгие политики безопасности ОС
В мак тоже ставятся расширения ядра. Но процесс установки специально сделан настолько сложным и запутанным, что по этому пути идут только когда вообще никак без него.
Свобода одинаковая для пользователя.
MAC мне не подходит, как компьютерному энтузиасту (ну как я запихаю туда новую RTX 4080?)
Вы в словах игрок на PC сделали пару ошибок. Остальным оно не нужно. Нейросети учить удобнее на видеокартах на виртуалках.
Но тут да. Игры на PC это вин платформа без вариантов.
Свобода одинаковая для пользователя.Мой кейс: нужно 30 терабайт места под сериалы — просто иду и покупаю пару HDD-шек на 18TB, раз в год подкупаю новый, или более ёмкий, или просто ещё один (корпус большой, 10 дисков легко влезает). На Маках такое возможно?
Конечно. А в чем проблема? Вы же не собираетесь их ставить внутрь корпуса ноута?
А сколько там кстати на материнке SATA-портов, сколько отсеков 3'5 под HDD? В любом случае, купить хороший корпус Big Tower для меня намного разумнее.
Купите air, они тоже хорошие. Про нужен только тем кто точно понимает зачем он ему, всем остальных air с головой хватит. Он стоит 1000, бу еще дешевле.
А сколько там кстати на материнке SATA-портов, сколько отсеков 3'5 под HDD?
Вы точно понимаете концепцию ноутбука? Все большие диски ставятся с любую домашнюю железку, чуть ли не в роутер, и доступны по сети. Стоит копейки, пользоваться удобно.
Я видел ноуты с 3 посадочными местами, там до 6 ТБ можно утащить
большие диски ставятся с любую домашнюю железку, чуть ли не в роутерТо есть всё равно нужен сервер на винде, ну хотя бы чтобы торрент качался 24/7.
Вы точно понимаете концепцию ноутбука?Ноут мобильная штука, куда-то таскать его. А дома лучше полноценный десктоп. Там и монитор большой, аудиосистема, клавиатура полноразмерная, и к ТВ подключен, чтобы с дивана смотреть кино.
То есть всё равно нужен сервер на винде, ну хотя бы чтобы торрент качался 24/7.
Видел я сервера на Винде, но это обычно всякие Эксченджи и прочие контроллеры домена с MSSQL. Там без вариантов.
Для торрентов вам винда зачем? Линукс, хедлесс торрент клиент и доступ через браузер с любого другого устройства. Это все поднимается прямо на роутере при желании.
Ноут мобильная штука, куда-то таскать его. А дома лучше полноценный десктоп. Там и монитор большой, аудиосистема, клавиатура полноразмерная, и к ТВ подключен, чтобы с дивана смотреть кино.
Конечно. И все это подключать к ноуту очень удобно. Можно через разнообразные док станции или просто одним проводом.
Кино удобнее прямо на телевизоре запускать. Источником может быть все что угодно. От Нефликса до локальной железки.
Видел я сервера на Винде, но это обычно всякие ЭксченджиЯ про «домашний сервер». Как-то думал, нужен ли он мне. И решил, что не нужен. Ещё один системный блок будет стоять жужжать. Рабочую станцию я всё равно никогда не выключаю, так что преимущества выделенного сервера уменьшаются.
Для торрентов вам винда зачем?Иногда хочется покачать с DC++ Как с этим на линуксе, не хочется разбираться.
все это подключать к ноуту очень удобноИ смысл тогда в ноуте, если он всегда подключен к стационарному месту, а без «обвеса» работа перестаёт быть комфортной? Мобильное железо дороже и слабее (из-за очевидных ограничений с охлаждением).
Кино удобнее прямо на телевизоре запускать. Источником может быть все что угодноЯ смотрю через MPC-HC с субтитрами. Я не хочу тыкать на каждой серии в нужные субтитры, а хочу, чтобы применялись правила (там можно гибко настроить пары язык озвучки → язык субтитров и приоритеты). Кроме того, пару раз встречались кривые ASS-файлы, где цвет текста выбран неудачно и сливался с фоном видео, там в десяток кликов можно переопределить стили, выбрав новые цвета и обводки.
