The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.07.2018 22:05  Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI

Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В настоящее время расширение SNI, необходимое для организации работы на одном IP-адресе нескольких HTTPS-сайтов со своими сертификатами, подразумевает передачу имени хоста на стадии согласования соединения в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи.

С одной стороны подобная особенность упрощает организацию обработки запросов на http-серверах и позволяет использовать прокси и CDN-сети для проброса шифрованного трафика, но с другой стороны раскрывает информацию о запрошенных ресурсах для транзитных наблюдателей, например, позволяет провайдеру судить о запрашиваемых пользователем сайтах и выборочно фильтровать трафик. До недавнего времени CDN-сети Amazon и Google предоставляли возможность скрытия имени хоста при помощи техники "domain fronting", позволявшей обращаться по HTTPS с указанием в SNI фиктивного хоста и фактической передачей имени запрашиваемого хоста в HTTP-заголовке Host внутри TLS-сеанса (данная возможность позволяла использовать CDN для обхода блокировок и весной была отключена).

Поддержка начальной черновой спецификации ESNI уже реализована в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (используется в http-сервере h2o). При использовании ESNI имя хоста (поле server_name) также передаётся в ClientHello, но в зашифрованном виде. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. Для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  3. OpenNews: TLS 1.3 получил статус предложенного стандарта
  4. OpenNews: Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor
  5. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: sni, https, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, пох (?), 22:14, 16/07/2018 [ответить] [показать ветку] [···]     [к модератору]
  • –36 +/
    мурзила, огрызок и прочие гиганты индус-трии ниасилили замахнуться переделать у... весь текст скрыт [показать]
     
     
  • 2.4, AnonPlus (?), 22:23, 16/07/2018 [^] [ответить]    [к модератору]  
  • +31 +/
    Жаров, перелогиньтесь. Мы-то знаем, что шифрование SNI  - как серпом по яйцам для всех, кто хочет вставлять клиентам анальные зонды в виде DPI.
     
     
  • 3.6, пох (?), 22:33, 16/07/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    серпом по яйцам им было бы выкидывание этого урода в помойку заодно с trusted... весь текст скрыт [показать]
     
     
  • 4.8, Аноним (8), 23:03, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Согласен полностью.

    Коллега, а что нам собственно стоит взять какой-нибудь хромиум и реализовать в нем HTTP/1.1 через SSH?

     
     
  • 5.23, Sw00p aka Jerom (?), 23:30, 16/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    МОдер, удали эту ересь выше)))
     
     
  • 6.86, Аноним (-), 14:38, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    почему ересь? Туннели через обратный ssh известны со времен царя гороха. Другое дело, что область применения этого дела весьма и весьма ограничена
     
  • 4.26, Crazy Alex (ok), 00:14, 17/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Конечно невозможно. Пофигу, как легко написать - важно, как легко внедрить. А на вебовских масштабах даже очень большая куча костылей дешевле и проще во внедрении, чем "до основанья, а затем".
     
     
  • 5.28, Аноним (28), 00:20, 17/07/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Последние лет 10 так в вебе и делают Поэтому и имеем гигантскую пирамиду из к... весь текст скрыт [показать]
     
     
  • 6.32, Crazy Alex (ok), 01:17, 17/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Естественно так и делают. Потому что по-другому не взлетит вообще
     
  • 5.30, Аноним (8), 00:33, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Внедрить легко, если не вместо, а рядом. HTTPS много лет был не вместо HTTP и только последние лет пять эта ситуация изменилась.
     
     
  • 6.33, Crazy Alex (ok), 01:23, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот потому и пролез в конце концов, что много лет рядом был и наросла критическ... весь текст скрыт [показать]
     
     
  • 7.35, Аноним (8), 01:52, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Помимо серверной стороны предстоит решить вопрос с контекстами выполнения JS, по... весь текст скрыт [показать]
     
     
  • 8.37, Аноним (37), 02:40, 17/07/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Избыточен твой контроль целостности и аутентификация, когда и так есть https Бу... весь текст скрыт [показать]
     
     
  • 9.40, Аноним (8), 04:37, 17/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    HTTPS свою задачу не выполняет, пока используются CDN, терминирующие TLS (Cloudflare) и работают сертификаты, подписанные третьими лицами. Контент может быть подменен без возможности это обнаружить.
     
