LinuxMint.com.ru

rogoznik писал(а): ↑

11 янв 2023, 13:27

Дмитрий писал(а): ↑

11 янв 2023, 13:06

Относительно российского несколько больше

Хотелось бы услышать аргументы на которых основано доверие?

Нынче за такие аргументы статья... а впрочем этого и достаточно для аргументации доверия...

Действительно.
Российский УЦ плохой - потому что российский и данные сливает только российским спец.службам.
А забугорные УЦ хорошие - потому что сливают данные всем кто попросит, и теперь, кроме российских спец.служб.
Логика.

rogoznik писал(а): ↑

11 янв 2023, 13:55

Действительно.
Российский УЦ плохой - потому что российский и данные сливает только российским спец.службам.
А забугорные УЦ хорошие - потому что сливают данные всем кто попросит, и теперь, кроме российских спец.служб.
Логика.

Не знаю чего тебя так смешит... но логика верная. Я физически нахожусь на территории действия российских силовых органов... так что в данный момент приоритет недоверия вполне очевиден... впрочем это всё давно глубокий офтоп...

Дмитрий писал(а): ↑

11 янв 2023, 14:07

приоритет недоверия

По вопросу приоритетов недоверия ответ, на мой взгляд, был бы очевиден: "не доверяете ‒ не пользуйтесь ни сервисами, ни продуктами."

Дмитрий писал(а): ↑

11 янв 2023, 14:07

Я физически нахожусь на территории действия

Дмитрий, а что ж ты раньше не боялся? Коли так боишься не пользуйся интернетом

Дмитрий писал(а): ↑

11 янв 2023, 11:42

Ошибаетесь. Суть в том что вместе с этим сертификатом у вас появится новый доверенный центр обработки сертификатов... и тут вопрос насколько вы лично довереяте этому центру сертификации, т. к. он получает возможность без предупреждение подменять сертификаты других ресурсов и таким образом получать доступ к вашему шифрованому трафику...

Ошибаетесь здесь вы. Точнее говоря - путаете безопасность на основе доверия к центру выпустившему сертификат, и безопасность локальной системы (влияния на нее этого сертификата).

Так вот, это - "в огороде бузина, а в Киеве дядька". От того что вы в один профиль броузера сертификат установите - ничего нигде больше не поменяется. Сертификат - не является исполняемым кодом, ничего нигде и никак он менять не может. Это просто ключ (в данном случае - к с сайту). Если вы этот ключ не используете (т.е. в другом профиле броузера находитесь) - он ни на что не влияет.

Вам же его не в корневое общесистемное хранилище предлагают ставить - вот там он уже действительно будет влиять на все соединения системы. Но если вы такую глупость сделаете - никакая изоляция вам уже не поможет.

Что до опасности соединения с теми сайтами которые удостоверяет данный сертификат - дык тут вопрос нужно ставить вынося сертификат за скобки. Т.е: "вы доверяете этим сайтам настолько, чтобы ими пользоваться?" Если нет - нет смысла сертификат ставить и на эти сайты вообще заходить. А если да - нет смысла извращаться с "изоляцией" сертификата. Т.к. на вашей локальной машине он ничего сам не делает. Это все равно, что .txt файл изолировать.

Изолировать броузер в профиле которого сертификат стоит - ну тоже сомнительное действие. Просто потому, что и без сертификата брозуер мог делать (и делал) все то же самое что и с ним. Только это было во время просмотра всего множества сайтов в интернете кроме конкретно этих. Что возвращает нас конкретно к вопросу о доверии к этим самым сайтам. Причем чтобы навредить вашей системе, это им надо быть более опасными и агрессивными чем подавляющее число сайтов в интернете. Сертификат не открывает каких-то дырок или новых уязвимостей в броузере - он всего лишь играет роль "фейс-контроля" - позволяет подтвердить, что сайт на который вы заходите - именно тот, для которого сертификат выпущен. И все.

Т.е. если у вас паранойя - сажайте броузер в изоляцию постоянно и навсегда. Тогда это имеет хоть какой-то смысл.

slant писал(а): ↑

11 янв 2023, 19:19

От того что вы в один профиль броузера сертификат установите - ничего нигде больше не поменяется. Сертификат - не является исполняемым кодом, ничего нигде и никак он менять не может. Это просто ключ (в данном случае - к с сайту). Если вы этот ключ не используете (т.е. в другом профиле броузера находитесь) - он ни на что не влияет.

Вам же его не в корневое общесистемное хранилище предлагают ставить - вот там он уже действительно будет влиять на все соединения системы. Но если вы такую глупость сделаете - никакая изоляция вам уже не поможет.

Дак вот по сути об этом я и спрашивал... я не изучал как это устроено в системе, какие браузеры имеют свои хранилища, а какие испльзуют общесистемное. Я хочу что бы мой основной браузер используемый для основного сёрфинга не использовал российские сервисы обработки сертификатов... спрашивал в разрезе отдельно взятого решение которое мне представлялось наиболее удобным... ровно перед тем когда перешли к обсуждению околотематических религиозных вопросов...