И кстати, «кино напрямую на телевизоре» я наелся, когда родственникам кина записывал на флешку. Телевизор не понимает много кодеков, особенно новые HDR 10 bit. Тратить время на перекодировку? Также были проблемы с DTS на телевизорах LG — они не продлили лицензию на этот кодек, нужен именно AC3 звук. То есть перед скачиванием релиза нужно проверять кодеки.
От Нефликса доНе люблю подписочные сервисы, но с этого года уже и возможности нет ими пользоваться.
Ещё один системный блок будет стоять жужжать. Рабочую станцию я всё равно никогда не выключаю, так что преимущества выделенного сервера уменьшаются.
Рабочая станция стоит на столе (или под столом), а сервер может быть на шкафу, в шкафу, в кладовке, на балконе, или даже в подвале (но последнее не рекомендуется).
Т.е. тут как с электромобилями и ТЭЦ - загрязнение -в данном случае шумовое - никуда не девается, однако выносится подальше от клиента.
Рабочую станцию я всё равно никогда не выключаюПотому что лень каждое утро запускаться, открывать все программы и т.д.
Корпус big tower с хорошей шумоизоляцией — и уже не особо и слышно.
Корпус big tower с хорошей шумоизоляцией — и уже не особо и слышно.
Это было неочевидно :)
Просто у меня рабочая станция напоминает самолёт, а в моменты нагрузки - взлетающий самолёт.
Тут операционки спасают. Все приличные операционки спрашивают первый раз для каждого приложения, а потом выводят уведомление когда микрофон кто-то использует.
У винды с этим похуже. Хотите максимальной приватности и защиты выбирайте маки или линуксы. Это вроде не новость.
Windows уже много лет выводит значки в трей, когда приложения используют микрофон или местоположение. Вот вы знали, что Skype запрашивает местоположение? А я знаю.
UPD. Нашёл значёк в этом сценарии, надо было развернуть скрытые.
Разрешения настраиваются только для «новых» приложений. А legacy можно либо все отключить, либо всем разрешить.
Если несложно, объясните популярно, что может слить Яндекс-браузер в отличие от "иноагентных" Хрома или Оперы. И почему потребовалась аж целая политика по запрету этого браузера? P.S.: ни разу не за Яндекс, если что.
Формально, возможности у них примерно одинаковые (по отношению к тому, до чего они могут дотянуться), однако отличаются количеством кода, который эту информацию с машины пользователя куда-либо имеет возможность передать. Смотрите, каждое расширение для браузера - это дыра в безопасности ("ну хоть что-то у нас в безопасности"). Во многих компаниях расширения проходят аудит, перед тем, как их разрешают использовать. Здесь же имеем безальтернативный набор предустановленных расширений, каждое из которых может сливать, а часть и сливает, информацию. Это первое.
Второе. Поскольку большинство расширений сделаны в России, то у коллег из ИБ и у меня лично есть большие сомнения, что передаваемые данные потом где-то не всплывут (машу рукой Яндексу с нереальным количеством утечек ПД и курьеров, и Еды, и водителей такси и всех остальных сервисов), компания не понесёт самое суровое наказание в 50 тысяч рублей (за всю утечку). При таких обстоятельствах данные можно сливать хоть на открытый MongoDB сервер.
Наконец, есть некоторый процент людей, который считает, что лучше их информацию будет уходить господину майору из АНБ, чем товарищу майору из ФСБ. Но вот это уже дискуссионно. Это третье.
ЯБ как минимум сливает ссылки, по которым ходят пользователи, а потом эти ссылки доступны всем из поиска. Для гуглодокументов они это дело прикрыли после скандала, для остального не знаю, но в логах моего сервака регулярно появляется яндекс, парсящий страницы, на которые ссылок нигде нет и до которых робот самостоятельно добраться не может.
Хромой так-же делает. У меня внутренний воркбенч всплыл в поиске гугла (на поддомене!) впереди основного сайта, хотя на него нет в природе ни одной ссылки на сайтах, а все ссылки были отправлены через почту. Аналитики тоже нет, да и вообще весь сайта сидит сам на себе без cdn или т.п. По итогу пользователи по запросу попадали по окно с авторизацией, без кнопки регистрация, описания или т.п. и писали в саппорт о багах. Я только через месяц понял в чем прикол, глянув историю заходов - парсеры гуляли как к себе домой. Причем там посещаемость была смешная - около 100-150 человек в день.