     
  • 10.46, Аноним (37), 07:17, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    И какое ты решение предлагаешь По типу SSH Как себе представляешь Откуда ты в... весь текст скрыт [показать]
     
     
  • 11.56, Аноним (56), 09:24, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Согласование фаз между зашифрованным DNS и HTTP/HTTPS.

    DNS и BGP должны быть включены на валидацию сторон и шифрование.

     
  • 11.69, нах (?), 11:04, 17/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    откуда ты берешь ключи ssh Лично бегаешь по всем хостам, или все же предполагае... весь текст скрыт [показать]
     
  • 11.176, Aknor (?), 09:23, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    из блокчейна. emercoin это умеет
     
  • 8.58, Нанобот (ok), 09:27, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >Нужен контроль целостности и аутентификация

    уже есть: https://en.wikipedia.org/wiki/Subresource_Integrity

     
  • 7.63, нах (?), 10:31, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    то есть гугл, один штука да, отказ от возврата в результатах поиска неправиль... весь текст скрыт [показать]
     
     
  • 8.169, Товарищ Подполковник (?), 11:37, 20/07/2018 [^] [ответить]     [к модератору]  
  • +/
    он не платит ничего платят только лохи он угрожает дать по башке, отобрать де... весь текст скрыт [показать]
     
  • 6.52, Анотоним (?), 08:37, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    HTTPS был рядом потому, что использовать SSL было дорого йа бы сказал супер-пуп... весь текст скрыт [показать]
     
     
  • 7.57, Аноним (56), 09:26, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    AES-NI/FPGA/pcie-card
     
     
  • 8.121, Анотоним (?), 21:16, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    ты сам то понял что сказал?
     
  • 7.66, нах (?), 10:43, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    мой сертификат startssl ныне покойного стоил мне 0 extended validation thawt... весь текст скрыт [показать]
     
     
  • 8.123, Анотоним (?), 21:52, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    зачем уютному персональному бложику или лавочке по продаже second-hand кондомов ... весь текст скрыт [показать]
     
     
  • 9.130, нах (?), 11:17, 18/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    в стране, где сажают за лайк, вы серьезно спрашиваете у тебя какие-то другие де... весь текст скрыт [показать]
     
     
  • 10.149, Анотоним (?), 20:13, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    и как SSL на это повлияет следователь не увидит лайка ему будет показываться к... весь текст скрыт [показать]
     
     
  • 11.162, нах (?), 11:34, 19/07/2018 [^] [ответить]     [к модератору]  
  • +/
    увидит, но не сможет просто так выяснить кто его поставил,когда нет возможности ... весь текст скрыт [показать]
     
  • 4.74, Аноним (74), 11:59, 17/07/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Проблема в том, что без trusted authorities невозможно защищенно связаться с н... весь текст скрыт [показать]
     
     
  • 5.77, нах (?), 13:24, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    возможно невозможно убедиться что он тот, за кого себя выдает - но чаще всего э... весь текст скрыт [показать]
     
     
  • 6.88, Аноним (74), 14:57, 17/07/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    В случае банка, биржи и любого другого финансового учреждения важно как раз имен... весь текст скрыт [показать]
     
  • 2.5, пох (?), 22:24, 16/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а делают они это вот этими самыми руками:

    https://mobile.twitter.com/levelsio/status/1018793451553345536?p=p
    https://mobile.twitter.com/0xjomo/status/1018810610597941249?p=p

     
  • 2.73, Николай Панкратов (?), 11:37, 17/07/2018 [^] [ответить]    [к модератору]  
  • +11 +/
    Ой какой же ты дуpак, ну дуpаааак... Забаньте уже всех этих "пoxов", "наxoв", и прочих увеселительных клoeнок. У нас тут вроде не царский двор, шyтов хватает и на других сайтах.
     
