LinuxMint.com.ru

Ищу какое-то простое и безопасное решение для использования сбера с его новыми сертификатами. Поскольку устанавливать сертификаты на основной браузер не хочу, подумываю об установке браузера Atom со встроенными сертификатами. Собственно к атому также доверия никакого, запуск планирую в изолированной среде Firejail. Как думаете, стоит ли идти таким путём? Если да, то какие лучше использовать конфигурации для Firejail?

Kurum писал(а): ↑
08 янв 2023, 21:47
Ищу какое-то простое и безопасное решение для использования сбера с его новыми сертификатами.

Виртуальная машина с отдельной системой. Самое простое, (виртуалку поставить через GUI - ничего сложного, хоть virtualbox, хоть qemu-kvm + virt-manager) и максимально безопасное.

Эм... Ну виртуалка - это долго загружать каждый раз. Неужели Firejail'a для изоляции не достаточно?

Kurum писал(а): ↑
08 янв 2023, 22:18
Неужели Firejail'a для изоляции не достаточно?

Это смотря кому. Вопрос личной паранойи.
Можно вообще просто в основном броузере отдельный профиль завести, туда сертификат поставить, и не заморачиваться.

В чем проблема сертификаты то поставить? Делов на две минуты с чтением мануала

WWolf писал(а): ↑
09 янв 2023, 08:59
В чем проблема сертификаты то поставить?

Ты что низя! Неизвестный же центр сертификации! А вдруг МИТМ!

Kurum, когда понадобилось, создал отдельный профиль, никаких проблем...
Хотя на двух других машинах поставил *.pem от сбербанка на основной - FF, всё робит. Можно легко удалить.
Тут вопрос - какие задачи необходимы, ну и личную паранойю никто не отменял.

В общем, решил свой вопрос использованием фаерфокса с Firejail. Оба сертификата скачены в рабочий каталог изолированного браузера в Загрузках. Вроде удобно.
firejail --private=/home/name/Загрузки/name firefox --no-remote
Естественно создан ярлык на изолированнную версию браузера в главном меню.

А если создать отдельную пользовательскую учётку в системе и под неё поставить скажем яндекс браузер... это достаточная мера предосторожности для основной учётки в системе?

Дмитрий писал(а): ↑
10 янв 2023, 11:29
это достаточная мера предосторожности для основной учётки в системе?

Достаточная - для чего?

Такая постановка вопроса, это как "А свитер достаточно одевать?". На полюсе - нет, а в Африке - излишне.

slant писал(а): ↑
10 янв 2023, 14:23

Дмитрий писал(а): ↑
10 янв 2023, 11:29
это достаточная мера предосторожности для основной учётки в системе?
Достаточная - для чего?

Такая постановка вопроса, это как "А свитер достаточно одевать?". На полюсе - нет, а в Африке - излишне.

Дак я же писал "для основной учётки в системе?"... если буквализмом и снобизмом не страдать... очевидно что вопрос о изолированности сертификата от основной учётной записи в ситеме... ну или наоборот изолированности основной учётки от левого сертефиката...

Дмитрий писал(а): ↑
10 янв 2023, 14:34
если буквализмом и снобизмом не страдать...

А если не страдать фигней и паранойей, этот вопрос вообще не возникнет.

Дмитрий писал(а): ↑
10 янв 2023, 14:34
очевидно что вопрос о изолированности сертификата от основной учётной записи в ситеме... ну или наоборот изолированности основной учётки от левого сертефиката...

Очевидно, что сертификат - не является исполняемым кодом, потому изолировать его "просто чтобы было" не имеет никакого смысла. Сертификат - это, грубо говоря, ключ к шифру. Как пароль. И все.

Изоляция сертификата имеет смысл, если вы боитесь что его сопрут. Что бессмысленно для сертификата открытого ключа (который и ставится в броузер) - это собственную цифровую подпись защищать надо, если она у вас есть. Или если вы боитесь кому-то показывать, что сертификат у вас есть вообще (т.е. вы создаете себе "альтернативную личность" для работы с этими ресурсами).

Потому и возникает вопрос "достаточно для чего?". Т.к. в зависимости от того, чего именно вы боитесь, и подход к "защите" разный.

Ладно, видимо, все опасения по поводу корневого сертификата беспочвены.
А советы с вируальной машиной, видимо, были сарказмом.

О, думать начал

slant писал(а): ↑
10 янв 2023, 16:24

Дмитрий писал(а): ↑
10 янв 2023, 14:34
если буквализмом и снобизмом не страдать...
А если не страдать фигней и паранойей, этот вопрос вообще не возникнет.

Дмитрий писал(а): ↑
10 янв 2023, 14:34
очевидно что вопрос о изолированности сертификата от основной учётной записи в ситеме... ну или наоборот изолированности основной учётки от левого сертефиката...
Очевидно, что сертификат - не является исполняемым кодом, потому изолировать его "просто чтобы было" не имеет никакого смысла. Сертификат - это, грубо говоря, ключ к шифру. Как пароль. И все.

Изоляция сертификата имеет смысл, если вы боитесь что его сопрут. Что бессмысленно для сертификата открытого ключа (который и ставится в броузер) - это собственную цифровую подпись защищать надо, если она у вас есть. Или если вы боитесь кому-то показывать, что сертификат у вас есть вообще (т.е. вы создаете себе "альтернативную личность" для работы с этими ресурсами).

Потому и возникает вопрос "достаточно для чего?". Т.к. в зависимости от того, чего именно вы боитесь, и подход к "защите" разный.

Ошибаетесь. Суть в том что вместе с этим сертификатом у вас появится новый доверенный центр обработки сертификатов... и тут вопрос насколько вы лично довереяте этому центру сертификации, т. к. он получает возможность без предупреждение подменять сертификаты других ресурсов и таким образом получать доступ к вашему шифрованому трафику... и нет, я не доверяю российскому сервису сертификации.

Дмитрий писал(а): ↑
11 янв 2023, 11:42
я не доверяю российскому сервису сертификации

а всем остальным да?

Дмитрий писал(а): ↑
11 янв 2023, 11:42
я не доверяю российскому сервису сертификации.

Полагал, что тема уже была раскрыта (сообщение). А сейчас какой вопрос обсуждается: доверяю или не доверяю сертификату?

WWolf писал(а): ↑
11 янв 2023, 12:56

Дмитрий писал(а): ↑
11 янв 2023, 11:42
я не доверяю российскому сервису сертификации
а всем остальным да?

Относительно российского несколько больше

madesta писал(а): ↑
11 янв 2023, 12:57

Дмитрий писал(а): ↑
11 янв 2023, 11:42
я не доверяю российскому сервису сертификации.
Полагал, что тема уже была раскрыта (сообщение). А сейчас какой вопрос обсуждается: доверяю или не доверяю сертификату?

Обсуждается непосредственно сопряжённый вопрос о доверии только не сертификату, а российскому сервису сертификации.

Хотя на обсуждение этого вопроса тема опустилась от моего вопроса Браузер Atom через Firejail + Wine для сбера? (Пост Дмитрий #129231) о состоятельности альтернативного метода изолировать взаимодействие с этим сервисом сертификации... так что если нить беседы потеряна, скромно повторюсь, вопрос по прежнему актуален.

Дмитрий писал(а): ↑
11 янв 2023, 13:06
Относительно российского несколько больше

Хотелось бы услышать аргументы на которых основано доверие?

Не по теме

А я вообще никому не доверяю, даже себе