Там еще почтовые сервера ходят по ссылкам.
У меня внутренний воркбенч всплыл в поиске гугла (на поддомене!)
Если вы делали отдельный сертификат для этого домена, то дело может быть в этом: информация о сертификатах, выпущенных большинством центров сертификации, публична.
Можете проверить на crt.sh
ЯБ как минимум сливает ссылки, по которым ходят пользователи
И пароли, наверное. Грех же не хранить пароли, если всё равно их вводишь в окне браузера.
У меня более интересный вопрос как у безопасника. А чем любой абстрактный LiveCD с постоянным хранилищем не угодил? Опять же можно поставить отдельный FF и ему в хранилище положить сертификат и использовать его только для похода в СБОЛ.
Сейчас с точки зрения ИБ мы получаем докер демон + докер контейнер + VPN непонятно куда (хотя в корп блоге хостера это понятное решение :) ). Всё это выпадает из области контроля ИБ, в том числе в части контроля трафика...
Честно говоря, вариант с LiveUSB мне в голову не пришёл. Ваш вариант мне нравится больше, но коннект в Россию всё равно придётся поднять, если СБОЛ режет входящие соединения или если провайдер режет исходящие хоть чем-то более серьёзным, чем подменойDNS ответов.
Docker daemon на ПК разработчика воспринимается в компании нормально. В моём случае - BYOD, что делает ситуацию ещё проще.
Поэтому я привёл полную ссылку как альтернативный вариант, для тех, кто [правильно] не использует сокращаторы ссылок
git clone ... && make && ./run-fileнет возможности проверить абсолютно всё, скачанное с сети, придётся чему-то доверять.
Можно проверить определенную версию, и качать её. Плюс сделать проверку хэша.
Но руками это немного геморройно, а писать плейбук было лень. Хотя можно и написать.
Я не готов тратить полдня-день на детальный разбор всей этой мешанины. И почему если скрипт, надо проверять, а если бинарник — не надо?
Если человек не готов пользоваться чужим скриптом, ему придётся писать свой.
Ну вот выше человек оценил ревью на полдня-день.
Моя логика включает в себя и (опциональное) ревью.
Вы либо пользуетесь (по результатам ревью - если там всё хорошо или без - если вам всё равно), или не пользуетесь (по результатам ревью - если там всё плохо или без - если просто не готовы использовать чужой код), но во втором случае, если эти действия нужно проделывать часто, вы их начнете автоматизировать - т.е. дело закончится написанием или скрипта, или плейбука или какой-нибудь другой автоматизации.
Отличается. На HN обсуждали ещё 9 лет назад. Там и статья интересна и комменты к ней.
Вам могут подменить скрипт в зависимости от user-agent.
Соединение может оборваться и выполнится только часть скрипта. Возможно, только часть команды. Возможно, этой командой будет rm -rf.
Согласен... А где УЦ? Где сертификаты? Где токены ?! Безобразие то какое. А подобные скрипты для домохозяк.
А на новых маках вообще можно подключить liveCD?
Вот, тоже собирался предложить FF как решение с собственным трастовым хранилищем. Всяко удобнее, чем перегружаться в LiveCD
Можно развернуть яндекс браузер сразу на виртуалке у хостера. Потребуется тариф дороже чем для vpn, зато еще большая изоляция, и возможность доступа с разных компьютеров и с телефона.
Да, тоже хороший вариант, и я его рассматривал изначально, но интернет здесь местами плохой, и пропускной способности не хватило, чтобы обеспечить сносный опыт использования, когда проводил эксперимент.
Второй момент, почему не стал так делать: основные виртуалки у меня живут зарубежом, а российские я поднимаю сходить на госуслуги, в СБОЛ, и если хочу скачать что-нибудь через торрент. После этого - виртуалка дестроится до следующего раза.
И возможность того, что яндекс-браузер немножко изменится и начнёт подворовывать. И не проверишь. Никаких внятных технологий trusted computing у типичного хостера нет.
А почему вместо приседаний вокруг VNC просто вот не взять и не запустить с браузер с DISPLAY=127.0.0.1:0.0 - или, если в уроненный на голову параноик который боится что браузер будет сливать ваш десктоп через скриншаринг, сделать то же самое через Xnest/Xephyr (запустить Xnest/Xephyr и также на них цепляться через DISPLAY=127.0.0.1:1.0 например)?