     ....нить скрыта, показать (33)

  • 1.3, Аноним (37), 22:20, 16/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Наконец-то! Тогда и DNS и SNI будут шифрованны, шикарно.
     
     
  • 2.164, Аноним (-), 12:15, 19/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >и DNS

    dnscrypt, не?

     
  • 1.7, Аноним (7), 22:40, 16/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    мазила до сих пор резолвер TTR Trusted Recursive Resolver , предоставляющего во... весь текст скрыт [показать]
     
     
  • 2.12, dimqua (ok), 23:10, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Зато клаудфлара смогла.
     
  • 2.25, Аноним (37), 23:55, 16/07/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    В 61 уже нормально работает DoH В 60 крашил браузер Сейчас мне не хватает толь... весь текст скрыт [показать]
     
     
  • 3.90, dimqua (ok), 15:13, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Как удалось завести? У меня и в 61.0 не работал. :-/
     
     
  • 4.152, Аноним (152), 22:55, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Просто 3 префа https gist github com bagder 5e29101079e9ac78920ba2fc718aceec n... весь текст скрыт [показать]
     
     
  • 5.157, dimqua (ok), 02:34, 19/07/2018 [^] [ответить]     [к модератору]  
  • +/
    А с гугловским сервером работает У меня теперь тоже заработало, но только с moz... весь текст скрыт [показать]
     
  • 1.9, Xasd (ok), 23:04, 16/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    боже это слишком сложно один маленький управляемый сбой -- и всё это откат... весь текст скрыт [показать]
     
     
  • 2.16, Аноним (37), 23:18, 16/07/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    > провайдеры лишь всего-навсего просто будут:

    Это не «всего-навсего просто», лол. И по твоей логике ничего не надо делать, ведь всё равно могут интернет открубить.
    Зачем нам трафик TLS шифровать? Ведь могут просто заблочить и вынудить http юзать. Но нет, уже не могут так сделать. Максимум — по IP и SNI мешать устанавливать соединение.
    Зачем VPN существует? Ведь легко протокол детектится в 98% случаев. Но чёт только в Китае более-менее пытаются, да и там люди продолжают использовать. Более неумело в Иране пытаются.
    Усложнять работу цензурятам всегда есть смысл. Даже чуток.
    Это задел на будущее. Старый открытый SNI потом уберут из браузеров и другого софта. Напомню, что некоторые маргинальные браузеры и сейчас поддержки SNI не имеют, и в них даже что-то частично работает.
    А блочащие DoH просто выставят себя как дикие страны (у передовых другие методы есть, им это не нужно). Которым можно и санкций подкинуть, мотивируя правами человека.

     
     
  • 3.19, dimqua (ok), 23:22, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Да, в теории многое можно, но на практике не всегда все это реализуется.
     
  • 3.20, Xasd (ok), 23:27, 16/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    не смогут убрать потому что кроме www-браузера если и обычные библиотеки делающ... весь текст скрыт [показать]
     
     
  • 4.24, Аноним (37), 23:40, 16/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    И почему верится с трудом Вот был 2004 год, и всё кроме браузера, да и даже сам... весь текст скрыт [показать]
     
  • 4.29, Crazy Alex (ok), 00:20, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Уж из браузеров убрать - запросто, хоть и поэтапно
     
  • 4.68, нах (?), 10:54, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    целых две, не считая форков Ну так одну вон уже эммм антимат отрефакто... весь текст скрыт [показать]
     
  • 4.103, Тузя (ok), 16:55, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Не то чтобы я хотел опровергнуть что-то из вами сказанного, просто напомнить, чт... весь текст скрыт [показать]
     
  • 2.17, dimqua (ok), 23:19, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >блокировать DNS-over-HTTPS

    Разве это так уж просто сделать?

