Как известно, Сбербанк потерял возможность продлевать свои сертификаты из-за санкций еще весной. Новые сертификаты выписываются одним из национальных УЦ, чьего корневого сертификата в операционных системах нет. Решить проблему можно двумя путями: установив себе рутовый сертификат в систему или установив Яндекс.Браузер.
Устанавливать рутовый сертификат не хотелось, а Яндекс.Браузер у нас запрещен политикой компании даже на BYOD (своих ПК, которые используются для работы). И не потому что в каждом ЯБраузере живёт товарищ майор с КДПВ, а потому что там предустановлено 100500+ плагинов, которые сливают данные при каждом включении браузера в неустановленное количество получателей.
Поставить виртуальную машину, в неё воткнуть сертификат
Поставить виртуальную машину, в неё установить Я.Браузер
100% рабочий план, казалось бы. Даже два! Но есть проблема: в моём ноуте SSD накопитель на 250 гигов, разделенный на Windows раздел и Linux раздел, и в Linux'e свободно меньше 5 гигов.
Еще один нюанс заключается в том, что виртуалки любят есть ОЗУ, и оперативки может и не хватить, когда уже запущена Intellij IDEA (две), Firefox с десятками вкладок (два), KeePass (два), Obsidian, и т.д. Своп мало того что медленный, так еще и некуда. Засада.
Надо как-то сэкономить ресурсы, которых и так в обрез. Но как?
"Гениальная" идея
А что если завернуть Яндекс Браузер в Docker контейнер? Звучит неплохо... Получаем контролируемое окружение, из которого относительно сложно сбежать... ИМХО, с точки зрения безопасности не так хорошо, как VM, но зато можно уменьшить футпринт на диске, а это мне и нужно.
Тут я должен был подорваться писать Dockerfile, но как человек ленивый, решил на всякий случай проверить, а не сделал ли это кто-то до меня? И, о бинго, поиск нашёл проект https://github.com/QGB/yandex.
Скачанный с Dockerhub'a образ оказался не совсем рабочим и очень старым (3 года). Окей, в проекте есть инструкция, решил собрать по ней... и она оказалась вполне себе рабочей.
В Dockerfile 5-ая строчка содержит ENV VNC_SCREEN_SIZE 1366x768 - там нужно подставить удобное вам разрешение экрана.
Собираем:docker build --tag yandex:1.0 .
Запускаем:sudo docker run -p 127.0.0.1:5900:5900 --name yandex -d yandex:1.0
Либо запускаем из Docker Hub'a:sudo docker run -p 127.0.0.1:5900:5900 --name yandex -d aresox/yandex:1.0
Автор проекта предлагает две опции:
подключение по VNC
подключение через Chrome Remote Desktop
VNC
С этим вариантом всё очевидно. Ставим на хост клиент VNC, к примеру, я поставил Remmina, при подключении указываем localhost 5900
Однако, у этого варианта есть один недостаток: даже локальное соединение ощущается как небыстрое и весьма "желейное". Для меня это не фатальный недостаток, но если вы любите моментальный отклик - то этот вариант не для вас.
Chrome Remote Desktop
Насколько мне известно, данный вариант в локальном запуске должен обеспечивать гораздо лучший отклик. Увы, Dockerfile оригинального проекта сейчас его не поддерживает.
В моём форке добавлены все необходимые зависимости:
1) пакет xserver-xorg-video-dummy
2) копирование и установка https://dl.google.com/linux/direct/chrome-remote-desktop_current_amd64.deb из папки с проектом.
Устанавливается, но не работает.
![Почему? Так и не понял :\](https://habrastorage.org/getpro/habr/upload_files/3b0/a11/c76/3b0a11c76006e9c07ed3ff782460f27b.png "Почему? Так и не понял :\")
"Идём" в Россию
К сожалению, есть два момента, которые могут помешать зайти в столь нужный мне СБОЛ:
местный провайдер может решить поиграть в блокировки доступа к сайтам подсанкционных компаний (да, этим "грешат" не только в России и Казахстане)
СБОЛ решит, что сейчас
кругом врагиидёт DDoS, и просто закроет доступ к сайту из той или иной страны. Или всех стран, кроме России.
Оба пункта от меня практически не зависят, и случаются с завидной регулярностью, но решаются довольно очевидно: нужен VPN или какое-нибудь другое решение прокидывания траффика в Россию. Для этого я поднял виртуалку у провайдера Serverspace. После регистрации вам начислят 10 рублей, чего достаточно потестить виртуалки. Самая маленькая ест 60 копеек в час.
VPN Server
К сожалению, у провайдера в списке доступных "приложений" нет openvpn сервера, поэтому надо ставить руками. Ну как руками — другие админы уже давно написали скрипт автоматизации, так что воспользуемся им:
через сокращатор ссылок:wget https://git.io/vpn -O openvpn-install.sh
или полный путь:wget https://raw.githubusercontent.com/Nyr/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh
Накидываем права на исполнение и собственно запускам:
sudo chmod +x openvpn-install.shsudo bash openvpn-install.sh
далее жмём Enter несколько раз, вводим имя первого клиента, пусть будет sbol, и получаем конфиг /root/sbol.ovpn
копируем себе содержимое файла либо файл целиком, со своей машины:cd ~scp root@<<ipaddr>>:/root/sbol.ovpn sbol.ovpn
На машине должен быть установлен клиент openvpn, если вдруг нет:sudo apt install openvpn
И, опционально, плагин для GUIsudo apt-get install network-manager-openvpn-gnome
SSH Tunnel
Альтернатива - поднять SSH туннель, и тогда нам ничего не нужно устанавливать на поднятую виртуалку, вот совсем.
Поскольку я ленив чуть менее, чем полностью, то предлагаю воспользоваться замечательным приложением sshuttle. Приложение нуждается в установленном Питоне на клиенте, а на целевом сервере не нуждается ни в чем (как минимум, Убунта от хостера подходит "из коробки" в качестве удаленного хоста):
export vm_ip=<<vm_ip>>
sudo sshuttle -r root@$vm_ip -x $vm_ip 0/0 --dns --no-latency-control --ssh-cmd 'ssh -i /home/<<username>>/.ssh/id_rsa'
N.B.: <<username>> нужно поменять на имя вашего пользователя!