А firejail? Полегче, всё-таки, чем виртуалка. У меня именно так.
От MITM тоже защищены, т.к. если сертификат изменится, нужно будет его заново подтвердить, перед этим можно посмотреть цепочку подписей.
господяяя и сюды докер приплели. чем firejail не устроил? зачем этот оверинженеринг?
Firefox поддерживает профили (правда, через командную строку — firefox -P <name>), при этом хранилище сертификатов у него находится именно в профиле, поэтому наиболее легковесный вариант — создать отдельный профиль и добавить туда сертификаты. При необходимости в этом же профиле можно установить требуемые настройки прокси, ну и перекрасить интерфейс в явно отличающийся от нормального цвет.
через командную строку
about:profiles
Ой, да просто. Создаем ярлык с путем: C:\Program Files\Mozilla Firefox\firefox.exe -p temp. Такое у меня в Total'е прописано на кнопке. temp - это название профиля. Создает его - один раз вызвать firefox -p
Устанавливать рутовый сертификат не хотелось
Не понятно, почему этот вариант отвергнут.
Поскольку ваш комментарий минусуют, то постараюсь объяснить за что:
рутовый сертификат даёт возможность "прослушивать" весь трафик машины. В браузере, не в браузере, на российских и не на российских веб-страницах.
HTTPS Pinning иногда спасает, но не везде и не всегда.
Потому что есть вероятность получить сертификат "verified by Минцифры", зайдя на майкрософт ком.
Погодите пожалуйста, поясните подробнее. Может это глупые вопросы, но я бы хотел понять.
Разве этот рутовый сертификат не значит просто что-то в духе "я доверяю сертификатам, которые выпустила эта Certificate Authority (МинЦифры)"?
Разве трафик не шифруется в обе стороны и вторая сторона может его расшифровать только потому, что сертификаты выпущены одной CA (аналог приватного и публичного ключа)?
Разве в начале каждой сессии не устанавливается какой-то handshake, что делает ее уникальной приватной от самой CA?
Не совсем силен в криптографии, но допускаю, что если на сайте стоит сертификат МинЦифры и у меня есть сертификат МинЦифры, то наверное расшифровать мой трафик как минимум проще (прошу специалистов пояснить). Но если на сайте НЕ сертификат МинЦифры, а вот как на Хабре например?
И главный вопрос, если много кто использует тот же let's encrypt в качестве CA, то что мешает уже ей читать наш трафик?
И да, имея подписывающий сертификат let's encrypt, можно провернуть то же самое. Но мы ему доверяем, не то что МинЦифре…
Я бы не хотел, чтобы весь YouTube был перепахан плашками «Закрыто РосКомНадзором» на основании решения какого-нибудь Саратовского суда, который найдёт сатанизм или насилие над детьми в юмористических роликах типа этого. Только не говорите, что этого никогда не случится. Такое уже случалось (за что Лурк закрывали?)
Так фильтровать будут только у тех, кто установит сертификат, не? Или остальным просто отрубят?
Если есть желание, чтобы 86% не установили сертификат, то решение должно быть простым, надёжным и понятным для большинства, без всяких докеров, контейнеров, песочниц, виртуальных машин и т.д. и т.п.
Хотя, подозреваю, что именно с ютубом может быть иначе - скажут, ходите только через наш сертификат или не ходите никак. Но VPN же должен помочь в таком случае...
тут не совсем по теме, но к вышеизложенному добавить - можно состряпать программку, которая по запросу пользователя отключает или включает сии девайсы( камеру, микрофон), следующее - на звуковой тракт можно поставить виртуальный микшер и завести в микрофон что нибудь типа цифрового шума 8-16 бит ли ничего не значущую мелодию, тоже 8 бит, отделный старый ноут со яндексом и сбером изолированный.
А если использовать вот эту сборку для доступа к Сберу? https://github.com/deemru/Chromium-Gost
Почему-то эту сборку некоторые антивирусы сносят, а отключать антивирус людям, которые про Adobe Reader пишут "у меня не adob, а acrobat - там нет этого меню" не хочется...
Это вот неожиданно было, про антивирусы. Проверим:
Chromium с поддержкой ГОСТ 108.0.5359.124 на Virustotal:
- архив с portable – 0 срабатываний
- инсталлер x64 – 0 срабатывний
Если есть какая-то конкретика с полей – опубликуйте, пожалуйста, всем будет полезно.
