В связи с рвением начальства по контролю за тем, чем работники занимаются на компах в рабочее время, пришлось перестраивать работу браузера.
Глобальный контроль (установка на компы програм для снятия скриншотов с экранов и прочих шпионов) был пресечен заменой винды линуксом, против которого у администратора сети не оказалось нужного инструмента. Оставался перехват трафика. С помощью
https он , конечно, шифруется. Но эта фишка не избавляет от атаки типа MITM (человек посередине) и легко пустить трафик через подставной комп с дешифрацией всего и вся. Да и запросы DNS открыты для изучения на предмет того, куда работник ходит во время исполнения служебных обязанностей.
Идеальным оружием против этого оказался firefox, так как легко позволяет:
1) Разделить пользователей с индивидуальной настройкой каждого профиля;
2) имеет встроенную возможность шифрования запросов DNS, что ставит крест на всех попытках вклиниться и вообще определять адреса посещаемых сайтов + https. При этом, эту настройку можно реализовать на своем профиле, а рабочий профиль оставить с возможностью перехвата адресов сайтов - типа показать, что ходишь только по рабочим адресам.
настройка шифрования DNS (работает с 60-й версии):
1) Создаете в отдельном каталоге (или в зашифрованной папке, контейнере) личный профиль для личных дел и запускаете -
firefox -P "имя профиля" -no-remote;
2) Включения
network.security.esni.enabled=true в
about:config недостаточно для активации в Firefox TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.
На данный момент ESNI не работает без использования встроенного в Firefox резолвера "
DNS over HTTPS". Использовать ESNI пока можно только при активации "DNS over HTTPS".
Для настройки
DNS over HTTPS нужно изменить три параметра нового резольвера
TRR (Trusted Recursive Resolver) в браузере:
about:support
network.trr.mode ◇ Установите значение, равное 2, чтобы технология DNS over HTTPS была выбрана по умолчанию, а ваш стандартный DNS-сервер использовался в качестве резервного. Это оптимальный вариант с точки зрения совместимости.
◇ Вы можете установить значение 1, чтобы Firefox выбрал самый быстрый вариант;
◇ 3 - чтобы использовать только TRR;
◇ 0 - чтобы отключить TRR.
network.trr.uri На данный момент доступны два общедоступных сервера, которые можно использовать:
◇
https://mozilla.cloudflare-dns.com/dns-query (стоит по умолчанию)
◇
https://dns.google.com/experimentalnetwork.trr.bootstrapAddress ◇ Установите значение 1.1.1.1, если выбрали Cloudflare (по умолчанию)
◇ Установите значение 8.8.8.8, если выбрали Google DNS
+ вкл. это иначе не работает ESNI (в 60-й версии картинка иная)
Перезагружаем браузер (весь, а не только свой профиль)
Проверяем работу
about:networking выбираем
dnsПри работающем шифровании везде видим
trueСущественное ДополнениеС 60 какой-то версии все резко упростилось. Достаточно в настройках поставить чебокс и прописать (оставить по умолчанию) нужный сервер.