LINUX.ORG.RU

Защищаемся от российского TLS-сертификата в сбербанке и других гос. сайтах

 , , , ,


1

2

Как вы знаете, недавно сбербанк и некоторые другие государственные сайты перестали открываться в нормальных браузерах. Хитрый Запад опять поднасрал, а использовать Let’s Encrypt видимо религия не позволяет. Как бы там ни было, нам важно разобраться, как теперь с этим жить. Как быть тем, кому на эти сайты заходить очень нужно. Как не стать тем лохом, который поставит себе сертификат от товарища майора и подвергнет себя MITM-атаке. Ведь с таким сертификатом весь ваш трафик как на ладони. Опыт Казахстана не забыт…

А сделать это очень просто.

  1. Ставим отдельный российский браузер (например, Яндекс-браузер) для всех сайтов с российским TLS-сертификатом. И используем этот отдельный браузер ТОЛЬКО для этих сайтов. Ни в коем случае НЕ устанавливаем российский TLS-сертификат в свой основной браузер или на уровне системы. Поскольку этот сертификат уже встроен в Яндекс-браузер - это будет самое простое и безопасное решение.

  2. Но доверять Яндекс-браузеру на 100% как-то не получается. Поэтому, для дополнительной защиты запускаем Яндекс-браузер в «песочнице». Скачиваем любое сандбокс-приложение для десктопа или мобилки, и запускаем браузер в режиме изоляции.

Товарищ майор снова в обломе.


Ответ на: комментарий от DrBrown

Видел, читал… Об этом мы еще поговорим, когда буду подытоживать печальный опыт использования свободных мессенджеров.

bairos
() автор топика

То есть даже не в виртуалке *facepalm.png*.

Только отдельное железо, только публичный вайфай.

Язабан тов. майора.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)

использовать Let’s Encrypt видимо религия не позволяет

LE для шарашек. Банкам нужен сертификат с именем организации в нём.

ox55ff ★★★★★
()

Последний раз за пять лет зашёл на сайт сбера лишь с целью посмотреть на сертификат в свете последних событий. А есть люди, кто туда реально ходит? Даже когда пользовался их услугами - максимум, приложение, но точно не сайт. Зачем вы это делаете?

George
()
Ответ на: комментарий от George

Я предполагаю, что приложение сбера сливает инфу с телефона. Видел сколько оно разрешений требует? На контакты, фотографии, звонки. Поэтому только онлайн.

vbcnthfkmnth123 ★★★★★
()

Может тебе лечиться?

grem ★★★★★
()

… а использовать Let’s Encrypt видимо религия не позволяет.

Let’s Encrypt понятное дело находится в юридическом поле Марсианской Федерации… Ему до наших земных разборок дела нет. facepalm.jpg

ex-kiev
()
Ответ на: комментарий от vbcnthfkmnth123

Очуметь, приложение требует доступ к камере, чтобы можно было фоткать qr-коды; к контактам для переводов по номеру из адресной книги; к файлам,чтобы сохранять файлы выписок…. ну прямо что-то невероятное. Сенсация не иначе.

grem ★★★★★
()
Ответ на: комментарий от grem

Это приложение отказывается работать без этих разрешений. Поэтому я предполагаю, что изначальная цель приложения сбербанка - это сбор инфы пользователя, а когда разрешения на доступ где инфу собрать ему не даешь, то и смысла работать ему нет. А доступ к севисам банка, это так побочный функционал. Подобные разрешений ведь не требуют ни приложения Тинькова, ни Альфа-банка.

vbcnthfkmnth123 ★★★★★
()
Последнее исправление: vbcnthfkmnth123 (всего исправлений: 2)
Ответ на: комментарий от George

Иногда, но редко, попадаются бумажные квитанции, например, от детского сада, когда может не оказаться qr кода, а из-за смены ИНН по новому ИНН организацию не находит. Приходится вводить много данных реквизитов, что с телефона в приложении неудобно делать.

grem ★★★★★
()

Ох уж эти читатели Медузы 😁

alex1101
()
Ответ на: комментарий от vbcnthfkmnth123

Так они ничего и не умеют.

На самом деле работает, но при попытке использовать фичу повторно запросит разрешение на использование.

grem ★★★★★
()

а использовать Let’s Encrypt видимо религия не позволяет

Финансовые учреждения должны использовать сертификаты ev.

Let’s Encrypt предлагает сертификаты с подтверждением домена (Domain Validation, DV). Мы не выпускаем сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV), потому что не можем пока автоматизировать выдачу таких сертификатов.

Все остальное даже не читал, ибо тупь.

AVL2 ★★★★★
()
Ответ на: комментарий от grem

А приложение сбербанка вообще не работает без этих разрешений. Просто не запускается. Вот зачем все эти разрешения просто чтобы посмотреть сколько у меня денег на карточке? Они для этого не нужны, а нужны для сбора инфы пользователя.

vbcnthfkmnth123 ★★★★★
()
Ответ на: комментарий от grem

Ни разу не встречал, но ок, понимаю. Но это прям один случай на тысячу, когда веб удобнее приложения, при 999 наоборот. А у какие там сертификаты в приложении, мне вообще до фонаря, например.

George
()
Ответ на: комментарий от vbcnthfkmnth123

Это проблема Android, а не приложения. На iOS при отключении разрешений приложение продолжает работать, а при вызове функции, требующей отключенного разрешения, оно снова запросит это разрешение, и при отказе просто не выполнит запрошенное действие. Так что все претензии в Google.