Возможно, дело в "недостоверных центрах сертификации", а яндекс для хэша своих сборок согласовал зелёный свет с крупными игроками?
Ну и опять же, зачем отключение антивируса, когда есть белые списки?
Прошу прощения - видимо, говорил об одной из предыдущих сборке, эта совсем свежая, работает, что радует!
Я что-то потерял нить: у нас речь идёт о срабатывании антивирусов (лично я первый раз об этом слышу касательно этой сборки) или добавлении в сборку отечественных сертификатов (до какого-то момента их действительно там не было и появились они не сразу; в этом направлении меня заставляет думать ваша формулировка "работает").
немного паранойи
А то в связи с сертификатной чехардой пишут в основном о яндекс-браузере, безальтернативно. А начинаешь предлагать альтернативы – появляются местами странные комментарии. Яндексу, конечно, пригодился бы такой приток пользовательской базы. Но и фактически безнаказанные утечки, и прошлые факапы заставляют активно думать об альтернативах.
Уже развернул его на предприятии групповыми политиками. Плюс еще адмх шаблоны от хрома подходят. Есть исходники, обновляется регулярно. Огонь решение!
Докер, очевидно, не нужен. Достаточно легковесного lxc разделяющего общую файловую систему с контейнером (а то и вовсе apparmor может быть достаточен).
Самое опасное в готовых "сборках", что там неизвестно что скачано неизвестно откуда. Что может быть пострашней яндекс-браузера самого по себе.
У меня есть идея получше - сменить банк, раз для работы с этим нужны такие напряги.
Пользоваться приложением на телефоне не вариант? Или телефоны на Андроид тоже запрещены политиками безопасности?
СБОЛ для Андроида это троян.
Не готов его ставить.
У меня на iOS стоит и пока что работает. А для мобильных приложений разве потребуется сертификат? Они разве не могут внутри себя нужный сертификат содержать? Достаточно обновлять приложение периодически, но оно и так само собой происходит.
На iOS он запускается без шаринга контактов, геопозиции и т.п. Такой - не дали? Ну ладно :(
На Андроиде он требует абсолютно все доступы, и если ему хоть что-то не дать, то он посылает пользователя нафиг. Не дали? Иди нафиг!
ЧЯДНТ?
Я пробовал ставить СБОЛ один раз, пару лет назад, поведение было именно таким, как я описал - без выдачи указанных разрешений он не запускался. Возможно, что с тех пор политика поменялась.
В свою очередь, поставил на iOS и забил.
Скачал, установил свежую версию.
Запускается без предоставления разрешений.
Хорошо, СБОЛ под Андроид был трояном. Сегодня им не является.
Сегодня это просто приложение, которое весит 500 МБ.
Песочница.
Work profile на телефоне не сломан тотально? Ставим Shelter https://github.com/PeterCxy/Shelter (есть в Play Store и F-Droid)
Ставим туда и выдаем что просит. Никто ж не просит чтобы там реальные были данные (и чтобы вообще — были).
Ещё ему не нравится установленный Anydesk\Teamviewer.
И емнип, приложение сбербанка отказывается работать на рутованых телефонах.
вопросов больше не имею
Я просто завел себе отдельный телефон для банковского зверинца, там вообще больше ничего нет, ни сим, ни контактов, vpn always on.
А почему бы не использовать отдельную инсталляцию firefox (можно даже портативную версию собрать) и не установить сертификат в его огнехвостово хранилище?
Есть ещё браузер Атом.
Он тоже умеет ходить на сайты с сертификатами НУЦа.
Лежит здесь: https://browser.ru
Яндекс по крайней мере описали как у них это работает и почему не будет проблем и патч выложили + есть основания все же их ставить не только ради НУЦа (перевод например)
Если мы не верим Яндексу, то верить ВКонтакту оснований еще меньше (а если верим — то зачем нам Атом? Чем он лучше?)
Чем лучше? Атом красивше! И удобнее. У меня стоит на машинке, я им пользуюсь.
И точно не хуже.
И если посмотреть рядом на хабре (https://habr.com/ru/news/t/702180/), то можно обнаружить, что там как раз и упоминаются оба браузера: Яндекс.Браузер и Атом.