Обратите внимание на ключи:--dns - прокидывает DNS запросы внутрь виртуалки (на случай, если провайдер занимается DNS спуфингом)--no-latency-control - ощутимо бустит пропускную способность туннеля--ssh-cmd - позволяет прописать алиас для нижележащей ssh команды, чтобы вместо интерактивного ввода пароля ходить по ключам
До своих постоянных серверов я просто прописал alias в ~/.bashrc , чтобы gnome terminal их подхватывал при открытии нового окна или вкладки:
alias sshuttle_nj='sudo sshuttle -r root@<<ipaddress>> -x <<ipadress>> 0/0 --dns --no-latency-control
Дружим Docker контейнер и SSH туннель
К сожалению, если VPN доступен изнутри докера контейнера нативно и без лишних теледвижений, то вот с SSH tunnel'ем это не так.
Как часто бывает, тут тоже есть больше одного решения.
Простой вариант: добавить ключ --net=host, и убрать -p 127.0.0.1:5900:5900
Итоговая строка создания и запуска будет выглядеть вот так:
sudo docker run --name yandex --net=host -d aresox/yandex:1.0
Второй вариант заключается в bind'инге портов между docker0 и целевым хостом с помощью ключа -L, когда подымается туннель.
Результат:
На этом всё, я пошёл "тратить" деньги.
Комментарии (196)
HappyGroundhog
19.12.2022 09:22+8У меня более интересный вопрос как у безопасника. А чем любой абстрактный LiveCD с постоянным хранилищем не угодил? Опять же можно поставить отдельный FF и ему в хранилище положить сертификат и использовать его только для похода в СБОЛ.
Сейчас с точки зрения ИБ мы получаем докер демон + докер контейнер + VPN непонятно куда (хотя в корп блоге хостера это понятное решение :) ). Всё это выпадает из области контроля ИБ, в том числе в части контроля трафика...
Areso Автор
19.12.2022 09:36+1Честно говоря, вариант с LiveUSB мне в голову не пришёл. Ваш вариант мне нравится больше, но коннект в Россию всё равно придётся поднять, если СБОЛ режет входящие соединения или если провайдер режет исходящие хоть чем-то более серьёзным, чем подменойDNS ответов.
Docker daemon на ПК разработчика воспринимается в компании нормально. В моём случае - BYOD, что делает ситуацию ещё проще.
staticmain
19.12.2022 10:22+11У меня еще более интересный вопрос, как у человека не совсем безопасника:
wget https://git.io/vpn -O openvpn-install.shКажется за такое местный безопасник должен сразу отрезать руки пользователю.
Areso Автор
19.12.2022 10:27Поэтому я привёл полную ссылку как альтернативный вариант, для тех, кто [правильно] не использует сокращаторы ссылок
staticmain
19.12.2022 10:53+3Вы не поняли, о чем я, да? Сокращатель ссылок тут вообще не причем.
qw1
19.12.2022 10:59+2Это мало чем отличается от
git clone ... && make && ./run-file
нет возможности проверить абсолютно всё, скачанное с сети, придётся чему-то доверять.Areso Автор
19.12.2022 11:05Можно проверить определенную версию, и качать её. Плюс сделать проверку хэша.
Но руками это немного геморройно, а писать плейбук было лень. Хотя можно и написать.
staticmain
19.12.2022 11:13Если это чей-то скрипт, а не программа - всегда нужно хотя бы глазками посмотреть, что он устанавливает и каким образом.
qw1
19.12.2022 11:39Этот скрипт на 568 строк, который подгружает ещё что-то из сети и выполняет (easy-rsa), делает всякие apt-get install, systemctl, chown,…
Я не готов тратить полдня-день на детальный разбор всей этой мешанины. И почему если скрипт, надо проверять, а если бинарник — не надо?staticmain
19.12.2022 13:00И почему если скрипт, надо проверять, а если бинарник — не надо?
Потому что скрипт написал неизвестно кто с возможностью подмены во время скачивания и неизвестным количеством операций внутри (вплоть до установки бекдора). Бинари скачиваются с защищенного репозитория, из-за использования систем защиты не позволяют подмену в процессе скачивания, имеют проверку хеша (как правильно внизу подсказали, скрипт в процессе может недокачаться на строке `rm -rf [/tmp/xxx]`), есть огромное количество мейнтейнеров, которые контролируют, что бинарь безопасен для скачивания.
Если вы точно так же скачиваете из сети неизвестные бинари и просто их запускаете - что ж.
Areso Автор
19.12.2022 13:07+2Если человек не готов пользоваться чужим скриптом, ему придётся писать свой.
staticmain
19.12.2022 13:23+1Сыграть в русскую рулетку и потенциально поставить себе бекдор, потратить 5 минут на ревью кода чужого скрипта или больше времени на свой?
А если не можете написать свой по причине недостатка технических знаний, то точно ли вам нужны настолько профессиональные инструменты? Может лучше начать с других, более user-friendly инструментов, которые уже есть в репозитории? Firejail, flatpak, да банальный chroot тут уже будет хоть чем-то.Areso Автор
19.12.2022 14:04Ну вот выше человек оценил ревью на полдня-день.
Моя логика включает в себя и (опциональное) ревью.
Вы либо пользуетесь (по результатам ревью - если там всё хорошо или без - если вам всё равно), или не пользуетесь (по результатам ревью - если там всё плохо или без - если просто не готовы использовать чужой код), но во втором случае, если эти действия нужно проделывать часто, вы их начнете автоматизировать - т.е. дело закончится написанием или скрипта, или плейбука или какой-нибудь другой автоматизации.
ris58h
19.12.2022 11:56+5Отличается. На HN обсуждали ещё 9 лет назад. Там и статья интересна и комменты к ней.
Вам могут подменить скрипт в зависимости от user-agent.
Соединение может оборваться и выполнится только часть скрипта. Возможно, только часть команды. Возможно, этой командой будет rm -rf.
qw1
19.12.2022 13:47+2Если
wget ... && ./install.shто код не запустится при сбое загрузки.
Если вводить построчно, увидишь ошибку на первой строке и вторую не введёшь
ovalsky
19.12.2022 10:43А на новых маках вообще можно подключить liveCD?
hello_my_name_is_dany
20.12.2022 00:59Подключаете USB и в Settings -> General -> Startup Disk выбираете вашу флешку. Но такое прокатит нормально скорее всего только с виндой, так как нужны драйвера для AirPort (WI-FI) и тд., а для винды они официальные есть от bootcamp
martin_wanderer
19.12.2022 22:00+1Вот, тоже собирался предложить FF как решение с собственным трастовым хранилищем. Всяко удобнее, чем перегружаться в LiveCD
alexander222
19.12.2022 09:24+3Можно развернуть яндекс браузер сразу на виртуалке у хостера. Потребуется тариф дороже чем для vpn, зато еще большая изоляция, и возможность доступа с разных компьютеров и с телефона.