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

Это не проблема Android, потому что на iOS приложение сбербанка работает без всех этих разрешений. Из чего я делаю вывод, что они просто хотят собрать данные. А для работы приложения эти данные не нужны.

vbcnthfkmnth123 ★★★★★
()
Последнее исправление: vbcnthfkmnth123 (всего исправлений: 1)
Ответ на: комментарий от vbcnthfkmnth123

Тяжело живётся параноику, понимаю. Выкинь мобилку, не пользуйся соцсетями и мессенжерами, а лучше уходи жить в землянку, в тайгу

George
()
Ответ на: комментарий от vbcnthfkmnth123

Это не проблема Android, потому что на iOS приложение сбербанка работает без всех этих разрешений.

У тебя проблемы с логикой. Аудиенция окончена, досвидонья.

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

Зачем для того чтобы посмотреть сколько у меня денег на карточке доступ к звонкам? А доступ к фото? А доступ к контактам? У Тинькова и Альфа-банка приложения на андроиде, где все это не требует и просто работает.

vbcnthfkmnth123 ★★★★★
()
Последнее исправление: vbcnthfkmnth123 (всего исправлений: 1)

а использовать Let’s Encrypt видимо религия не позволяет.

Чушь не пори, банки технически не могут использовать Let’s Encrypt. Как и многие другие. Где нужно что-то более чем бложик на TLS повесить.

Товарищ майор снова в обломе.

Ему плевать, хотя даже нет, он рад. Что государственный серт есть, иначе бы были миллионы дел по поводу кражи данных/денег/документов и прочего.

У тебя корневых сертов в ПК апруфнуто системой десятки и ещё десятки вшиты во все твои браузеры, если очень надо то всё о тебе добывается и на ладошке кому надо преподносится ибо интерпол (хотя хз как он функционирует сейчас, в смысле международных всех дел этих).

Но держать отдельный браузер для банков и вообще важного, не открывая в нём всякое разное хрен пойми чегошное хорошо и было хорошо ещё до государственного серта. Так что в принципе ничего не изменилось.

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от George

Такое несколько раз попадалось и в период реорганизации проблемы были. В остальном обычно по ИНН найти не проблема организацию.

grem ★★★★★
()
Ответ на: комментарий от vbcnthfkmnth123

Зачем для того чтобы посмотреть сколько у меня денег на карточке доступ к звонкам? А доступ к фото? А доступ к контактам?

Ещё раз повторяю для умственно усталых: это проблема проверки разрешений в Android, похоже, они банально не осилили исключения на уровне ОС, которые закрывают приложение, если ему не выставлены все разрешения.

Сравнивать с iOS не имеет смысла — технически это совсем другое приложение, написанное если не с нуля, то как минимум разделающее только фронтэнд-часть.

mord0d ★★★★★
()
Ответ на: комментарий от vbcnthfkmnth123

Еще одна причина не использовать их приложение

Скорее, причина не пользоваться Android. ☺

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

Ну вот тут ты не прав - на андроид точно так же все работает, кроме функций, которым нужно конкретное разрешение, и он их снова каждый раз спрашивает. Но ведь это может быть кастомный андроид у товарища параноика, что невозможно с iOS

George
()
Ответ на: комментарий от George

Ну вот тут ты не прав - на андроид точно так же все работает, кроме функций, которым нужно конкретное разрешение, и он их снова каждый раз спрашивает. Но ведь это может быть кастомный андроид у товарища параноика

Когда я последний раз тыкал Android, там это было прям проблемой. Не знаю, кастомный он был, или ещё что, я в этом не разбираюсь, у меня никогда не было смартфона с Android.

это может быть кастомный андроид у товарища параноика, что невозможно с iOS

Jailbreak никто не отменял. ☺ Впрочем, в нём не работают некоторые приложения, банковские — в их числе.

mord0d ★★★★★
()

И как всегда, найдутся фанатики, героически борящиеся с проблемой, высосаной из пальца…

Топикстартер, Сбер и так сольёт все твои данные куда нужно (как минимум налоговая; но по запросу любое ведомство получит интересующие его данные), этих данных у него хватает и без использования клиентом приложения/сайта — в договорах прописаны все необходимые документы плюс номер телефона (который оформлен либо на тебя, либо на ближайшего родственника).

mord0d ★★★★★
()
Ответ на: комментарий от vbcnthfkmnth123

Если смартфон десятилетней давности, то действительно проще. Но такие тела всё равно кроме функций звонилки сейчас мало на что способны.

turbognida
()
Ответ на: комментарий от vbcnthfkmnth123

У тебя кривые руки. Только что отключил доступ к контактам и авторизовался в приложении. При этом просто отключился поиск по контактам при попытке сделать перевод.

grem ★★★★★
()
Ответ на: комментарий от turbognida

Разница не так велика как ты думаешь. 9 лет назад у меня был смартфон на 6.2 дюйма с 3 гб оперативки, сейчас на 6.5 дюйма с 4 гб оперативки. Плюс еще на смартфоне 9-летней давности можно было спокойно переносить приложения на SD-карту, а в новом так нельзя. Прогресс

vbcnthfkmnth123 ★★★★★
()
Последнее исправление: vbcnthfkmnth123 (всего исправлений: 1)
Ответ на: комментарий от bdfy1

и второй иноагент дал ссылку на заблокированное в РФ

One ★★★★★
()
Ответ на: комментарий от vbcnthfkmnth123

Прочитал, спасибо. Это какие мощности надо иметь, чтобы весь трафик перехватывать и анализировать. Ну ладно, у казахов все хорошо теперь.

One ★★★★★
()

Последняя строка - прям мёд))

rt_free
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.