В свежей сборке хрома есть флаг Certificate Transparency 2022 Policy (можно увидеть на странице chrome:flags). Если я правильно понимаю, он включен по дефолту. То есть, просто подсунуть сертификат от майора уже не получится.
"ФСБ имеет прямой доступ к корневым гостовским сертификатам..... А значит они легко могут устроить тебе mitm и расшифровать все данные. Причём на абсолютно любом сайте..."
Прости, всё ещё не понимаю. Формально, доступ к любому корневому сертификату имеет вообще кто угодно. Просто потому, что браузер, заходя на сайт по https, получает сертификат сайта, вместе с корневым (ну или корневой уже стоит в системе). Это просто набор чисел, который пересылается по сети.
Кажется, не хватает каких-то условий.
Или имелось в виду, что у майора есть доступ не только к сертификату, но и к приватному ключу, который к этому сертификату прилагается (что, кажется, позволяет как расшифровать траффик, так и сгенерировать новый серт для нужного сайта)?
hint000, ох. Вы таки не поверите. Вот решил я нарисовать АЛУ. Взял yEd graph editor. И получилась фигня. Просто потому что редактор не умеет делать то, что мне от него нужно. А нужно мне немного. Чтоб квадратики рисовались одинаковые (и не надо было ловить попиксельно их размер), чтоб стрелки приезжали в середину. Чтоб стрелок можно было две. И чтоб можно было расположение поправить. Но тут внезапно выяснилось, что если с размерами справиться ещё можно, то со стрелками - не очень. Пока стрелка одна - всё ок. Когда две - они входят в прямоугольничек случайным образом, и отрегулировать это невозможно. Воткнуть одну линию в середину другой тоже не получается. И вот из-за таких мелочей вместо Моно Лизы получается, кхм, превед медвед. Хоть, блин, в Paint Brash рисуй попиксельно.
Да, наверное можно пойти купить Visio (вроде он норм был), но не факт, что в нём не вылезет подобной гадости.
В общем, не нашёл я идеала.
А данная картинка, вроде как, нарисована редактором, который по внешним признакам как раз мне подходит. Отсюда и вопрос.
Если интересно, yEd позволил нарисовать вот такого уродца:
Василий Банников, Так. Вот я добровольно поставил корневой ГОСТовый серт, чтобы ходить на какой-нибудь сайт банка. Но какое к этому имеет отношение MITM и ФСБ?
Василий Банников, не очень понял, как связаны между собой ГОСТ и MITM. Вроде бы для осуществления MITM достаточно поставить в систему любой подходящий корневой сертификат, не обязательно ГОСТ. Главное поставить.
Ага! Значит надо не только корневой сертификат установить, но ещё и обычный подменить. Да, так понятней.
Спасибо!
ЗЫ: Ну, не то чтобы "наши не хотят сделать нормально". Насколько я понял центры а-ля GlobalSign взяли и отозвали часть сертификатов под соусом санкций.
Чёртова магия. Решил углубиться в код, добавил одну строчку лога и... оно внезапно заработало. Сижу и не понимаю, чего ж ему раньше не нравилось.
*ROFL*
Вообще личный опыт подсказывает, что работает это всё отвратительно. Кликаем в настройках синхронизации "синхронизировать вкладки" == выкл. Синхронизация выключается. Кликаем "вкл"... обратно не включается, точнее включается, но вкладки до других устройств больше не долетают.
