Проект на выходной: поднять виртуалку, настроить там...

Проект на выходной: поднять виртуалку, настроить там логирование DNS, поставить один из российских браузеров и собрать логи за несколько часов.
Составить список блокировки, который сломает там всё, от слежки до синхронизации закладок и обновления корневых сертификатов 😀
Разрешить обновление сертификатов, и поделиться с вами оставшимся списком.

Хм, нужно ещё с помощью Wireshark проверить, не переключается ли он на свой DNS в таких случаях.

#ru #rf

Like 1 24 Sep 2022 at 4:38 | Open on mastodon.social

19 comments

[DATA EXPUNGED]

OfShad0ws

Какое убожество, глазам больно

24 Sep 2022 at 9:53 | Open on mastodon.social

yesfreenet

@OfShad0ws кому как, но мне так нравится, лишь внешним видом, но думаю, что накастомить можно хорошенечко

24 Sep 2022 at 9:57 | Open on mastodon.ml

OfShad0ws

У нас было 3 часа, 45 доменов, 205 запросов и мы понятия не имеем, где тут обновление сертификатов

Ясно, что, нужно больше времени, чтобы собрать всё
А как блокировать эти бесчисленные *.verify.yandex.ru ?
Неужели придётся пускать в ход Pi-hole

24 Sep 2022 at 21:57 | Open on mastodon.social

OfShad0ws

Проект считаю завершённым успешно.
Список доменов для яндекс браузера, которые удалось отловить:
https://gist.github.com/OfShad0ws/d67dbea8636d30f5c646592369a21513

*.verify* рекомендую блокировать по маске, в формате Blocky это будет:
/verify\.yandex\.ru/

При таких блокировках браузер НЕ пытается использовать собственный DNS, но можно заранее позаботиться об этом, на случай, если с обновлениями завезут обход блокировок:
1. блокируем встроенный в браузер выключенный по умолчанию DNS Crypt
sudo ufw deny out from any to 77.88.8.78

1/2

*.verify* рекомендую блокировать по маске, в формате Blocky это будет:
/verify\.yandex\.ru/

Expand text...

25 Sep 2022 at 10:33 | Open on mastodon.social

OfShad0ws

2. блокируем все остальные адреса DNS серверов яндекса, их к счастью нам предоставили по адресу https://dns.yandex.com/

При таких блокировках наблюдается тишина в эфире. Очевидно, все облачные функции браузера и даже домашняя страница по умолчанию работать не будут. Поэтому данный список ориентирован на использование в виртуалке, а не в общей сети.

2/2

25 Sep 2022 at 10:40 | Open on mastodon.social

OfShad0ws

Если я буду вынужден использовать такой "чебурнет" для оплаты товаров и услуг, и если у кого-то есть интерес к такой виртуалке и обновляемому списку блокировок, оформлю репозиторий, сможем вместе поддерживать список в актуальном виде.

25 Sep 2022 at 10:41 | Open on mastodon.social

🕉️Shurasena

@OfShad0ws зачем это все?

25 Sep 2022 at 10:39 | Open on linuxrocks.online

OfShad0ws

@apxont
сбербанк под санкциями, у них истекает сертификат безопасности, и есть риск что их сервисы будут открываться только в российских браузерах

мне было бы плевать, но некоторые магазины пользуются их эквайрингом, + есть риск, что те же госуслуги, налоговая, отправятся туда же - в "чебурнет"

я задался вопросом - что если полностью придушить весь хлам в российском браузере и заставить его исполнять только единственную функцию - открытие страниц, без слежки и отчётов большому брату

25 Sep 2022 at 10:44 | Open on mastodon.social

🕉️Shurasena

@OfShad0ws а не проще прикрутить российские сертификаты в нормальный браузер? как-то ж их прикрутили в "свой" браузер

25 Sep 2022 at 10:48 | Open on linuxrocks.online

OfShad0ws

@apxont
хороший вопрос, если будет ответ - прошу поделиться

пока, насколько я понял, есть возможность прикрутить сертификаты только на уровне ОС, а это для меня не подходит, т.к. включает возможность перехвата и подмены всего трафика

25 Sep 2022 at 10:49 | Open on mastodon.social

OfShad0ws

@apxont
немного технических подробностей есть здесь и в комментах
https://habr.com/en/news/t/688470/

25 Sep 2022 at 10:53 | Open on mastodon.social

🕉️Shurasena

@OfShad0ws вот что-то такое нашел https://winitpro.ru/index.php/2022/09/22/tls-sertifikaty-russian-trusted-root-ca/

25 Sep 2022 at 10:57 | Open on linuxrocks.online

OfShad0ws

@apxont
спасибо, поставил сертификат в отдельный профиль, он вроде импортировался успешно, но не удалось найти публично доступный сайт, чтобы проверить работу - подождём

Была ситуация с Казахстаном, где ввели гос. сертификаты с целью слежки за людьми, и в Firefox в том числе такой сертификат был добавлен в чёрный список.
Здесь ситуация другая, возможно реакция от Mozilla не последует.

25 Sep 2022 at 11:11 | Open on mastodon.social

🕉️Shurasena

@OfShad0ws в той же статье предлагали такую ссылку https://fgiscs.minstroyrf.ru/

25 Sep 2022 at 11:12 | Open on linuxrocks.online

Толстоевский 🐡

@OfShad0ws@mastodon.social
загони хуяндекс-браузер в firejail и пользуйся в нём только госуслугами и сбером
@apxont@linuxrocks.online

1 25 Sep 2022 at 11:21 | Open on mk.phreedom.club

OfShad0ws

@tolstoevsky
это неплохой вариант, но я предпочитаю не давать ему возможности вообще никуда подключаться, кроме набранного мной сайта

в firejail есть возможность прокидывать отличный от системного DNS, но не уверен, что там есть полноценный firewall (на случай, если он свой DNS попытается использовать в будущем)
да и мне спокойнее с виртуалкой - отпечатки браузера, выход из песочницы, и прочие проблемы изоляции

@apxont

Expand text...

25 Sep 2022 at 11:59 | Open on mastodon.social

Gabriel

@OfShad0ws @tolstoevsky @apxont Виртуалка не особо помогает боротся с фингерпринтингом, все еще палит железо, настройки сети деревянные и пр. Контейниризация более гибка и будь в линуксе инструменты подходящие я бы советовал использовать их, однако проблема в том что в линуксе нет таких инструментов

1 Dec 2022 at 14:45 | Open on yokai.cafe

OfShad0ws

Похоже, проект был чисто развлекательным 😆
По факту всё работает и в Firefox: https://mastodon.social/@OfShad0ws/109068551110329984
Хотя, если какой-то сайт наотрез откажется работать в FF, может и пригодится виртуалка.

#rucert

27 Sep 2022 at 4:51 | Open on mastodon.social