CityCat4

1. Сначала надо определиться, что есть вред. Разрушить часть оборудования? Стереть данные? Зашифровать что-нибудь важное? Превратить его в спамобот? Прожечь дырку в матрице монитора?
2. Можно.
3. Можно.
4. Может удалить, повредить, переписать файлы, к которым есть доступ по записи (по умолчанию - профиль, а также все папки, к которым явно не задавался доступ). Может скопировать и унести файлы, к которым есть доступ по чтению. Более продвинутый пользователь может запустить portable-программу с флэшки/DVD - и вся эта Ваша "типо безопасность" превращается в тыкву. Еще более продвинутый может запустить программу сброса админского пароля с флэшки/DVD
5. Скорее всего будет, но это зависит от софта

У Вас тут самая большая дыра, просто с трактор размером - это физический доступ к системнику. Не нужно быть Сноуденом, чтобы догадаться запустить Total Commander/Far с флэшки - и увидеть все диски. Не нужно быть Митником, чтобы записать на DVD пачку ломалок паролей админа - одна да сработает. Должна стоять либо программа контроля сменных носителей и блокировщик USB, либо оные носители должны отсутствовать в компе, а USB просто отключено (провода отцеплены от матери), корпус либо пломбирован, либо просто крепко затянут на все винты.

Ага, а TeamViewer офигенно безопасный, когда пускаешь свой рабочий стол через какое-то неведомое прокси...

Открыть лог и посмотреть с какого IP было подключение

АртемЪ дал замечательный ответ. Понятия "безопасный" и "удобный" - зачастую противоречат друг другу и как правило содержат взаимоисключающие требования. Я обычно спрашиваю в таких случаях - а вектор атаки каков? Чего опасаетесь? Если деанонимизции - то есть способы. Но они очень муторные и мееееедленные. Представьте себе, что Вы - агент по продаже женских купальников, работающий в Саудовской Аравии - чуть что, просто голову чик и все.

hidden-ом он является только для обычного юзера, да и тот может догадаться поставить Firebug - и все, Ваш hidden уже нифига не hidden...

Оригинальной документации на OpenSSL на русском никогда не было и скорее всего и не будет, есть только переводы. Для того чтобы понять, как он работает нужно учиться читать литературу на языке оригинала. Собственно говоря, функция OpenSSL в поднятии https состоит только в том, чтобы сам сертификата сгенерить, как его подключить к серверу - это уже маны на апач (ну или на чем там у Вас сервер) читать.
Впрочем могу одну книжку порекомендовать - Построение защищенных корпоративных сетей Там есть и про сертификаты, и про апач

Подвох в том, что деньги попросят потом. Сначала нужно чтобы "рыбка клюнула на мышку, важно чтоб не сорвалась"... (С) Летучая мышь
Нет там конечно никакого ни фонда, ни мильенов :) Будут некоторое время дурить и просить денег на какие-нибудь комиссии, страховки, еще-что-нибудь-на-что-хватит-фантазии. Некоторые умудряются таким образом потерять солидные суммы...

Ну, если у Вас в сети полный бардак и юзеры могут бесконтрольно включать свои устройства - таки да, немного повысит. Потому как 192.168 очень часто используется в качестве "адреса по умолчанию" в великом множестве дишманских сетевых устройств - воткнул такую балалайку в сеть с поднятым DHCP - и все, юзера пошли через нее.
Сканеров есть великое множество и самых разнообразных, которые ищут обрудование и находят его даже в отсутствие на нем IP-адреса. Пример - winbox, программа управления микротиками, которая подключается по маку.

Зашифровать текстовик одним паролем, который вызубрить наизусть. Или например, создать маленький дисочек BestCrypt'a, в котором хранить пароли. А пароль от дисочка помнить.

agentless мониторинг невозможен. Чтобы знать, что делается в виртуалке, нужно там иметь "своего человека", иначе Вы похожи на человека, который стоит перед закрытой дверью и пытается на основе шума за ней, а также подсчета входящих-выходящих людей понять, чем заняты в помещении...
Посмотрите советский фильм "Бармен из Золотого Якоря". Сам фильм посредственный. Но в нем есть идея - целая шпионская операция проворачивается ради установки агента (датчика)!

Для паролей браузера - встроенное хранилище FF + blur. Для паролей, связанных с TDE - Kwallet, для прочих - моск :)

Вы имеете в виду аутентификацию по сертификату? Выпустите себе сертификат на сервер, сертификат на клиента, и требуйте при соединении сертификат именно от Вашего УЦ. Запрос клиентского сертфииката выдается до начала любого обмена, в процессе установления защищенного соединения. Все брутеры-инжектеры будут отваливаться, как дохлые тараканы :)

Это стандартная практика. Но нужно иметь в виду три момента:
- файл с паролем должен быть вне веб-сервера
- в файле должен указываться пользователь имеющий права только на БД сайта и только минимально необходимые права
- MySQL должно принимать соединения только с 127.0.0.1

В смысле - адрес установки? Дом, квартиру? Если да, то и с обращением к провайдеру не узнаете - это ПДн, распространять которые провайдер не имеет права - за это может очень быстро и очень больно прилететь.

А что тут с чем будет связано, простите? И куда у Вас подключен провайдер?

- Точное местоположение телефона (равно как и любого другого устройства с симкой) у правительства будет вне зависимости от наличия Tor :)
- Точное местоположение роутера у провайдера есть всегда - Вы же с ним договор заключали. Ну или не Вы, но все равно заключали
- Беспроводная связь по определению небезопасная - потому что нет контроля за средой распространения

Начать надо с того, что определить - что есть "подозрительная активность" и что делать если она обнаружена :) Вот например, Стахановец ее может обнаруживать - так как он ее понимает. На тестовом компе я делаю переименование каталога, содержащего множество подкаталогов - например профиля Thunderbird - и получаю оповещение о подозрительной файловой активности!