Скачать последнюю версию Firefox | Скачать Beta версию Firefox | Все версии Firefox

Ахтунг! В каждой версии находят по несколько уязвимостей (как и в любом другом современном браузере). Пользуясь устаревшими версиями, вы превращаете свой комп в ботнет, и рискуете поймать бан от своего интернет-провайдера. Представьте себе жизнь БЕЗ ИНТЕРНЕТА. Что, страшно?

Для повышения удобства работы с браузером вы можете устанавливать расширения, а для изменения внешнего вида браузера - темы. Также расширения можно искать в окне установленных расширений браузера (about:addons).

Самыми популярными расширениями являются блокировщики рекламы. Этих расширений развелось как грязи, большая часть которых либо является плагиатом, либо сделана на коленке китайскими студентами, в том числе для последующей продажи (да, фактически продавать будут вас). Советую остановить выбор на расширении uBlock Origin, которое разрабатывает Raymond Hill, один из немногих людей, которым можно доверять. Более известное расширение Adblock Plus медленнее работает и блокирует меньше рекламы. В настройках блокировщика (любого из этих двух) установите фильтры EasyList и RU AdList. Этого достаточно для русскоязычного и англоязычного Интернета. Помните, что чем больше фильтров, тем сильнее тормозит браузер.

Расширение, которое делает работу с эти форумом несколько комфортнее, можно взять здесь.

Перед тем, как задать вопрос, прочитайте справку (ссылка на неё находится в главном меню браузера, которое открывается клавишами ALT или F10) и ответы на часто задаваемые вопросы (FAQ).

CoolCmd а какая тебя операционная система?

С чего бы это. Браузер просто поругается, а соединение всё равно будет шифрованным.
Игнорирование делает вас уязвимым к MITM атаке.
Установка сертификата делает вас уязвимым к атаке со стороны тех кто владеет закрытой частью ключа.

Добавлено спустя 3 минуты 20 секунд:
Чтобы удовлетворить параною было бы неплохо принудительно ограничить использование сертификата для конкретных сайтов. Во всех остальных случаях считать его недоверенным. Не игнорирование, а именно использование, но только в конкретных местах. Во всех остальных случаях считать его недоваренным.
Но я тот ещё "специалист" в этом вопросе, если кто-то знает как задать такое поведение, то это было бы лучшим решением.

Добавлено спустя 45 секунд:
Ну как вариант иметь виртуалку где стоит подозрительный сертификат и использовать её ИСКЛЮЧИТЕЛЬНО для одной единственной задачи.

давай не будет фантазировать. был конкретный вопрос: добавить сертификат в систему/браузер или добавить исключение в браузер.

Добавлено спустя 7 минут 37 секунд:

это не паранойя, а простое правило взрослого человека "не тащить всё в рот". защищает от вирусов, путинских зондов и прочего.


если внести в исключение, то примерно это и получим.

Некоторые тут реально не понимают возможных последствий установки корневых сертификатов.
После этого можно подменять сертификаты любых сайтов на свои. Далеко не каждый пользователь сразу заметит подставу. Это очередная ступенька на пути к полному чебурнету. Знаю несколько крупных контор, которые этим злоупотребляют в своей локальной сети.
ИМХО ставить можно, но только в песочнице какой-нибудь.

A224 писал(а):

црушный зонд под названием windows с телеметрией прямо на сервера анб значит поставим
а "путинский" который на поверку даже не зонд и ничего не может никуда отсылать - нет

Если ты не работаешь на госкорпорацию, с какой-нибудь там тайной или это ПК исключительно для частного использования, то никому ты нафиг не нужен в этом АНБ. Вся телеметрия собирается для показа рекламы и продажи обобщенных статистических данных.
В любом случае АНБ тебе не сможет здесь сделать ничего. А товарищ майор - сможет. Так что беспокоиться надо как раз о зондах от "своих".

Сработает алгоритм на какую-то фразу и прикроют за недостаточный патриотизм.

