Как запретить доступ к определенной странице сайта?
Как запретить доступ к определенной странице сайта пользователю Windows?
Например есть сайт vk.com, также есть его определенная страница vk.com/some/blabla.
Вопрос в том, можно ли разрешить пользователю открывать сайт вк и любые страницы, кроме vk.com/some/blabla на уровне ОС?
Блокировка через файл hosts, файрвол, роутер происходит по IP-адресу. Мне такое не подходит, так как оно будет блокировать весь трафик с этого айпишника.
Нужна блокировка только определенной страницы. А лучше не блокировка, а редирект с vk.com/some/blabl обратно на vk.com
На уровне ОС не могу подскахать, но можно на уровне какого-нибудь локального прокси, только нужно будет добавить сертефикат прокси в список доверенных на компьютере.
Николай, можно и по другому, есть много вариантов запрета доступа, зависит от ваших навыков, как программиста, так и администратора. Мне не известно с какими навыками, вы хотите осуществить подобное.
Можно взглянуть в сторону каких-нибудь firewall, некоторые из них возможно способы блокировать доступ избирательно к сайту, а не целиком.
VasyaID, каспер эндпойнт секурити делает кстати MitM, с включенной защитой все сертификаты в хроме от Каспера. Думаю он умеет и постранично фильтровать.
VasyaID, потому что вечер субботы, рабочий комп с этим добром остался на работе.
и оно если что ставится из-под админа, вписывает свой корневой в хранилище сертификатов в винду, и что хром, что остальные послушно ему верят.
VasyaID, понимаю конечно, сам недавно коллег просвещал как это все устроено (в том числе в связи с выпуском отечественных сертификатов).
Админ накатил централизованно по домену, так что если кашпировский протечет не моя головная боль.
У меня одно правило на этот счет - конторский комп для конторских дел.
>Однако я сииильно сомневаюсь что так и есть, как ты говоришь - браузер должен спрашивать на каждом сайте о приёме левого сертификата VasyaID, если браузеру дать корневой сертификат, и сказать "доверяй ему" - он будет доверять ему, и всем подписанным им сертификатам без каких-либо вопросов.
VasyaID, и кто ж ему запретит, можно узнать?
Ну, скажем, уточним понятие "корневой": не тот, который microsoft, или mozilla, или google считают доверенными, а тот, который в Key Usage имеет расширение keyCertSign. То есть сертификат Certification Authority (CA, Центр Сертификации, ЦС). Слово "корневой" тут фигурирует только потому, что CA могут быть корневые или подчинённые (промежуточные) - выстраивая цепочку доверия от корневого. Корневые - всегда самоподписанные (таким образом первые в цепочке), промежуточные - подписанные другим (вышестоящим) CA.
То есть, если коротко, корневой сертификат - это ЛЮБОЙ самоподписанный сертификат CA.
Таким вот нехитрым образом это может быть сертификат, выпущенный кем угодно. Даже мной, прямо сейчас. И подписать я им смогу всё, что мне заблагорассудится. Вопрос лишь в том, кто этой подписи будет доверять. А для установления отношений доверия такой сертификат просто надо добавить в хранилище "Доверенные корневые центры сертификации" на конкретной виндовой машине (про линупсы, фряхи и маки не в курсе, сорян), либо в хранилище браузера в аналогичный раздел.
В случае каспера почти наверняка поднимается локальный прокси, браузер заворачивается на него, прокси подменяет сертификаты целевых сайтов на тут же на лету выпускаемые и подписываемые сертификатом каспера, добавленным в корневые на конкретной машине. Причём этот сертификат каспера совершенно необязательно как-либо централизовано распространяем, а вполне может быть сгенерирован при установке самого каспера на конкретную машину и добавлен в доверенные (и даже может перегенерироваться периодически для вящей безопасности, ха-ха). Это позволяет конкретной инстанции каспера на конкретной машине совершать митм-атаку на все попытки доступа к внешним ресурсам с этой машины. И, таким образом, в том числе произвольно блокировать всё, что угодно, по любым мыслимым критериям.
VasyaID, настройки блокировки адресов есть, хостов или урлов отдельных не понял пока, сходу попробовал, не вышло. Но у меня full MitM не активирован.
Что касается браузеров, похоже имеет место некий список, к примеру vk.com и в хроме, и в портабельном FF получают сертификаты от каспера, а nytimes.com в обоих случаях открывается с сертификатами от DigiCert.
VasyaID,
>Я в курсе как работает mitm-proxy. Я его даже юзаю изредка для анализа траффика.
был бы в курсе - не писал бы того, что пишешь, и не удивлялся бы банальным вещам.
>Пожалуй на этом можно и закончить :)
Ну, если тебя смущает слово "самоподписанный" - так это всего лишь от непонимания того, как это работает. Любой корневой сертификат CA подписан закрытым ключом от своей собственной пары. Это просто задаёт первое звено в цепочке доверия, не более (случаи с перекрёстной подписью не рассматриваем, это за рамками обсуждения). Любой сертификат, который ты обнаружишь в хранилище корневых сертификатов винды при чистой установке - самоподписанный. Да-да, и все эти VeriSign, и Microsoft Root, и прочее.
Ты всё, очевидно, цепляешься за коннотации, сопутствующие словам "корневой", "самоподписанный", и т.д., но не стоит этого делать. Это всё сугубо технические термины.
И то, что каспер может влезть своими лапами куда угодно, как и потенциально любой софт с привилегиями администратора в системе - тоже ничего особо удивительного. Тем более, что KIS как таковой специально затачивается на отлов всех возможных внешних доступов с машины. Понятно, что он и хранилище portable фаерфокса найдёт, и влезет в него. Ну, как бы, что мешает то? Впрочем, особо хитрые (шифрованный образ+vm) portable-образы действительно могут этого избежать, но кто-то такими заморачивался?
Да и то, что любой софт, подобный KIS, создаёт дополнительные векторы атаки - тоже дааааавно не секрет. Они не могут работать по-другому. Вопрос лишь в балансе безопасности и функционала - как всегда.
Простой
