Защищаемся от российского TLS-сертификата в сбербанке и других гос. сайтах

Не пост, а откровение. Спасибо, друг.

Мы спасены?

Ты лучше думай о дырках в Matrix.

Конечно. На таких людях, как ТС, мир держится.

Хвала Иштар!

Видел, читал… Об этом мы еще поговорим, когда буду подытоживать печальный опыт использования свободных мессенджеров.

То есть даже не в виртуалке *facepalm.png*.

Только отдельное железо, только публичный вайфай.

Язабан тов. майора.

использовать Let’s Encrypt видимо религия не позволяет

LE для шарашек. Банкам нужен сертификат с именем организации в нём.

Последний раз за пять лет зашёл на сайт сбера лишь с целью посмотреть на сертификат в свете последних событий. А есть люди, кто туда реально ходит? Даже когда пользовался их услугами - максимум, приложение, но точно не сайт. Зачем вы это делаете?

Я предполагаю, что приложение сбера сливает инфу с телефона. Видел сколько оно разрешений требует? На контакты, фотографии, звонки. Поэтому только онлайн.

Может тебе лечиться?

… а использовать Let’s Encrypt видимо религия не позволяет.

Let’s Encrypt понятное дело находится в юридическом поле Марсианской Федерации… Ему до наших земных разборок дела нет. facepalm.jpg

Очуметь, приложение требует доступ к камере, чтобы можно было фоткать qr-коды; к контактам для переводов по номеру из адресной книги; к файлам,чтобы сохранять файлы выписок…. ну прямо что-то невероятное. Сенсация не иначе.

Это приложение отказывается работать без этих разрешений. Поэтому я предполагаю, что изначальная цель приложения сбербанка - это сбор инфы пользователя, а когда разрешения на доступ где инфу собрать ему не даешь, то и смысла работать ему нет. А доступ к севисам банка, это так побочный функционал. Подобные разрешений ведь не требуют ни приложения Тинькова, ни Альфа-банка.

Иногда, но редко, попадаются бумажные квитанции, например, от детского сада, когда может не оказаться qr кода, а из-за смены ИНН по новому ИНН организацию не находит. Приходится вводить много данных реквизитов, что с телефона в приложении неудобно делать.

Ох уж эти читатели Медузы 😁

Вам таки есть что скрывать?

Так они ничего и не умеют.

На самом деле работает, но при попытке использовать фичу повторно запросит разрешение на использование.

а использовать Let’s Encrypt видимо религия не позволяет

Финансовые учреждения должны использовать сертификаты ev.

Let’s Encrypt предлагает сертификаты с подтверждением домена (Domain Validation, DV). Мы не выпускаем сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV), потому что не можем пока автоматизировать выдачу таких сертификатов.

Все остальное даже не читал, ибо тупь.

А приложение сбербанка вообще не работает без этих разрешений. Просто не запускается. Вот зачем все эти разрешения просто чтобы посмотреть сколько у меня денег на карточке? Они для этого не нужны, а нужны для сбора инфы пользователя.

Ни разу не встречал, но ок, понимаю. Но это прям один случай на тысячу, когда веб удобнее приложения, при 999 наоборот. А у какие там сертификаты в приложении, мне вообще до фонаря, например.

Это проблема Android, а не приложения. На iOS при отключении разрешений приложение продолжает работать, а при вызове функции, требующей отключенного разрешения, оно снова запросит это разрешение, и при отказе просто не выполнит запрошенное действие. Так что все претензии в Google.

Это не проблема Android, потому что на iOS приложение сбербанка работает без всех этих разрешений. Из чего я делаю вывод, что они просто хотят собрать данные. А для работы приложения эти данные не нужны.

Тяжело живётся параноику, понимаю. Выкинь мобилку, не пользуйся соцсетями и мессенжерами, а лучше уходи жить в землянку, в тайгу

Это не проблема Android, потому что на iOS приложение сбербанка работает без всех этих разрешений.

У тебя проблемы с логикой. Аудиенция окончена, досвидонья.

Зачем для того чтобы посмотреть сколько у меня денег на карточке доступ к звонкам? А доступ к фото? А доступ к контактам? У Тинькова и Альфа-банка приложения на андроиде, где все это не требует и просто работает.

а использовать Let’s Encrypt видимо религия не позволяет.

Чушь не пори, банки технически не могут использовать Let’s Encrypt. Как и многие другие. Где нужно что-то более чем бложик на TLS повесить.

Товарищ майор снова в обломе.