     
     
  • 3.22, Xasd (ok), 23:29, 16/07/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    >>блокировать DNS-over-HTTPS
    > Разве это так уж просто сделать?

    ну как Телеграм :-)

     
  • 3.42, Аноним (42), 06:03, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Вообще-то да. Это обычный HTTPS трафик, провайдер его видит шифрованым, ну если не пойти и не перебанить все известные DOH сервера.
     
     
  • 4.93, dimqua (ok), 15:19, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Так ведь перебанить _все известные_ DOH сервера невозможно, а блокировать весь https трафик никто не станет в здравом уме.
     
     
  • 5.122, Аноним (122), 21:40, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Станут. Госбезопасность шерифа волнует, а проблемы индейцев - нет.
     
  • 2.27, Crazy Alex (ok), 00:19, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Как раз нормально Как отладят внедрят - браузеры для начала станут всё, что так... весь текст скрыт [показать]
     
  • 2.67, нах (?), 10:46, 17/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    мурзила - уже может, полутора оставшимся пользователям уже все равно ... весь текст скрыт [показать]
     
  • 2.111, Аноним (111), 19:25, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    блокировать DNS-over-HTTPS DNS-over-TLS ну как минимум популярные серверы ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (15)

  • 1.14, xm (ok), 23:13, 16/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Вопрос, мягко говоря, перезрел.
     
     
  • 2.31, Аноним (31), 00:36, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Рыба уже давно уже сгнила с головы, они ток задумались.
    Тут бы проблемы DNSSec и антиспуфа порешать в BGP by default...
     
     
  • 3.34, xm (ok), 01:41, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    +100500
    Сегодня DNSSEC / DANE + DNS-over-TLS должно стать первоочередной задачей.
     
     
  • 4.94, dimqua (ok), 15:24, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Как выше писали, DoT не имеет такого уж большого смысла, если имя хоста передаётся в SNI в открытом виде даже в TLS 1.3.
     
     
  • 5.102, xm (ok), 16:54, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Во-первых, не вижу где. А, во-вторых, и это главное, не вижу связи.
    На кой, собственно, использовать SNI вместе с DNS-over-TLS?
     
     
  • 6.118, dimqua (ok), 19:58, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Не вместе с DoT, а при обращении к сайту по HTTPS, будет передаваться SNI.
     
     
  • 7.126, xm (ok), 22:39, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    В DNS-over-TLS внезапно никакого HTTPS нет.
     
     
  • 8.179, Аноним (179), 10:12, 22/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Внезапно при установлении TLS соединения со SNI, твой DNS-over-TLS теряет смысл, потому что имя домена прекрасно светится в SNI.
     
  • 1.36, Аноним (122), 01:58, 17/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Да бизнес это никогда не внедрит Вы же видели - Mozilla и Amazon закрыли domain... весь текст скрыт [показать]
     
     
  • 2.38, Аноним (37), 02:52, 17/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Чушь Бизнесу нет причин это бойкотировать И есть причины это внедрять Ибо ина... весь текст скрыт [показать]
     
  • 2.39, Аноним (37), 02:55, 17/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, могут и так поехать Что сказать-то хотел Могут ещё проще государственный ... весь текст скрыт [показать]
     
     
  • 3.89, нах (?), 15:08, 17/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    амазона и гугля, как видите, волнует самый богатый человек мира потому и самый ... весь текст скрыт [показать]
     
     
  • 4.114, DPDKguy (?), 19:29, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Это весьма непростая медийная история Если выкидывать, то есть репутационные ри... весь текст скрыт [показать]
     
     
  • 5.131, нах (?), 11:22, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    оно там специфичное - пока не затрагивает сами Штаты, особо ни на что не влияет ... весь текст скрыт [показать]
     
  • 1.41, нона (?), 05:15, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > позволит передавать идентификатор запрошенного хоста в шифрованном виде.

    Нужно. Нужно. Нужно!