Ты вообще шаришь, что делает сертификат? Ахаха, ты чо несёшь, прекрати
Шапочку из фольги надень, эксперт

4e_alex писал(а):

Некоторые тут реально не понимают возможных последствий установки корневых сертификатов.

Некоторые во всём видят руку кремля и во всём виноват Путин. Хотя о чём я, вас видимо отбирают спецом в кураторы/модераторы/админы

Он шарит. В отличие от тебя. Имея закрытый ключ можно расшифровать весь трафик, который был зашифрован открытым ключом в этом сертификате. А также подменять все идущее в твоем направлении.
Также можно подменять сертификат других сайтов своим, открывая простор для слежки и подмены трафика уже везде. В том же Казахстане это узаконенная практика на уровне государства, по крайней мере были попытки.


Путин тут вообще не при чем, не надо превращать обсуждение вопроса цифровой безопасности в политизированный срач.
Ты этот сертификат смотрел вообще? В нем же даже не прописан URL на точку распространения списка отзыва. На пользователя переложена ответственность этот список где-то качать (не все его прикладывают еще) и ставить руками. Это если он не хочет доверять скомпрометированным сертификатам, которые когда-то были подписаны этим корневым. Ты им всем сразу пачкой безоговорочно доверяешь, в этом вся суть корневого сертификата.
У предустановленных либо вписана точка распространения либо вместе с обновлением ПО, которое серты поставило, будет доставлено обновление. А за поставленным руками автоматически следить за тебя никто не будет.

И нет, это все не оффтоп. Потому что если вы ставите безопасный браузер с минимумом/без закладок, то зачем его "обогащать" вот этим? Поставьте рядом шпионский модуль от Яндекса и пользуйтесь им на сайтах, которые этого требуют. А еще лучше в песочницу отдельную.

А теперь ответь на вопрос - какой трафик шифруется этим ключом? Правильный ответ - госсайты. Им и без ключа известен твой трафик. Вы бредите, товарищи, заявляя, что эти ключи созданы для слежки - за вами и без ключей проследят, если надо
Особенно смешно это выглядит, когда вы используете ключи например США - там слежка демократичная, да?

Добавлено спустя 6 минут 17 секунд:

Что? Следить за сертификатом? Ты либо пользуешься ресурсом, который использует этот сертификат (и ресурс безоговорочно имеет доступ к твоему трафику, независимо от сертификата), либо не пользуешься. Установленный у тебя сертификат никак не позволяет ничего сделать с трафиком, который не шифруется этим сертификатом

Добавлено спустя 2 минуты 27 секунд:

Опять двойные стандарты. Почему меня упрекаешь, что я вспомнил Путина, а коллегу своего - нет (которому я на его "путинское" и отвечал)?

Ты сообщение выше не читал, а уже ответ настрочил.
Другой серт может быть им подписан, а затем скомпрометирован. Автоматом ты список отзыва не получаешь в данном случае. Man-in-the-middle может подменить серт сайта своим. Этим может заняться твой провайдер, этим может заняться твой сосед. Любой владелец любого промежуточного узла.

Но если ты хочешь опять все свести к политике, то пусть уж лучше "демократичная" слежка просто потому что я нахожусь вне ее юрисдикции.


Не за самим сертификатом, а списком отзыва к нему. В списке перечислены скомпрометированные и досрочно отозванные сертификаты, которые были подписаны этим корневым.

Это не я решил свести, а твой коллега.

Добавлено спустя 10 минут 6 секунд:

Все ресурсы на территории РФ с сертификатами РФ или без них по умолчанию скомпрометированы, если следовать твоей логике. Как любой другой ресурс в другой стране доступен для спецслужб той страны. Вы так прицепились к этому сертификату будто без него нет шансов на слежку

Тебя заклинило на каких-то там спецслужбах. Спуфить трафик могут не только они. Но снова повторюсь, если выбирать между нашими и чужими спецслужбами на персональном ПК (в ситуации с рабочим все иначе может быть), то лучше слежка чужих, т.к. у них тут нет никакой юрисдикции. Это вовсе не связано с тем, что я кого-то из них люблю больше.