А вот здесь (https://www.interfax.ru/russia/827230) так и вообще есть рекомендация Минцифры использовать Атом и Я.Браузер.
Задача с Атомом была бы той же самой.
Решить проблему можно без установки корневых сертификатов и yandex-browser-stable:
mkdir -p "$HOME/Загрузки/rusert"
cd "$HOME/Загрузки/rusert"
wget https://gu-st.ru/content/lending/russian_trusted_root_ca_pem.crt
wget https://gu-st.ru/content/lending/russian_trusted_sub_ca_pem.crt
Во всех chromium based - chrome://settings/certificates - Безопасность - Настроить сертификаты - Центры Сертификации - Импорт
Во всех лисоподобных - about:preferences#privacy - Просмотр сертификатов - Сертификаты - Импортировать
Проверено на Opera, Pale Moon, Firefox, Chromium, WaterfoxЕсли есть желание использовать и изолировать yandex-browser:
Firejail запускает приложения в режиме sandbox-изоляции(механизм namespaces и фильтрация системных вызовов seccomp-bpf)
В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа
- состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения.
Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям
разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs),
ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
Firejail:
https://github.com/netblue30/firejail
https://sourceforge.net/projects/firejail/files/firejail/
https://launchpad.net/~deki/+archive/ubuntu/firejail
GUI на Qt:
https://github.com/netblue30/firetools
https://sourceforge.net/projects/firejail/files/firetools/Решение проблемы свободного места:
- установить localepurge и bleachbit(1-2 Gb освободятся)
- удаление старых ядер для ubuntu(для debian не использовать)
sudo apt-get purge $(dpkg -l 'linux-*' | sed '/^ii/!d;/'"$(uname -r | sed "s/\(.*\)-\([^0-9]\+\)/\1/")"'/d;s/^[^ ]* [^ ]* \([^ ]*\).*/\1/;/[0-9]/!d' | head -n -1)
- очистка конфигов от удалённых пакетов
sudo dpkg --list | grep "^rc" | cut -d " " -f 3 | xargs sudo dpkg --purgeЯ пошел другим путем. У Firefox есть свое хранилище сертификатов. Создаём отдельный профиль(в качестве точки указал папку в созданном контейнере veracrypt(хватит и 1гб), на вопрос зачем, отвечу так захотелось да и безопасности мало не бывает из такого профиля пароли не украдешь пока контейнер размонтирован) Ставим серт минцифры туда. Забываем о Яндекс браузерах и прочей фигне в системе. И майор под контролем.
Сделал примерно также, только вместо отдельной копии мозилы, librewolf. Туда накатил сертификаты и СБОЛ заработал. Собственно хожу на сайт сбера только оттуда.
А еще вспомнил, что валяются старые (резервные если вдруг телефон крякнет) винфоны с виндой 8.1 и 10, на случай когда СБОЛ на профилактике, а деньги отправить надо. На обе модели из магазина (бинго бинго его оттуда забыл выпилить МС) прекрасно поставился и работает независимо от частообновляемого СБОЛа.
Единственно давно не обновлялось приложение и крайний релиз от 2013 года и СБП там на отправку не завезли.
Любой браузер нужно изолировать от системы...
Вот скажи, ТС, а зачем ты хранишь деньги в этом самом Сбере, раз такие напряги? Зачем всё это, если Сбер про тебя уже всё давно слил товарищу майору и далее?
Есть еще такая штука https://github.com/DimaZirix/podbox
podbox create chromium --gui --net --ipc --audio fedora:37
podbox exec chromium --root dnf install chromium libXt dbus-glib gtk3 pulseaudio-libs libcanberra-gtk2 PackageKit-gtk3-module -y
podbox desktop create chromium chromium-browser 'Chromium' --icon chromium --categories 'Network;WebBrowser;'
Требуется установка podman. После выполнения будет создан ярлык с хромиумом, который будет запускаться в контейнере. Аналогично можно запихнуть туда ЯБ
Я как открыл для себя neko(и в особенности neko-rooms) - перестал велосипедить свои контейнеры с браузерами. Популярные браузеры там есть(именно Яндекс-браузера правда нет, но при желании можно навелосипедить и его)
А почему не отказаться от сбола?
Кстати, а где бы эти российские сертификаты скачать, чтобы добавить в отдельный профиль фаерфокса, если вдруг понадобятся?