Дмитрий писал(а): ↑

12 янв 2023, 18:19

Дак вот по сути об этом я и спрашивал...

Как спросили - так я и ответил. Правильно заданный вопрос - он сильно помогает получить нужный ответ. А телепатией я таки не владею, чтобы догадаться - что же имелось в виду.

Дмитрий писал(а): ↑

12 янв 2023, 18:19

Я хочу что бы мой основной браузер используемый для основного сёрфинга не использовал российские сервисы обработки сертификатов...

Во-о-от... С этого надо было начинать.
Вообще, есть простое правило: если вы не знаете точно, как сформулировать вопрос, спрашивайте не "как сделать Х?" или "Правильно ли?..".
Задавайте вопрос вида "Как результат, я хочу получить Х - что для этого нужно?"

Я к слову не заказывал развёрнутых лекций о сертефикатах и работе сервисов сертификации... не спрашивал советов о целесообразности мне посещать не посещать те или иные сайты... не спрашивал чьей либо психологической помощи с моей глубочайшей и запущенной параноей... но без сомнения мне было очень приятно узнать что я нахожусь в доверительном обществе открытых и свободных от предрасудков людей...

НО... я задавал, возможно безграмотный, но всё же интересующий меня вопрос... и спустя пару суток приятных бесед у меня всё же остались некоторые сомнения... попробую перефразировать его в более грамотную форму опираясь на титанические просвятительские труды slant...

Если я заведу отдельную пользовательскую учётку в системе (не потому что это тру решение, а потому что мне так удобно)... и там поставлю яндекс браузер... означает ли это что на уровне системы и основной учётной записи не будет ни каких сертификатов связанных с российскими сервисами сертификаци? Означает ли это что мой сёрфинг в интернете под основной учёткой в основном браузере будет не зависить от российских сервисов сертификации?

Дмитрий писал(а): ↑

12 янв 2023, 18:41

Если я заведу отдельную пользовательскую учётку в системе

даже если ты под своей учёткой поставишь, сертификат будет использоваться только на тех сайтах, которые о нём знают и которые его требуют... в остальных случаях как и тонна других сертификатов - будет лежать мёртвым грузом в системе

WWolf писал(а): ↑

12 янв 2023, 18:54

Дмитрий писал(а): ↑

12 янв 2023, 18:41

Если я заведу отдельную пользовательскую учётку в системе

даже если ты под своей учёткой поставишь, сертификат будет использоваться только на тех сайтах, которые о нём знают и которые его требуют... в остальных случаях как и тонна других сертификатов - будет лежать мёртвым грузом в системе

Опять сертификат...

Я говорю о сервисе сертификации, меня интересует что бы мой основной браузер не подключался к российским сервисам сертификации.

Дмитрий, да просто поставь браузер второй(пусть будет Я.Браузер) и пользуйся даже в основной учетке. У браузера есть свое хранилище сертификатов, другой браузер в него не лезет.
Будешь пользоваться основным браузером - ему пофиг есть у тебя в системе еще браузеры или нет, он пользуется только свои хранилищем сертификатов.
И браузер на прямую не обращается к центру сертификации, за исключением использования цифровой подписи и дополнений в браузере. Но и тут не сам браузер стучится в центр сертификации, а дополнение.

Дмитрий писал(а): ↑

12 янв 2023, 18:41

Если я заведу отдельную пользовательскую учётку в системе (не потому что это тру решение, а потому что мне так удобно)... и там поставлю яндекс браузер... означает ли это что на уровне системы и основной учётной записи не будет ни каких сертификатов связанных с российскими сервисами сертификаци? Означает ли это что мой сёрфинг в интернете под основной учёткой в основном браузере будет не зависить от российских сервисов сертификации?

Краткий ответ (если читать лень) - да.

Полный ответ:
1. Есть два места для хранения сертификата - общее хранилище системы, и локальное хранилище броузера.
2. Системное хранилище - общее для всех учетных записей, пользовательских и не только. (Но и поставить туда что-то может только root или приравненный к нему).
3. Хранилище броузера - в firefox и его клонах привязано даже не к учетной записи пользователя, а к отдельному профилю самого броузера. То же самое у vivaldi (и chromium). Профили независимы (даже расширения нужно ставить в каждый профиль отдельно, не говоря уже о более личном).
4. Учетные записи системы полностью разделены, и если ничего в этом не менялось намеренно - один пользователь вообще не может получить доступ к файлам другого (в старых версиях ubuntu был доступ только на чтение по умолчанию 755/644 - для каталогов/файлов. В новых убрали - 700/600). Если такое право не выдано явным образом. Разумеется и к профилю броузера (а значит и сертификату) из другой учетной записи доступа тоже нет.

Сервис сертификации выпускает сертификат (ключ), который пользователь ставит у себя на ПК (либо сам ставит, либо сертификат уже встроен в броузер). Сайт при установке соединения с броузером запрашивает сертификат, но ни сайт, ни сертификат (мы помним, что сертификат - это всего лишь ключ) в этот момент не обращаются к сервису сертификации. Разве не так?