Удалёнка: опыт и лайфхаки
Реклама
Комментарии 20
+4

Кто, что и у кого пытается украсть? Кто главные герои вашего комментария и каков объект кражи?

+4
Ваша «свобода» (свобода наступить в горшок с дерьмом вкорячить себе казаха-по-середине) угрожает моей — моё правительство, поглядев на успешный опыт соседа, может попытаться провернуть такой же финт ушами.

Теперь же, вдобавок к проблемам установки сертификата (не во весь софт его так просто запихнуть), будут и проблемы отключения обновлений браузера (в новых версиях браузеров этот сертификат в чёрном списке изначально) + отключения обновления чёрного списка, что ещё больше увкличивает число тех, кто не осилит = число недовольных граждан. Большая ошибка недооценить недовольство, например, родителей, ребёнок которых требует «Машу и медведя» и прочих «свинок Пепп», а ютубчик не работает из-за дуболомов в правительстве. Это прекрасный способ настроить против себя даже ту часть населения, которая далека от политики.
+2

https://blog.mozilla.org/security/%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0-%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5%D0%B9-%D0%BD%D0%B0-%D1%82%D0%B5%D1%80%D1%80%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%B8-%D0%BA/


В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.
+1

Кстати, интересный момент:


  • Mozilla открыто пишет, название своего конкурента


    В целях защиты наших пользователей Firefox вместе с Chrome
    To protect our users, Firefox, together with Chrome,

  • Google не указывает конкретных других браузеров


    Chrome, along with other browsers

+1
Хорошо подмечено. Почему то сразу вспомнилось:
"— Нас будет трое, из которых один раненый, и в придачу юноша, почти ребёнок, а скажут, скажут что нас было четверо."
0
Это из «Трёх мушкеторов» цитата)
Упс, не заметил предыдущего комментатора.
0

Я правильно понимаю, что


  1. В Казахстане весь* TLS трафик идёт через какие-то средства анализа, которые подменяют сертификат на свой
  2. Если корневой сертификат для MiM не установлен, то все* HTTPS сайты будут недоступны по причине подмены сертификата

Следовательно


  1. После обновления Firefox/Chrome пользователи обнаружат, что HTTPS сайты* накрылись?

Превосходный ход.


*: может, не весь, а особо интересные сайты

0

С одной стороны Firefox с своем посте вносит конструктивные предложения о том, что нужно делать пользователю:


Мы рекомендуем пользователям в Казахстане, затронутых этим изменением, рассмотреть возможность использования ПО виртуальной частной сети (VPN) или браузера Tor для доступа к Интернету. Мы также настоятельно рекомендуем всем, кто выполнил действия по установке корневого сертификата правительства Казахстана, удалить его с ваших устройств и немедленно изменить ваши пароли, используя надежный уникальный пароль для каждой из ваших учетных записей в Интернете.

С другой стороны сейчас эксперимент со стороны правительства закончен, а браузеры просто оставили некоторую защиту от дурака (опять же подчеркну — после окончания MITM'а): мало ли кем конкретно этот сертификат может быть скомпрометирован.

0
Трафик уже не MitM-ится, поэтому следствие неверно. Если Казахстан захочет повторить эксперимент, используя этот же самый сертификат, тогда да, те ресурсы, соединение с которыми в Казахстане захотят MitM-ить, будут недоступны.
0
Вот и «потестировали»…

Мне теперь интересно, что дальше будет. То что клептократы, узурпировшие власть в Казахстане не оставят попыток контролировать информационное пространство, в этом я не сомневаюсь.
Попытались «с наскока» в лоб, тупо и топорно решить эту проблему, получили по рукам, отползли… Но попыток то не оставят.

Доступ к интернету «централизован». И власти имеют доступ к рубильнику, с помощью которого точечно и глобально могут отключать интернет. Но это дорогое решение, ибо ИТ активно и прочно вошло в жизнь казахстанцев. Даже та же самая безналичная оплата, можно смело идти на базар без наличности. Все принимают онлайн переводы через банковское приложение по номеру телефона.

Другой вариант — стоить свой огороженный «чебурнет». О чем активно сейчас ведутся дискуссию в РФ, да не только ведутся, но и делается многое для этого. Где будет запрещено все, кроме того, что разрешено.

А тут еще Илон Маск с глобальным интернетом, и не только он один. Да, нелегко приходится клептократом, все сложнее и сложнее воровать… Не то что раньше… Будь ты проклята эта цивилизация, не дают нормально «человеку» грабить и оболванивать свой народ.

НЛО прилетело и опубликовало эту надпись здесь
0

. (Отвечал не на заданный вопрос, сори)


А по теме, Mozilla пишет так:


Тем не менее, когда пользователь в Казахстане устанавливает корневой сертификат, предоставленный своим провайдером, он выбирает центр сертификации, который не обязан следовать каким-либо правилам и может выдать сертификат для любого сайта любому пользователю.

То есть Mozilla не доверяет этому центру сертификации, что можно интерпретировать как "компрометация" сертификата.

НЛО прилетело и опубликовало эту надпись здесь
Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.