Как известно, Сбербанк потерял возможность продлевать свои сертификаты из-за санкций еще весной.
Разве? Регулярно выпускают новые сертификаты для различных сервисов, что для sberbank.ru, что для sber.ru
Продлевать vs выпускать? На уровне техники может быть одно и то же, но с точки зрения бизнес-процессов и рисков - уже нет.
Судя по crt.sh, сберовцы уже не могут зайти в админку/апишку DigiCert и продлить (перевыпустить?) там сертификаты. Let's Encrypt тоже с марта не вариант для sberbank.ru по-видимому. GlobalSign ещё есть, но кто его знает. Поэтому и обкатывают новые схемы доверия.
если суть проблемы только в исползьовании российской криптографии, то еще есть спутник, разработку которого как я тут внезапно выяснил прикрыли, и есть хромиум гост, его я юзаю для всех клиентов, которые используют торги, ключи и прочее, работает хорошо, сборки есть на разные дистры на страницу проекта на гитхабе, мусора минимум, с подписью доков проблем нет в отличие от яндекс браузера
@Areso специально зарегистрировался чтобы написать
если вы такой программист, что проделали такой "финт ушами", не проще тогда (раз знания есть) взять у яндекса патч для хромых https://github.com/yandex/domestic-roots-patch и вкорячить в какой нибудь ungoogled чистый, собрать и пользоваться с кайфом?
Компилировать браузер сильно дольше, чем собирать докер контейнер.
Но таки да, ваш вариант тоже рабочий.
это получается как в поговорке "долго запрягаем, быстро едем" или как там правильно?
просто мне после прочтения показалось, что так будет проще, нету места, попросить кого то чтобы собрал, тем более что в браузере по вашему всё равно же товарищ майор, поэтому можно же собрать отдельно браузер с сертами, а такие костыли создавать ну только ради практики какой то, чисто удостовериться, что так тоже можно. Ну еще скорее всего, это я так думаю, а у людей, которые часто пользуются докерами и больше в теме, конечно своё видение что проще 😊
Как много советов применять Firejail и при этом все забывают упомянуть, то этим летом там была обраружена уязвимость и готовый эксплоит позволяющие получать root права в системе где Firejail запущен. Запускать потенциально опасную программу даже в изолированной среде на рабочем компьютере это плохая практика. А хорошие практики это headless browser, сам браузер является потенциально опасной программой поэтому с ним нужно работать удаленно в контейнере. Есть прод browserless они предлагают готовые образы браузеров в контейнере, есть платные и бесплатные решения, они предлагают предприятиям браузер в облаке, можно скачать готовый образ контейнера с github и запустить в VPS. В итоге получаешь ярлык браузера на рабочем столе, браузер запускается чуть медленнее, все работает в облаке или VPS после закрытия браузера, как обычно для контейнера все сбрасывается.
К сожалению, если VPN доступен изнутри докера контейнера нативно и без лишних телодвижений
Это как? Недавно смотрел, не нашёл простых способов привязать докер-контейнер к определённому интерфейсу.
Все это время меня интересует вопрос: почему Сбербанк и Госуслуги не могут использовать Let’s Encrypt? Средний пользователь iOS, даже имея большое желание, замучается с установкой сертификатов (и, вероятно, не справится).
Наверняка есть какие-то внутренние политики против бесплатных сертификатов (как минимум упускается возможность распилить деньги на платных), но можно же, наверное, сделать гейтвей на отдельных хостах — все-таки это лучше, чем оставить пользователей совсем без доступа.
Let's Encrypt внезапно поддерживает санкции
https://community.letsencrypt.org/t/certificates-for-us-sanctioned-countries/1223 против Ирана
И прямо сказано (https://community.letsencrypt.org/t/russia-certs-and-sectoral-sanctions/189631 ) что тем конторам из России кто в SDN List не дают. Сберабанк внезапно там есть
Как проверяют — вопрос конечно отдельный...
Спасибо за ссылки!
Моя мысль как раз в том, чтобы создать отдельную компанию (как всякие яндексы и касперские «передали» свои аккаунты в App Store иностранным (швейцарским, кажется) «дочкам»), на нее зарегистрировать домены, которых нет в стоп-листах, и дальше анонимно выпустить для них сертификаты LE.