Здесь принципиален даже больше момент с ручной установкой серта, а не его происхождение. Предустановленное в зоне ответственности вендора, а тут она на юзере. А юзер нифига в этом не понимает. Именно поэтому я написал, что лучше уж тогда поставить рекламно-шпионский модуль Яндекса. Тогда по идее все должно обновляться вместе с этим софтом.

Добавлено спустя 2 минуты 58 секунд:
Все это напоминает разговор со стеной. Ты явно не понимаешь базовых принципов работы сертификатов, если надо пояснять про списки отзыва.
А от тебя звучат фразы типа
"А теперь ответь на вопрос - какой трафик шифруется этим ключом? Правильный ответ - госсайты"
Что нонсенс. Ничего ключом корневого сертификата не шифруется напрямую. Им выдают сертификат сайту, а потом уже ключом этого нового сертификата шифруют. Обратное означало бы, что закрытый ключ корневого УЦ пошел по рукам. Его осталось бы только уборщицам на флешках раздать для полноты картины.
У нас в законодательстве прописано, что закрытый ключ УЦ может храниться только на системе без какой либо сети вообще в специальном помещении. Для подписания им специально обученный (сотни часов ИБ) человек с допуском уединяется в этой комнате. На практике конечно у УЦ поменьше сплошь нарушения этого процесса, но тупо выдать свой закрытый ключ всем админам госсайтов - это уже за гранью.

Спуфить трафик - недостаточно для взлома трафика. А получить поддельный/несанкционированный серт можно не только от минцифры, уже были случаи
Признаюсь, в твоих словах есть доля правды, кое о чём я даже не думал особо, и не совсем прав оказался. Но насколько вероятно то, о чём ты пишешь - как по мне, так под большим вопросом.
Если это будут делать те же спецслужбы - то это палево, они так не станут работать скорее всего. Если это будут делать просто злоумышленники - то весьма быстро поднимется хай и лавочку всё равно прикроют.
Если же ты боишься, что тебя секут - ты вероятнее всего сидишь под vpn, и тут уже спуф крайне затруднён. Ну если мы молчим о самом операторе vpn

Я изначально был больше не согласен с тезисами CoolCmd -

А ты меня после этого в политизации упрекнул

Господа, в нгинксе ЛЮБОГО сайта прописан вполне конкретный серт, если он отличается от клиентского, вам высветится предупреждение. О чем спор непонятно.

Камрады, есть ли утилита по миграции из The Bat! в Thunderbird? Спрашиваю здесь, так как соответсвующую тему не нашёл, а птичка является прямым родственником красной панды...

Ni9999 Речь об официальных сайтах, на которых высветится предупреждение, типа банковских.
Одни говорят, что скачать корневой сертификат с госуслуг, дабы избавиться от предупреждения - это норм.
Вторые же считают, что сие действо, своими же руками, открывает дырину в личном трафике (что, ИМХО, верно).

Дыра у вас будет в обоих случаях, только в разных местах

Не высветится ничего потому что подменить эту инфу в пакете вообще элементарно. Сайт тоже ничего не увидит, ведь ему то будет отправляться шифрованное его сертификатом.
Половина сторонних антивирусов перешифровывает любой https своим сертом прямо на твоем ПК. У некоторых есть решения для LAN организаций https://support.kaspersky.ru/kwts/6.1/186283. Во всех этих случаях в доверенные корневые закидывается свой. В браузере ничего не высвечивается пока сам не зайдешь руками смотреть сертификат сайта.

Нету их и брандмауэр отключен
И напомню, из за чего началось то, Лиса не открывала сайт сбера и что мне делать было, и не было типа "принять риск и продолжить"? Версия была старая как и я.