Ему плевать, хотя даже нет, он рад. Что государственный серт есть, иначе бы были миллионы дел по поводу кражи данных/денег/документов и прочего.

У тебя корневых сертов в ПК апруфнуто системой десятки и ещё десятки вшиты во все твои браузеры, если очень надо то всё о тебе добывается и на ладошке кому надо преподносится ибо интерпол (хотя хз как он функционирует сейчас, в смысле международных всех дел этих).

Но держать отдельный браузер для банков и вообще важного, не открывая в нём всякое разное хрен пойми чегошное хорошо и было хорошо ещё до государственного серта. Так что в принципе ничего не изменилось.

Такое несколько раз попадалось и в период реорганизации проблемы были. В остальном обычно по ИНН найти не проблема организацию.

Ты уже находил свои данные в сливах той же например Яндекс.Еды?

Зачем для того чтобы посмотреть сколько у меня денег на карточке доступ к звонкам? А доступ к фото? А доступ к контактам?

Ещё раз повторяю для умственно усталых: это проблема проверки разрешений в Android, похоже, они банально не осилили исключения на уровне ОС, которые закрывают приложение, если ему не выставлены все разрешения.

Сравнивать с iOS не имеет смысла — технически это совсем другое приложение, написанное если не с нуля, то как минимум разделающее только фронтэнд-часть.

Ни разу не пользовался яндекс едой, а что?

Еще одна причина не использовать их приложение, спасибо за изящное объяснение говнокода.

А я ни разу не пользовался соцсетями. Ну ты понимаешь к чему я веду?

Еще одна причина не использовать их приложение

Скорее, причина не пользоваться Android. ☺

Ну вот тут ты не прав - на андроид точно так же все работает, кроме функций, которым нужно конкретное разрешение, и он их снова каждый раз спрашивает. Но ведь это может быть кастомный андроид у товарища параноика, что невозможно с iOS

Купи бабушкофон и не мучай себя, смарт стучит на тебя 100%

Проще будет перепрошить телефон на Replicant - https://replicant.us/

Ну вот тут ты не прав - на андроид точно так же все работает, кроме функций, которым нужно конкретное разрешение, и он их снова каждый раз спрашивает. Но ведь это может быть кастомный андроид у товарища параноика

Когда я последний раз тыкал Android, там это было прям проблемой. Не знаю, кастомный он был, или ещё что, я в этом не разбираюсь, у меня никогда не было смартфона с Android.

это может быть кастомный андроид у товарища параноика, что невозможно с iOS

Jailbreak никто не отменял. ☺ Впрочем, в нём не работают некоторые приложения, банковские — в их числе.

И как всегда, найдутся фанатики, героически борящиеся с проблемой, высосаной из пальца…

Топикстартер, Сбер и так сольёт все твои данные куда нужно (как минимум налоговая; но по запросу любое ведомство получит интересующие его данные), этих данных у него хватает и без использования клиентом приложения/сайта — в договорах прописаны все необходимые документы плюс номер телефона (который оформлен либо на тебя, либо на ближайшего родственника).

Если смартфон десятилетней давности, то действительно проще. Но такие тела всё равно кроме функций звонилки сейчас мало на что способны.

товарищ иноагент, вас не узнать в гриме

https://meduza.io/feature/2022/10/10/sayt-sbera-ne-rabotaet-v-chrome-safari-i-drugih-populyarnyh-brauzerah-i-chto-teper-delat

а че там ? Вован из квартиры N5 с мобилой ? Этого бобра в любой БД полно

У тебя кривые руки. Только что отключил доступ к контактам и авторизовался в приложении. При этом просто отключился поиск по контактам при попытке сделать перевод.

Разница не так велика как ты думаешь. 9 лет назад у меня был смартфон на 6.2 дюйма с 3 гб оперативки, сейчас на 6.5 дюйма с 4 гб оперативки. Плюс еще на смартфоне 9-летней давности можно было спокойно переносить приложения на SD-карту, а в новом так нельзя. Прогресс

А что у казахов было? Пытался найти и не осилил.

https://www.opennet.ru/opennews/art.shtml?num=51329

https://www.opennet.ru/opennews/art.shtml?num=51123

https://www.opennet.ru/opennews/art.shtml?num=54206

https://www.opennet.ru/opennews/art.shtml?num=43442

и второй иноагент дал ссылку на заблокированное в РФ

Суммы заказов, имена, адреса.

Прочитал, спасибо. Это какие мощности надо иметь, чтобы весь трафик перехватывать и анализировать. Ну ладно, у казахов все хорошо теперь.

Последняя строка - прям мёд))