     
  • 1.43, Аноним (43), 06:53, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Получается, прокси - как анонимайзеры, так и корпоративные - при таком раскладе идут лесом?
     
     
  • 2.87, Аноним (43), 14:56, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Похоже на то Я во всяком случае не очень понимаю, как в таком случае прокси буд... весь текст скрыт [показать]
     
     
  • 3.154, Аноним (152), 23:04, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Как это как определять А айпишник в пакете для чего указан Вот пусть прокся и ... весь текст скрыт [показать]
     
     
  • 4.161, Аноним (43), 10:39, 19/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Затем, что прокси еще и для фильтрации трафика используются Лол В такой ситуац... весь текст скрыт [показать]
     
  • 1.44, Аноним (44), 07:02, 17/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Чего там шифровать С каких сайтов тянешь ad блоки по текущему гнезду да уж вел... весь текст скрыт [показать]
     
     
  • 2.45, Аноним (37), 07:14, 17/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    И какой же в этом плюс без шифрования SNI Вот скрыл ты днс шифрованием, а всё р... весь текст скрыт [показать]
     
     
  • 3.47, Аноним (44), 07:35, 17/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    дружок, я про то что реализация веба на сегодня исключительно косячна, эти наработки из прошлого века. Сегодня пользоваться уже почти невозможно. Хотят лечить флаг им
     
     
  • 4.50, Аноним (50), 07:58, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Хотят лечить вебом флаг? Какой флаг? И зачем его лечить? Это какой-то молодёжный сленг?

     
     
  • 5.51, Аноним (44), 08:18, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    этому сленгу лет за писят уж. Это вообще моя планета?
     
     
  • 6.60, Ю.Т. (?), 09:30, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Запятые нужно ставить.
     
     
  • 7.62, Аноним (62), 09:55, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    "эти наработки из прошлого века. Сегодня пользоваться уже почти невозможно."(с)
     
  • 1.48, Аноним (31), 07:35, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    QUIC шифрует SNI еще надежнее, единственное что там из заголовка можно получить это метку connection-id. И вообще как так вышло, что TLS умеет отдавать заголовок хоста без шифрования?
     
     
  • 2.49, Аноним (49), 07:56, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    У лидеров рынка NIH-синдром же.
     
  • 2.53, КО (?), 08:57, 17/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Сначала не умели Т е идя на сайт по ip X X X X клиент ожидал там сертификат по... весь текст скрыт [показать]
     
     
  • 3.71, нах (?), 11:18, 17/07/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    и это была чудовищная глупость Настолько вопиющая, что начинаешь сомневаться, ч... весь текст скрыт [показать]
     
     
  • 4.156, А. Алког (?), 01:59, 19/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Почему нахрен Ну на Украину, ну и что сразу так - ... весь текст скрыт [показать]
     
  • 3.175, Аноним (179), 00:36, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    На шаред хостинге овер 1000 хостов на одном IP. Так каждому клиенту портянку в XX мегабайт на каждый запрос придётся отдавать.
     
  • 2.54, Xasd5 (?), 09:03, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > QUIC шифрует SNI еще надежнее,

    ну и поведай -- как же в QUIC происходит обмен ключами для SNI ?

    точнее говоря -- расскажи -- как происходит противостояние от MitM для фазы SNI ?

     
  • 1.55, Нанобот (ok), 09:20, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni"

    да ну нафиг. лишняя сложность, плюс дополнительная точка отказа

     
     
  • 2.59, Аноним (56), 09:30, 17/07/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    DNS устарел, HTTP устарел, BGP без BGPsec устарел... Нас нужны новые интернет!!!!!
     