Areso Автор
19.12.2022 09:40Да, тоже хороший вариант, и я его рассматривал изначально, но интернет здесь местами плохой, и пропускной способности не хватило, чтобы обеспечить сносный опыт использования, когда проводил эксперимент.
Второй момент, почему не стал так делать: основные виртуалки у меня живут зарубежом, а российские я поднимаю сходить на госуслуги, в СБОЛ, и если хочу скачать что-нибудь через торрент. После этого - виртуалка дестроится до следующего раза.
fk0
19.12.2022 11:45+3И возможность того, что яндекс-браузер немножко изменится и начнёт подворовывать. И не проверишь. Никаких внятных технологий trusted computing у типичного хостера нет.
outlingo
19.12.2022 09:44+14А почему вместо приседаний вокруг VNC просто вот не взять и не запустить с браузер с DISPLAY=127.0.0.1:0.0 - или, если в уроненный на голову параноик который боится что браузер будет сливать ваш десктоп через скриншаринг, сделать то же самое через Xnest/Xephyr (запустить Xnest/Xephyr и также на них цепляться через DISPLAY=127.0.0.1:1.0 например)?
Areso Автор
19.12.2022 09:56+4Хороший вариант, просто по какой-то причине я до него не догадался, мозг выбрал "ленивую" стратегию идти по инструкции от QGB.
За что люблю писать статьи - что в комментариях могут предложить то, что прошло мимо сознания во время самостоятельного изучения вопроса.
qw1
19.12.2022 10:11+24Можно проще. В firefox заходим на сайт sberbank.ru, получаем ошибку, добавляем сертификат в исключения. Повторяем для всех интересующих доменов. Всё — никаких сложностей, разве что крохотная иконка в адресной строке, показывающая, что работаем через исключение. Раз в год, когда заканчивается сертификат на домен, повторяем.
От MITM тоже защищены, т.к. если сертификат изменится, нужно будет его заново подтвердить, перед этим можно посмотреть цепочку подписей.Areso Автор
19.12.2022 11:24-2В моем случае страница открылась, т.е. браузер не выкинул ошибку, а работать оно не захотело.
Поэтому пришлось думать.
qw1
19.12.2022 11:40+3Что именно не работает? Смотрите в дебагере, на какие домены ещё были обращения. Корни эти доменов тоже открыть в браузере и добавить в исключения.
13werwolf13
19.12.2022 10:12+7господяяя и сюды докер приплели. чем firejail не устроил? зачем этот оверинженеринг?
Areso Автор
19.12.2022 10:28+14Docker! DevOps! Стильно-модно-молодежно! :)
Я бы и Кубер поднял, но был несколько ограничен в ресурсах /s
edo1h
20.12.2022 10:02+5А почему использование namespaces с помощью docker — оверинжиниринг, а использование namespaces с помощью firejail — нет?
apro
21.12.2022 13:43Так с firejail все делается одной командой (там уже есть конфиг для яндекс браузера), а здесь потребовалась целая статья чтобы описать как все настроить. Это же и есть по определению оверинжиниринг?
Areso Автор
21.12.2022 13:45sudo docker run --name yandex --net=host -d aresox/yandex:1.0в общем-то, тоже одна строка
sigprof
19.12.2022 10:14+23Firefox поддерживает профили (правда, через командную строку —
firefox -P <name>), при этом хранилище сертификатов у него находится именно в профиле, поэтому наиболее легковесный вариант — создать отдельный профиль и добавить туда сертификаты. При необходимости в этом же профиле можно установить требуемые настройки прокси, ну и перекрасить интерфейс в явно отличающийся от нормального цвет.
moviq
19.12.2022 18:54Ой, да просто. Создаем ярлык с путем: C:\Program Files\Mozilla Firefox\firefox.exe -p temp. Такое у меня в Total'е прописано на кнопке. temp - это название профиля. Создает его - один раз вызвать firefox -p
SlFed
19.12.2022 10:19-17Устанавливать рутовый сертификат не хотелось
Не понятно, почему этот вариант отвергнут.
Areso Автор
19.12.2022 10:30+9Поскольку ваш комментарий минусуют, то постараюсь объяснить за что:
рутовый сертификат даёт возможность "прослушивать" весь трафик машины. В браузере, не в браузере, на российских и не на российских веб-страницах.
HTTPS Pinning иногда спасает, но не везде и не всегда.
Sequoza
19.12.2022 10:30+8Потому что есть вероятность получить сертификат "verified by Минцифры", зайдя на майкрософт ком.
qw1
19.12.2022 10:31+5Чем больше людей его примут, тем проще правительству будет фильтровать YouTube в дальнейшем. Сейчас могут либо полностью выключить Google (на что они не решаются, т.к. придётся вообще всё инфраструктуру отрубить, словав у населения все смартфоны на Android), либо смотреть, как на YouTube появляются всякие неприятные им ролики.
Я бы не хотел, чтобы весь YouTube был перепахан плашками «Закрыто РосКомНадзором» на основании решения какого-нибудь Саратовского суда, который найдёт сатанизм или насилие над детьми в юмористических роликах типа этого. Только не говорите, что этого никогда не случится. Такое уже случалось (за что Лурк закрывали?)
askv
19.12.2022 10:37+1Так фильтровать будут только у тех, кто установит сертификат, не? Или остальным просто отрубят?
qw1
19.12.2022 10:43+6Если сертификат установит 86%, на остальных будет пофиг, скажут: ставьте сертификат и смотрите фильтрованный YouTube, или вообще ничего не будет работать у вас.
askv
19.12.2022 13:51Если есть желание, чтобы 86% не установили сертификат, то решение должно быть простым, надёжным и понятным для большинства, без всяких докеров, контейнеров, песочниц, виртуальных машин и т.д. и т.п.
