On Fri, 9 Aug 2019 00:39:17 +0300
artiom <artiom14@yandex.ru> wrote:
08.08.2019 10:31, Victor Wagner пишет:
On Thu, 8 Aug 2019 09:47:48 +0300
artiom <artiom14@yandex.ru> wrote:
> Как ГБ может заставить чужой браузер
> ПолярнаяЛиса отдать в JS тот фингерпринт, который должен
> быть у интересного юзеру сайта, а не тот, который в подсунутом
> чекистами сертификате?
Изначальная посылка была в том, что государство может заставить
браузер установить их корневой сертификат.
Не пользователя.
Это не совсем верная посылка. Поскольку обсуждение в списке рассылки
Mozilla было на тему "а надо ли разрешать пользователю ставить такой
сертификат, или его следует жестоко заблеклистить"
Любопытно. А если пользователь развёртывает систему на изолированном
заводе, при этом все его сертификаты, пользуемые WebUI,
самоподписанные, но он не хочет, чтобы операторам браузер как-то
сообщал о "левом сертификате" (и не сообщал о реально "левом")?
Ну очевидно сертификат изолировнного от интернета CA не попадет в
блеклист, встроенный в браузер, именно потому, что разработчикам
браузера про этот сертификат никто не сообщит.
С Казахстаном-то проблема не в том, что это изолированная среда, а как
раз в том, что они хотели работать в публичном международном интернете.
А так-то подобные MitM сертификаты для корпоративных систем -
стандартнейшая практика. Тут вам и антивирус, и intrusion detection.