     
  • 3.61, Andrey Mitrofanov (?), 09:46, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >Нас нужны новые интернет!!!!!

    https://duckduckgo.com/?q=pied+piper+new+internet
    https://duckduckgo.com/?q=pied+piper+new+internet&iax=images&ia=images

     
     
  • 4.64, Maxim (??), 10:35, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    похоже на какое-то бла-бла
     
  • 4.79, Аноним (-), 13:33, 17/07/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    whois говорит, что duckduckgo хостится в ирландии, а все мы знаем, что по ирланд... весь текст скрыт [показать]
     
     
  • 5.83, Andrey Mitrofanov (?), 14:07, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Айяйяй, Как же мне спрятать мои поисковые запросы, которые я выложил на опенет ... весь текст скрыт [показать]
     
  • 5.125, Аноним (125), 22:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    ФБР не работает за границей USA. Ты бредишь.
     
     
  • 6.144, IRASoldier (?), 18:51, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Работает, в тех случаях, когда преступление, разрабатываемое ФБР, предполагает д... весь текст скрыт [показать]
     
  • 6.145, IRASoldier (?), 18:53, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Навскидку по теме - https://ria.ru/society/20051012/41752859.html
     
  • 6.146, IRASoldier (?), 18:57, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Также ФБР может проводить оперативно-розыскные мероприятия за рубежом и в отноше... весь текст скрыт [показать]
     
  • 2.112, Аноним (111), 19:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Какая точка, какого отказа. Без DNS всё равно у вас HTTPS ни.
     
  • 1.65, Аноним (65), 10:43, 17/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    народ не понимает, что это делают не для их безопасности, а для финансовой безоп... весь текст скрыт [показать]
     
     
  • 2.70, Аноним (70), 11:14, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Никто тебе не мешает поднять собственный прокси и блочить всё что угодно на уров... весь текст скрыт [показать]
     
  • 2.72, Аноним (72), 11:35, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Финансовая безопасность? Лол.
     
  • 2.107, X4asd (ok), 18:28, 17/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    уж не буду говорить про то что ни кто тебе не мешает наложить на исходный код бр... весь текст скрыт [показать]
     
  • 2.113, Аноним (111), 19:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    А не похер бы, если всем это в плюс?
     
  • 1.75, Cradle (?), 12:02, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Хорошая штука, если действительно вбедрится и будет стабильно работать. Но Боже, сколько соплей в комментах - эти люди не въезжают что SSL/TLS это уже давно не про HTTPS, а про те новые протоколы вроде MQTT на которых сейчас "умная" электроника вертится и её сейчас будет всё больше и больше, и там вы как пользователь/потребитель на вашу безопасность сами повлиять не можете, если разработчик за вас не позапотился. И государству как раз весь этот траффик вполне по барабану, а вот всяким "хацкерам", реальному криминалу и всяким биг-дата-социнженерам очень даже интересен.
     
     
  • 2.78, Аноним (78), 13:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > а про те новые протоколы вроде MQTT

    где там sni и зачем он нужен умному дому ("ключи от всего у кого-то поумнее чем хозяин" (c)  ?

     
     
  • 3.81, Cradle (?), 13:41, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    серьёзные IoT сейчас работают с облаком через SSL/TLS, SNI необходим чтобы трафик между нодами балансировать
     
     
  • 4.82, Cradle (?), 13:51, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    в том смысле что заточенное под IoT облако обеспечивает N сервисов (виртуальных хостов) с М нод, и всё это нужно правильно балансировать.
     
  • 4.91, Аноним (78), 15:15, 17/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    вы что-то пургу несете Какой именно промышленный балансер работает на основании... весь текст скрыт [показать]
     
     
  • 5.95, Cradle (?), 15:34, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    может здесь лучше объяснят: https://aws.amazon.com/de/blogs/aws/new-application-load-balancer-sni/
     
     
  • 6.100, Аноним (78), 16:22, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    нет, здесь не лучше - у них sni используется по прямому назначению, чтобы напиха... весь текст скрыт [показать]
     
     
  • 7.104, Cradle (?), 17:02, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    именно по тому же назначению организующая свое облако компания или арендующая ... весь текст скрыт [показать]
     
  • 1.80, Ivan_83 (ok), 13:40, 17/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –5 +/
    DNS-over-HTTPS или DNS-over-TLS - АНБ радо Оно и будет держать под колпаком т... весь текст скрыт [показать]
     
     
  • 2.96, dimqua (ok), 15:35, 17/07/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Потихоньку растёт число DoH/DoT серверов от энтузиастов из разных стран.
     