Хотя, подозреваю, что именно с ютубом может быть иначе - скажут, ходите только через наш сертификат или не ходите никак. Но VPN же должен помочь в таком случае...
qw1
19.12.2022 13:57С одной стороны, популярные VPN-ы заносят в чёрный список и они перестают работать. С другой стороны, за зарубежный VPN всё сложнее заплатить: сбербанковские карты много кому не нравятся.
askv
19.12.2022 14:07Попросим зарубежных друзей запилить бот в телеге с роликами из ютуба. Только полное перерезание внешних кабелей может помочь изолировать страну.
qw1
19.12.2022 14:40Бот будет выкачивать mp4 и закачивать в телеграм? Там ограничение на размер файла в 2GB. Если это будет массовым, Дуров быстро подкрутит лимиты и сделает загрузку больших файлов платной. Например, в Дискорде бесплатно только до 8MB.
skozharinov
19.12.2022 10:50+2Вы просто не сможете подключиться к оригинальному серверу, у вас будет выбор: принять подключение к серверу с левым сертификатом и всеми прелестями MITM или не подключаться вовсе.
askv
19.12.2022 13:52По идее, VPN должен помочь в таком случае.
F0iL
20.12.2022 01:11Ну как сказать, "помочь"... Те VPN и прокси/туннели, что работают поверх TLS или маскируются под него (типа shadowsocks+v2ray, sstp, softether, anyconnect) от такого MitM сами перестанут работать или обнажат весь передаваемый трафик. А те, что не маскируются - их цензоры в разных странах обычно блокируют на DPI в первую очередь.
Zamix80
19.12.2022 10:33тут не совсем по теме, но к вышеизложенному добавить - можно состряпать программку, которая по запросу пользователя отключает или включает сии девайсы( камеру, микрофон), следующее - на звуковой тракт можно поставить виртуальный микшер и завести в микрофон что нибудь типа цифрового шума 8-16 бит ли ничего не значущую мелодию, тоже 8 бит, отделный старый ноут со яндексом и сбером изолированный.
qw1
19.12.2022 10:55+4Это не даёт никаких гарантий. Можно состряпать программу, которая будет напрямую снимать данные с устройств, своими драйверами, в то время как в диспетчере устройств камера будет выключена, а дефолтным микшером будет синтезатор шума. Правильное решение — вообще не запускать потенциально опасный код.
None_of_your_business
19.12.2022 11:25+1А если использовать вот эту сборку для доступа к Сберу? https://github.com/deemru/Chromium-Gost
Kelv13
19.12.2022 12:20Почему-то эту сборку некоторые антивирусы сносят, а отключать антивирус людям, которые про Adobe Reader пишут "у меня не adob, а acrobat - там нет этого меню" не хочется...
LevOrdabesov
20.12.2022 12:05Это вот неожиданно было, про антивирусы. Проверим:
Chromium с поддержкой ГОСТ 108.0.5359.124 на Virustotal:
- архив с portable – 0 срабатываний
- инсталлер x64 – 0 срабатывнийЕсли есть какая-то конкретика с полей – опубликуйте, пожалуйста, всем будет полезно.
Возможно, дело в "недостоверных центрах сертификации", а яндекс для хэша своих сборок согласовал зелёный свет с крупными игроками?
Ну и опять же, зачем отключение антивируса, когда есть белые списки?
Kelv13
20.12.2022 12:33Прошу прощения - видимо, говорил об одной из предыдущих сборке, эта совсем свежая, работает, что радует!
fk0
19.12.2022 11:40+5Докер, очевидно, не нужен. Достаточно легковесного lxc разделяющего общую файловую систему с контейнером (а то и вовсе apparmor может быть достаточен).
Самое опасное в готовых "сборках", что там неизвестно что скачано неизвестно откуда. Что может быть пострашней яндекс-браузера самого по себе.
BigBeerman
19.12.2022 12:01+1Пользоваться приложением на телефоне не вариант? Или телефоны на Андроид тоже запрещены политиками безопасности?
Areso Автор
19.12.2022 12:04СБОЛ для Андроида это троян.
Не готов его ставить.
askv
19.12.2022 12:09У меня на iOS стоит и пока что работает. А для мобильных приложений разве потребуется сертификат? Они разве не могут внутри себя нужный сертификат содержать? Достаточно обновлять приложение периодически, но оно и так само собой происходит.
Areso Автор
19.12.2022 12:21+2На iOS он запускается без шаринга контактов, геопозиции и т.п. Такой - не дали? Ну ладно :(
На Андроиде он требует абсолютно все доступы, и если ему хоть что-то не дать, то он посылает пользователя нафиг. Не дали? Иди нафиг!
BigBeerman
19.12.2022 12:37ЧЯДНТ?
Areso Автор
19.12.2022 12:39+1Я пробовал ставить СБОЛ один раз, пару лет назад, поведение было именно таким, как я описал - без выдачи указанных разрешений он не запускался. Возможно, что с тех пор политика поменялась.
В свою очередь, поставил на iOS и забил.
KillJ0y
20.12.2022 15:03
Ставится из galaxy store работает без разрешений даже. При установке из play хотел разрешения. А вообще можно изолировать в shelter (при условии aosp) либо как в Самсунге knox
Areso Автор
19.12.2022 12:53+6Скачал, установил свежую версию.
Запускается без предоставления разрешений.
Хорошо, СБОЛ под Андроид был трояном. Сегодня им не является.
Сегодня это просто приложение, которое весит 500 МБ.
GraDea
20.12.2022 00:39+1Не так давно проверял - был «трояном». Рад что они отказались от этой мерзкой практики обеспечения «безопасности».
vikarti
19.12.2022 12:44+2Песочница.
Work profile на телефоне не сломан тотально? Ставим Shelter https://github.com/PeterCxy/Shelter (есть в Play Store и F-Droid)
Ставим туда и выдаем что просит. Никто ж не просит чтобы там реальные были данные (и чтобы вообще — были).moviq
19.12.2022 19:03У меня так стоит. Да и ещё автоматом морозится при блокировке телефона. Сейчас разморозил, посмотрел разрешения - у него всё запрещено
Gryphon88
19.12.2022 19:48А нельзя на телефоне распихать каждое приложение в свою песочницу — рабочий профиль?
iroc
19.12.2022 20:39+1Я просто завел себе отдельный телефон для банковского зверинца, там вообще больше ничего нет, ни сим, ни контактов, vpn always on.
JustMoose
19.12.2022 13:18Есть ещё браузер Атом.
Он тоже умеет ходить на сайты с сертификатами НУЦа.