Гениально! Забить костыль микроскопом.
Проще в firefox portable сертификат поставить, и использовать флешку, NAS шару и т.п.
VPN Server
К сожалению, у провайдера в списке доступных "приложений" нет openvpn сервера, поэтому надо ставить руками. Ну как руками — другие админы уже давно написали скрипт автоматизации, так что воспользуемся им:
через сокращатор ссылок:
wget https://git.io/vpn -O openvpn-install.sh
или полный путь:
wget https://raw.githubusercontent.com/Nyr/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh
А вам не кажется что это полный зашквар использовать скрипты с github для таких целей? Так то надо было пойти единственно верным путем это развернуть свой УЦ про XCA уже писали здесь, дальше разграничение прав и директорий. Для каждого приложения создаю пользователя, в корне есть /services туда вынесены конфиги и исполняемые, для opeenvpn там своя папка права на папки 500, на файлы 400, на исполняемые 500. Суммируем что имеем, под каждый сервис на сервере отдельного пользователя и отдельную директорию в /services, раскиданные права и ограниченные пользователи без домашнего каталога и оболочки, ssh настроен только доступ по сертификатам. Пользователи с оболочкой внесены в ЧС в конфиге ssh, есть отдельный пользователь sudo. А ещё я пользуюсь root с доступом через rutoken и только через vpn. Для этих целей есть сервер с openvpn без доступа к интернету, а клиенты включая сервера имеют доступ к закрытой подсети, где можно разместить и инструкции и сайты и что угодно. Openvpn выбран как простое и быстрое решение для удаленного доступа.
По поводу root конечно могут закидать помидорами. Но это уже привычка работать под root. Да и пароли от пользователей не всегда есть под рукой в быстром доступе. Т.к. генерирую и храню в keepass. А база от него в контейнере veracrypt ......
Какие-то костыли, лучше наскребсти грошей на новый ssd, поднять виртуалку. В перспективе ssd пригодится
Тут описано много телодвижений, но мотивации делать именно так не хватает, поэтому недоумение. Во-первых, почему нужно ходить в СБОЛ с рабочего компа, есть же личный телефон? Во-вторых, можно дискутировать по поводу ЯБ, но почему российский сертификат устанавливать "не хотелось"?
Не люблю пользоваться телефоном (банально ничего не вижу и интерфейс мне кажется неудобным, а экранная клавиатура выбешивает непосредственно фактом своего существования). Опять же - с телефоном возникнет пункт 2.
Потому что я не хочу однажды зайти на сайт, который будет подменён или аугментирован ("дополнен") чем-нибудь российским и при этом подписан валидным УЦ и рутом. Примеры тут уже приводили - с наличием российского УЦ и рута можно творчески работать над Википедией, Ютубом, Твиттером, любыми источниками информации. В случае отсутствии настроенного SSL Pinning'a или первого входа на эти системы, вы и не узнаете, что кто-то творчески доработал напильником. Можно даже российские JS счётчики посещаемости навешивать на любые сайты, ну просто потому что хочется, можется, и даже закон есть!
Так а по второму пункту есть конкретика? Чем счетчики условно российские хуже нероссийских? Да и вообще какая проблема вставить счетчики вообще без всякого TLS, если сайт позволяет внедрять в себя произвольные скрипты?
Низкой культурой российских операторов обработки данных.
Ну вот, российский SSL === отсутствие TLS для российских госорганов и госсчётчиков.
Так а по второму пункту есть конкретика? Чем счетчики условно российские хуже нероссийских?Ну, им дай волю, они будут собирать полное досье на каждого: все поисковые запросы, все просмотренные ролики, все прочитанные статьи и написанные комментарии. А потом это утечёт и любой, например, начальник, или сын маминой подруги, сможет незадорого это всё купить.
если сайт позволяет внедрять в себя произвольные скриптыЭто вообще как? Есть примеры таких сайтов?
Это вообще как? Есть примеры таких сайтов?
Любой http сайт, открытый с мобильного интернета типа Мегафона...
Вот, с российским SSL любой сайт сможет оказаться в такой позиции.
Любой http сайтКоторых уже исчезающе мало.
Просто подумал, может я что-то не так понял или чего-то не знаю…
Товарищ майор в клетке или как я изолировал Яндекс Браузер (для использования СБОЛа)