     
  • 3.98, Ivan_83 (ok), 15:41, 17/07/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    А ты прямо вот так доверяешь всем незнакомцам на улице ключи от хаты?
     
  • 2.105, xm (ok), 17:16, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А что, вы таки уже внедрили свою альтернативу DNS, как водится, с блекджеком и шлюхами?
     
     
  • 3.106, Ivan_83 (ok), 17:58, 17/07/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    Мне не требуется скрывать факт обмена информацией с сайтами.
    А если потребуется я воспользуюсь тором или и2п, а не будут фигнёй страдать.
     
     
  • 4.108, xm (ok), 18:33, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ещё один "честный человек" которому "нечего скрывать".
     
     
  • 5.109, Ivan_83 (ok), 18:56, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Не так Все эти навороты излишни и бессмысленны У меня свой unbound но я не вкл... весь текст скрыт [показать]
     
     
  • 6.120, Cradle (?), 20:42, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    вспомните об этом пожалуйста когда станете покупать какие-нибудь радио-включаемы... весь текст скрыт [показать]
     
     
  • 7.132, нах (?), 11:35, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    я об этом каждый раз вспоминаю, когда выясняется, что еще один поставщик модулей... весь текст скрыт [показать]
     
  • 7.139, Ivan_83 (ok), 13:13, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Я такой хлам никогда не куплю, разве что на запчасти У меня даже смарт телеку и... весь текст скрыт [показать]
     
     
  • 8.143, нах (?), 17:52, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    не зарекайся, не зарекайся телек-то еще может работать без интернета А эти хом... весь текст скрыт [показать]
     
     
  • 9.147, Cradle (?), 18:59, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    это всётаки как-то больше у маркетологов и продуктманагеров мозги так заточены, ... весь текст скрыт [показать]
     
  • 4.135, товарищ майор (?), 12:42, 18/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    правильно, чтобы мы сразу увидели, что к тебе надо заглянуть на огонек Весь смы... весь текст скрыт [показать]
     
     ....нить скрыта, показать (12)

  • 1.84, Аноним (84), 14:10, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    И как они представляют себе работу виртуальных хостингов в таких условиях?
     
     
  • 2.174, Аноним (179), 00:34, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Элементарно. Вывешивается фронтинг, далее балансер как анализировал SNI, так и продолжит.
     
  • 1.85, Legushatnic (?), 14:38, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Без SNI тоже можно понять что там хостят, отсутствие SNI не панацея. ISP будет анализировать по IP.
     
     
  • 2.92, товарищ майор (?), 15:16, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    понять можно, пришить к делу нельзя.

     
  • 2.97, dimqua (ok), 15:37, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Сколько сайтов висит на одном IP от cloudflare? :-)
     
     
  • 3.110, Аноним (110), 18:59, 17/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    MITM от FSB не проблема.
     
     
  • 4.150, Аноним (-), 22:42, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > MITM от FSB не проблема.

    Истеричный государственный бомбеж Телеграма говорит как раз об обратном.
    Если бы не было проблемы, то просто прослушивали бы, и все.

     
  • 2.116, DPDKguy (?), 19:34, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    нуну ) А дальше alt-svc quic="www.example.com:443";

     
  • 1.99, Аноним (74), 15:53, 17/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Вот единственное, что реально во всём этом пугает - всё нарастающая сложность Н... весь текст скрыт [показать]
     
     
  • 2.124, Аноним (124), 22:02, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    +1. Невозможно доверять технологии слишком сложной для понимания.
     
     
  • 3.127, Аноним (74), 22:44, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    доверять причём во всех смыслах. Даже если делали без закладок, в сложной куда выше шанс непреднамеренной ошибки, просто из-за сложности
     
  • 3.159, Аноним (111), 09:01, 19/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В чём сложность? В необходимости прочитать один public key с DNS?
     