Лежит здесь: https://browser.ru
vikarti
19.12.2022 19:42+2Яндекс по крайней мере описали как у них это работает и почему не будет проблем и патч выложили + есть основания все же их ставить не только ради НУЦа (перевод например)
Если мы не верим Яндексу, то верить ВКонтакту оснований еще меньше (а если верим — то зачем нам Атом? Чем он лучше?)
JustMoose
19.12.2022 20:49Чем лучше? Атом красивше! И удобнее. У меня стоит на машинке, я им пользуюсь.
И точно не хуже.
И если посмотреть рядом на хабре (https://habr.com/ru/news/t/702180/), то можно обнаружить, что там как раз и упоминаются оба браузера: Яндекс.Браузер и Атом.
А вот здесь (https://www.interfax.ru/russia/827230) так и вообще есть рекомендация Минцифры использовать Атом и Я.Браузер.
Johan_Palych
19.12.2022 13:24+2Решить проблему можно без установки корневых сертификатов и yandex-browser-stable:
mkdir -p "$HOME/Загрузки/rusert" cd "$HOME/Загрузки/rusert" wget https://gu-st.ru/content/lending/russian_trusted_root_ca_pem.crt wget https://gu-st.ru/content/lending/russian_trusted_sub_ca_pem.crt Во всех chromium based - chrome://settings/certificates - Безопасность - Настроить сертификаты - Центры Сертификации - Импорт Во всех лисоподобных - about:preferences#privacy - Просмотр сертификатов - Сертификаты - Импортировать Проверено на Opera, Pale Moon, Firefox, Chromium, WaterfoxЕсли есть желание использовать и изолировать yandex-browser:
Firejail запускает приложения в режиме sandbox-изоляции(механизм namespaces и фильтрация системных вызовов seccomp-bpf) В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, можно определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступа к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs. Firejail: https://github.com/netblue30/firejail https://sourceforge.net/projects/firejail/files/firejail/ https://launchpad.net/~deki/+archive/ubuntu/firejail GUI на Qt: https://github.com/netblue30/firetools https://sourceforge.net/projects/firejail/files/firetools/Решение проблемы свободного места:
- установить localepurge и bleachbit(1-2 Gb освободятся) - удаление старых ядер для ubuntu(для debian не использовать) sudo apt-get purge $(dpkg -l 'linux-*' | sed '/^ii/!d;/'"$(uname -r | sed "s/\(.*\)-\([^0-9]\+\)/\1/")"'/d;s/^[^ ]* [^ ]* \([^ ]*\).*/\1/;/[0-9]/!d' | head -n -1) - очистка конфигов от удалённых пакетов sudo dpkg --list | grep "^rc" | cut -d " " -f 3 | xargs sudo dpkg --purge
KillJ0y
19.12.2022 14:18+5Я пошел другим путем. У Firefox есть свое хранилище сертификатов. Создаём отдельный профиль(в качестве точки указал папку в созданном контейнере veracrypt(хватит и 1гб), на вопрос зачем, отвечу так захотелось да и безопасности мало не бывает из такого профиля пароли не украдешь пока контейнер размонтирован) Ставим серт минцифры туда. Забываем о Яндекс браузерах и прочей фигне в системе. И майор под контролем.
G_Raider
19.12.2022 17:53+1Сделал примерно также, только вместо отдельной копии мозилы, librewolf. Туда накатил сертификаты и СБОЛ заработал. Собственно хожу на сайт сбера только оттуда.
А еще вспомнил, что валяются старые (резервные если вдруг телефон крякнет) винфоны с виндой 8.1 и 10, на случай когда СБОЛ на профилактике, а деньги отправить надо. На обе модели из магазина (бинго бинго его оттуда забыл выпилить МС) прекрасно поставился и работает независимо от частообновляемого СБОЛа.
Единственно давно не обновлялось приложение и крайний релиз от 2013 года и СБП там на отправку не завезли.KillJ0y
19.12.2022 18:05Хорошо что у них ГОСТ серты только прижились в подписи. На сайты они сделали rsa4096, а представьте размер геморроя пересобирать мозилу из исходников с поддержкой ГОСТ .. а от товарища майора будет готовое решение...
zte189
19.12.2022 16:56-1Вот скажи, ТС, а зачем ты хранишь деньги в этом самом Сбере, раз такие напряги? Зачем всё это, если Сбер про тебя уже всё давно слил товарищу майору и далее?
Areso Автор
19.12.2022 17:20+2Вопрос звучит провокационно, но всё же отвечу:
денег у меня нет (ни в Сбере, ни вообще), а там я плачу по своим обязательствам - а именно по ипотеке и т.п.
K0styan
19.12.2022 19:03+1Все подсанкционные банки пойдут по этому же пути по мере протухания их глобальных сертификатов. Госуслуги те же - уже.
askv
19.12.2022 19:23У меня Госуслуги показывает сертификат, истекающий 07.01.2023. СБОЛ - 25.01.2023. Сбербизнес - 09.06.2023. Росреестр - сертификат от Минцифры, сайт Сбера вообще выбрасывает на незащищённый.
DiZiri
19.12.2022 17:18+1Есть еще такая штука https://github.com/DimaZirix/podbox
podbox create chromium --gui --net --ipc --audio fedora:37 podbox exec chromium --root dnf install chromium libXt dbus-glib gtk3 pulseaudio-libs libcanberra-gtk2 PackageKit-gtk3-module -y podbox desktop create chromium chromium-browser 'Chromium' --icon chromium --categories 'Network;WebBrowser;'Требуется установка podman. После выполнения будет создан ярлык с хромиумом, который будет запускаться в контейнере. Аналогично можно запихнуть туда ЯБ
Pinkbyte
19.12.2022 19:48+2Я как открыл для себя neko(и в особенности neko-rooms) - перестал велосипедить свои контейнеры с браузерами. Популярные браузеры там есть(именно Яндекс-браузера правда нет, но при желании можно навелосипедить и его)
selivanov_pavel
19.12.2022 20:24Кстати, а где бы эти российские сертификаты скачать, чтобы добавить в отдельный профиль фаерфокса, если вдруг понадобятся?
AlexanderS
19.12.2022 23:27+3Мощно сделать проще: портабельный Firefox + добавляем в него корневым сертификатом сертификат полученный с госуслуг (Минцифры). Куда уж проще. И легче, и вложенной виртуализации нет, ещё и портабельность в придачу.
StudioMaX
20.12.2022 00:44+1Как известно, Сбербанк потерял возможность продлевать свои сертификаты из-за санкций еще весной.
Разве? Регулярно выпускают новые сертификаты для различных сервисов, что для sberbank.ru, что для sber.ru
YegorP
20.12.2022 10:49+2Продлевать vs выпускать? На уровне техники может быть одно и то же, но с точки зрения бизнес-процессов и рисков - уже нет.
Судя по crt.sh, сберовцы уже не могут зайти в админку/апишку DigiCert и продлить (перевыпустить?) там сертификаты. Let's Encrypt тоже с марта не вариант для sberbank.ru по-видимому. GlobalSign ещё есть, но кто его знает. Поэтому и обкатывают новые схемы доверия.
stuzer
20.12.2022 08:40+1если суть проблемы только в исползьовании российской криптографии, то еще есть спутник, разработку которого как я тут внезапно выяснил прикрыли, и есть хромиум гост, его я юзаю для всех клиентов, которые используют торги, ключи и прочее, работает хорошо, сборки есть на разные дистры на страницу проекта на гитхабе, мусора минимум, с подписью доков проблем нет в отличие от яндекс браузера
QZMTCH
20.12.2022 08:41+2@Areso специально зарегистрировался чтобы написать
если вы такой программист, что проделали такой "финт ушами", не проще тогда (раз знания есть) взять у яндекса патч для хромых https://github.com/yandex/domestic-roots-patch и вкорячить в какой нибудь ungoogled чистый, собрать и пользоваться с кайфом?
Areso Автор
20.12.2022 08:46+3Компилировать браузер сильно дольше, чем собирать докер контейнер.
Компилируется! Но таки да, ваш вариант тоже рабочий.
QZMTCH
20.12.2022 13:30это получается как в поговорке "долго запрягаем, быстро едем" или как там правильно?
просто мне после прочтения показалось, что так будет проще, нету места, попросить кого то чтобы собрал, тем более что в браузере по вашему всё равно же товарищ майор, поэтому можно же собрать отдельно браузер с сертами, а такие костыли создавать ну только ради практики какой то, чисто удостовериться, что так тоже можно. Ну еще скорее всего, это я так думаю, а у людей, которые часто пользуются докерами и больше в теме, конечно своё видение что проще ????
dormin
20.12.2022 09:45+2Как много советов применять Firejail и при этом все забывают упомянуть, то этим летом там была обраружена уязвимость и готовый эксплоит позволяющие получать root права в системе где Firejail запущен. Запускать потенциально опасную программу даже в изолированной среде на рабочем компьютере это плохая практика. А хорошие практики это headless browser, сам браузер является потенциально опасной программой поэтому с ним нужно работать удаленно в контейнере. Есть прод browserless они предлагают готовые образы браузеров в контейнере, есть платные и бесплатные решения, они предлагают предприятиям браузер в облаке, можно скачать готовый образ контейнера с github и запустить в VPS. В итоге получаешь ярлык браузера на рабочем столе, браузер запускается чуть медленнее, все работает в облаке или VPS после закрытия браузера, как обычно для контейнера все сбрасывается.
edo1h
20.12.2022 10:21К сожалению, если VPN доступен изнутри докера контейнера нативно и без лишних телодвижений
Это как? Недавно смотрел, не нашёл простых способов привязать докер-контейнер к определённому интерфейсу.
yakovmanshin
20.12.2022 14:51+1Все это время меня интересует вопрос: почему Сбербанк и Госуслуги не могут использовать Let’s Encrypt? Средний пользователь iOS, даже имея большое желание, замучается с установкой сертификатов (и, вероятно, не справится).
Наверняка есть какие-то внутренние политики против бесплатных сертификатов (как минимум упускается возможность распилить деньги на платных), но можно же, наверное, сделать гейтвей на отдельных хостах — все-таки это лучше, чем оставить пользователей совсем без доступа.
vikarti
20.12.2022 15:55Let's Encrypt внезапно поддерживает санкции
https://community.letsencrypt.org/t/certificates-for-us-sanctioned-countries/1223 против Ирана
И прямо сказано (https://community.letsencrypt.org/t/russia-certs-and-sectoral-sanctions/189631 ) что тем конторам из России кто в SDN List не дают. Сберабанк внезапно там естьКак проверяют — вопрос конечно отдельный...
yakovmanshin
20.12.2022 16:05Спасибо за ссылки!
Моя мысль как раз в том, чтобы создать отдельную компанию (как всякие яндексы и касперские «передали» свои аккаунты в App Store иностранным (швейцарским, кажется) «дочкам»), на нее зарегистрировать домены, которых нет в стоп-листах, и дальше анонимно выпустить для них сертификаты LE.
KillJ0y
20.12.2022 15:30+1VPN ServerК сожалению, у провайдера в списке доступных "приложений" нет openvpn сервера, поэтому надо ставить руками. Ну как руками — другие админы уже давно написали скрипт автоматизации, так что воспользуемся им:через сокращатор ссылок:wget https://git.io/vpn -O openvpn-install.shили полный путь:wget https://raw.githubusercontent.com/Nyr/openvpn-install/master/openvpn-install.sh -O openvpn-install.shА вам не кажется что это полный зашквар использовать скрипты с github для таких целей? Так то надо было пойти единственно верным путем это развернуть свой УЦ про XCA уже писали здесь, дальше разграничение прав и директорий. Для каждого приложения создаю пользователя, в корне есть /services туда вынесены конфиги и исполняемые, для opeenvpn там своя папка права на папки 500, на файлы 400, на исполняемые 500. Суммируем что имеем, под каждый сервис на сервере отдельного пользователя и отдельную директорию в /services, раскиданные права и ограниченные пользователи без домашнего каталога и оболочки, ssh настроен только доступ по сертификатам. Пользователи с оболочкой внесены в ЧС в конфиге ssh, есть отдельный пользователь sudo. А ещё я пользуюсь root с доступом через rutoken и только через vpn. Для этих целей есть сервер с openvpn без доступа к интернету, а клиенты включая сервера имеют доступ к закрытой подсети, где можно разместить и инструкции и сайты и что угодно. Openvpn выбран как простое и быстрое решение для удаленного доступа.
По поводу root конечно могут закидать помидорами. Но это уже привычка работать под root. Да и пароли от пользователей не всегда есть под рукой в быстром доступе. Т.к. генерирую и храню в keepass. А база от него в контейнере veracrypt ......
askv
Если использовать Яндекс-браузер только для посещения госсайтов, то что ещё он может слить?
mikelavr
Проблема возникает в тот момент, когда вы хотите оплатить какой то товар на обычном коммерческом сайте. Следующим запросом он идет в банк.
askv
а) использовать qr-код СБП,
б) не использовать подсанкционные банки.
Areso Автор
Ну, это не секрет, что сейчас передается много информации о клиенте: какая ОС, экран, время, часовой пояс, установленные шрифты, и так далее.
Второй момент, вот, к примеру Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа . Если у вас на локалхосте стоит веб-сервер, то это тоже может быть записано, включая, как минимум, тот проект который у вас отдается как localhost:80/ и localhost:443/...
askv
Ну передаётся и что?
Сканирование портов какое отношение имеет к обсуждаемой проблеме госсертификатов?
Areso Автор
Проблема была озвучена ещё до ката: в целях соблюдения цифровой гигиены ставить Яндекс Браузер нельзя.
Вы знаете, это как что-то неприятное в руки брать: лучше в перчатках. Здесь в качестве "перчаток" выступает контейнер, могла быть виртуалка, возможно есть ещё какие-то варианты, о которых я не подумал.
askv
Почему бы тогда не поставить на виртуалке госсертификаты и использовать нормальный браузер?
Areso Автор
Тупо нет места на накопителе. У меня сейчас свободно 890 мегабайт :)
Моя опыт не универсальный, и сформировался в условиях озвученных ограничений, и именно поэтому я делился им как опытом, а не как туториалом (плашки "туториал" на статье нет).
А до варианта с LiveUSB, предложенного @HappyGroundhog, я не догадался.
askv
Ну мы для этого и обсуждаем, чтобы находить лучшие решения. Я просто пытался понять, причины отторжения Яндекс-Браузера идеологические или есть реальные основания? А то так и кушать можно в перчатках...
Areso Автор
Скорее идеологические. Так беспардонно кушать данные пользователя в таких количествах - заслуживает того же порицания, что и почивший Амиго.
AdVv
Знаете, после нескольких десятков лет работы с разнообразным софтом вырабатывается интуиция. Достаточно одного взгляда, чтоб понять, что с конкретной программой что-то не так. И когда я устанавливаю Яндекс Браузер, ощущения как от китайской реплики iPhone, тупящей прямо из коробки, но зато с телевизором и тремя симками. Я брезгую пользоваться подобным.
miarh
Вот, я понял, почему и я так этому отношусь. На подсознательном уровне. Ну просто все противится "это" устанавливать.
edo1h
А можно детали? Про мне просто ещё один chromium-based браузер
AdVv
Ну да, с анимированными обоями, переводчиком и голосовым помощником из коробки. Прибитые гвоздями сервисы Яндекса - в подарок.
zte189
и что же такого ужасного в яндекс-сервисах?
Arhammon
Твердотельник еще не отработал свой ресурс при таком объеме свободного места?
Areso Автор
Ещё нет, но да, есть шанс, что он скоро "кончится".
Я новый накопитель уже купил, переставить пока некогда было.
fifonik
По моему скопировать текущий диск на уже имеющийся новый (купленный) было проще/быстрее. Более того, это в любом случае предстоит делать, не?
Areso Автор
Но не так интересно. Плюс сейчас у меня всё работает. Шанс того, что я всё сломаю - ненулевой. А у меня этот ноут используется еще и как рабочий, а разбирался с ЯБ на неделе.
Да.
Legolaser
ключевое слово "интересно")))
fifonik
Интересно -- это веский аргумент, к нему вопросов нет.
Да, не нулевой, но ведь небольшой: копируется диск (с ресайзом интересующих разделов), вытаскивается старый диск, втыкается новый.
Если что-то идёт не так -- вытаскивается новый, втыкается старый.
FreeNickname
А вы читали статью? Я вот не читал, например, но это буквально первые абзацы.
askv
В статье речь про установку сертификатов к себе на машину. А я пишу про установку на выделенную виртуальную машину, которая используется только для доступа к госсайтам. Автор поста, кажется, меня правильно понял выше.
FreeNickname
Эмпирическим путём мы выяснили, что Вы остановились на первом абзаце, это второй :)
askv
Мы здесь обсуждаем личные проблемы автора или общее решение (варианты решений)?
FreeNickname
Вы интересный :)
Ваш вопрос к автору выше. Обращённый к автору. Соответственно, о проблемах автора (почему он не взял это решение). О проблемах автора написано в абзаце, который я процитировал. Там же рассмотрены ещё два варианта решений (т.е. общие решения, хотя и не все – в комментариях ниже привели ещё парочку хороших: кастомный профиль в Firefox, добавление сертификата-исключения в Firefox, использование firejail, может уже ещё что-нибудь появилось) и оговорено, почему они не подходят (автору).
Вы извините, я не могу так каждый абзац пересказывать, я пойду))
askv
Отпускаю :)
Areso Автор
Да, но вы вопрос ведь задали мне?)
Краткий ответ: не самое рациональное расходование ресурсов накопителя по сравнению с другими доступными вариантами, в том числе предложенными другими хабровчанами.
askv
Да, я понял. Кажется, оптимальное решение - установить сертификат в отдельный браузер (профиль браузера), а не в систему.
UPD: или использовать разные варианты исключений для сайтов.
foxyrus
Не только слить, раньше, например, яндекс браузер ставил алису, запускал в режиме прослушивания команд.
askv
У меня нет на компе микрофона и видеокамеры. Пусть слушает.
Areso Автор
А многие сидят на ноутбуках.
Arhammon
На ноутбуках микрофон зачастую в вэбке, а она будет подозрительно светится при работе...
qw1
Светодиод часто включается програмно, драйвером.
А если нет, встречались случаи всяких ухищрений, когда камера включается на 0.1 сек раз в секунду, диод светится на 10% яркости, то есть как бы выключен, а данные утекают.
askv
Есть физические заглушки на камеру, но микрофон так не закрыть, да.
Arhammon
Ну для особых случаев отстегнуть защелки рамки и отключить камеру. По крайней мере, меньше чем синяя изолента, привлекает внимание санитаров...
RaphZak
Есть же черная изолента! Неканон, но зато её почти не видно. Еще у некоторых ноутбуков бывает встроенная шторка камеры, либо камера утапливается в корпусе.
alcanoid
Шторка самоклеящаяся стоит рублей сто, а эффект — на тыщу.
BugM
Я давно искал человека который на маке сможет включить камеру, не включив светодиод. Покажете примерчик?
qw1
Актуальный ZeroDay стоит много денег. А на старые баги Apple, уже пофикшенные, есть примеры www.iphones.ru/iNotes/339731
BugM
Публикация бага в 2015 году, баг железа 2008 года. Ну такое. Шанс встретить в реальной жизни около нуля.
Как вы оцениваете вероятность того что ваш мак так поломают спалив при этом такой 0day баг? Это от 100 тысяч до миллиона долларов.
qw1
У меня нет макбука для экспериментов, а то интересно было бы написать код, который включает камеру, делает фото и сразу выключает. Как долго светится диод?
iStyx
Доступ к камере дается не сразу, а только после того, как диод погорит некоторое время.
NemoVors
У меня ноут старый (не мак) нет никакой индикации включения камеры. Пойду поищу изоленту чтоли...
vvzvlad
Фантазии или дадите пруф?
qw1
Я помню давнюю новостную статью из разряда «эксперты обнаружили уязвимость», где была описана техника кратковременного включения камеры, создания снимка и выключения камеры. Пользователь не мог заметить активность индикатора. Я тогда подумал «о, прикольно, надо запомнить этот трюк».
BugM
Это было давно. Это давно уже не работает.
qw1
В этой ветке речь не о макбуках…
BugM
А чего вы собственно хотите? Современная винда тоже умеет ограничивать доступ к камере и микрофону. Если с Линуксом связались, то предполагается что вы сами все умеете и можете.
Старое железо и старый софт небезопасны по определению. Просто не используйте его, если вам важна безопасность.
qw1
В этой статье и речь, как НЕ использовать Yandex.Browser
MAC мне не подходит, как компьютерному энтузиасту (ну как я запихаю туда новую RTX 4080?). С другой стороны, Windows даёт больше свободы пользователям, а это приводит к тому, что каждая большая игра загружает свой kernel driver, под предлогом античита, что делает бессмысленным строгие политики безопасности ОС.
В-общем, с Win/Lin надо больше думать, но и больше возможностей получишь. А MAC — готовое решение, надёжное, но с ограничениями.
BugM
Да, у них есть проблемы. И путь которым они пошли мне не нравится. Лучше бы вместо продвигания новых особых приложенек старые в песочницу засунули. Это реально сделать.
В мак тоже ставятся расширения ядра. Но процесс установки специально сделан настолько сложным и запутанным, что по этому пути идут только когда вообще никак без него.
Свобода одинаковая для пользователя.
Вы в словах игрок на PC сделали пару ошибок. Остальным оно не нужно. Нейросети учить удобнее на видеокартах на виртуалках.
Но тут да. Игры на PC это вин платформа без вариантов.
qw1
BugM
Конечно. А в чем проблема? Вы же не собираетесь их ставить внутрь корпуса ноута?
vvzvlad
Во всех ноутах, которые я видел, микрофон отдельно и его работа никак не показывается
BugM
Тут операционки спасают. Все приличные операционки спрашивают первый раз для каждого приложения, а потом выводят уведомление когда микрофон кто-то использует.
qw1
«Все приличные операционки» = macOS?
BugM
У винды с этим похуже. Хотите максимальной приватности и защиты выбирайте маки или линуксы. Это вроде не новость.
ToolBarrister
Если несложно, объясните популярно, что может слить Яндекс-браузер в отличие от "иноагентных" Хрома или Оперы. И почему потребовалась аж целая политика по запрету этого браузера? P.S.: ни разу не за Яндекс, если что.
Areso Автор
Формально, возможности у них примерно одинаковые (по отношению к тому, до чего они могут дотянуться), однако отличаются количеством кода, который эту информацию с машины пользователя куда-либо имеет возможность передать. Смотрите, каждое расширение для браузера - это дыра в безопасности ("ну хоть что-то у нас в безопасности"). Во многих компаниях расширения проходят аудит, перед тем, как их разрешают использовать. Здесь же имеем безальтернативный набор предустановленных расширений, каждое из которых может сливать, а часть и сливает, информацию. Это первое.
Второе. Поскольку большинство расширений сделаны в России, то у коллег из ИБ и у меня лично есть большие сомнения, что передаваемые данные потом где-то не всплывут (машу рукой Яндексу с нереальным количеством утечек ПД и курьеров, и Еды, и водителей такси и всех остальных сервисов), компания не понесёт самое суровое наказание в 50 тысяч рублей (за всю утечку). При таких обстоятельствах данные можно сливать хоть на открытый MongoDB сервер.
Наконец, есть некоторый процент людей, который считает, что лучше их информацию будет уходить господину майору из АНБ, чем товарищу майору из ФСБ. Но вот это уже дискуссионно. Это третье.
askv
В случае использования госсайтов, лучше пусть уходит в ФСБ. Всё равно таким образом они ничего нового не узнают.
Areso Автор
Принимается
BigBeerman
расширения отключаются, внезапно
s-a-u-r-o-n
За исключением встроенных в браузер
RangerRU
каких?
список будьте добры
Didimus
У нас на работе отключены расширения в Яндекс браузере.
den_po
ЯБ как минимум сливает ссылки, по которым ходят пользователи, а потом эти ссылки доступны всем из поиска. Для гуглодокументов они это дело прикрыли после скандала, для остального не знаю, но в логах моего сервака регулярно появляется яндекс, парсящий страницы, на которые ссылок нигде нет и до которых робот самостоятельно добраться не может.
daggert
Хромой так-же делает. У меня внутренний воркбенч всплыл в поиске гугла (на поддомене!) впереди основного сайта, хотя на него нет в природе ни одной ссылки на сайтах, а все ссылки были отправлены через почту. Аналитики тоже нет, да и вообще весь сайта сидит сам на себе без cdn или т.п. По итогу пользователи по запросу попадали по окно с авторизацией, без кнопки регистрация, описания или т.п. и писали в саппорт о багах. Я только через месяц понял в чем прикол, глянув историю заходов - парсеры гуляли как к себе домой. Причем там посещаемость была смешная - около 100-150 человек в день.
Areso Автор
Там еще почтовые сервера ходят по ссылкам.
askv
Телега тоже превьюшками балуется, если через неё ссылку переслать.
edo1h
Если вы делали отдельный сертификат для этого домена, то дело может быть в этом: информация о сертификатах, выпущенных большинством центров сертификации, публична.
Можете проверить на crt.sh
sirocco
И пароли, наверное. Грех же не хранить пароли, если всё равно их вводишь в окне браузера.