  • 2.133, нах (?), 11:40, 18/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    о чем вы, я вас умоляю Никому обратная совместимость не нужна в современном мир... весь текст скрыт [показать]
     
     
  • 3.137, Аноним (137), 13:01, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Ага, а почему тогда почему нельзя спроектировать протокол с нуля, без реликтов и... весь текст скрыт [показать]
     
     
  • 4.142, нах (?), 17:48, 18/07/2018 [^] [ответить]     [к модератору]  
  • +/
    можно, там выше в теме есть пример Просто мозила не хочет, а вам не дадут спро... весь текст скрыт [показать]
     
  • 1.101, Аноним (101), 16:41, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > необходимо знать закрытый ключ клиента или сервера

    А который из серверных ключей, если имя сервера клиент ещё не указал?

     
     
  • 2.115, Аноним (111), 19:33, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Имеется в виду пара к esni public.
     
  • 1.117, Аноним (111), 19:35, 17/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Но вот для всяких автаркий типа известных "блокировщиков" телеграма это будет реально не eSNI, а soSNI. И это радует.
     
  • 1.134, Аноним (134), 12:04, 18/07/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Для отбитых идиотов поясняю 1 Кто хотел что-то скрывать - давно скрывает и дел... весь текст скрыт [показать]
     
     
  • 2.136, нах (?), 12:47, 18/07/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    бестолку Тут и условно-вменяемые радуются, пляшут и поют - и очень навряд ... весь текст скрыт [показать]
     
     
  • 3.138, Andrey Mitrofanov (?), 13:11, 18/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    И этот оже работает И тоже на прекрасных людей Цветы цветут, какие сомнения-... весь текст скрыт [показать]
     
     
  • 4.141, нах (?), 17:45, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > И этот оже работает.  И тоже на прекрасных людей.

    этот может быть искренне верующим, такое случается. В отличие от того, который с 2k BTC - так точно не бывает.

     
  • 2.151, Аноним (111), 22:55, 18/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Пусть "блочит по IP". Подмена адресов в "заблоченных" доменах очень быстро отучит от сего действия.
     
     
  • 3.153, Аноним (111), 22:58, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну и общий эффект от таких "блокировок" будет уже приличным. Не вижу особой беды, если эти блокировки превратятся в полное дерьмо.
     
  • 3.160, Andrey Mitrofanov (?), 09:28, 19/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Не отучила Они уже составили белый список из 3-ёх IP, президент ру, 127 0 0 1 ... весь текст скрыт [показать]
     
     
  • 4.173, Аноним (179), 00:33, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Так это вообще отлично.
     
  • 3.165, Аноним (134), 10:32, 20/07/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Да ничему не научит Есть решение суда, есть запись в реестре РКН согласно это... весь текст скрыт [показать]
     
     
  • 4.171, Аноним (179), 00:30, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну и отлично. Нет, так нет, значит будете стрелять себе в ногу до упора.
     
  • 4.172, Аноним (179), 00:31, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Половые проблемы конкретной гондурасии - не повод всем остальным зацикливаться на этих самых половых проблемах. Мир двигается вперёд, не желающие - остаются.
     
  • 2.155, Аноним (152), 23:16, 18/07/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты чё в спячке был последние 4 месяца Почти 20 миллионов айпишников было в блок... весь текст скрыт [показать]
     
     
  • 3.163, нах (?), 11:39, 19/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > А ещё парадокс в том, что весь трафик провести через DPI могут себе позволить только мелкие

    дружище, ну а тебе-то зачем зарплату платят?

    Тебе надо детально разжевать, что нужен вовсе не "весь", и даже не 1/10 его часть?

    Саботажник ты хренов, надо на тебя товарищмайору накапать, глядишь, мне скидка выйдет...

     
  • 3.166, Аноним (134), 10:43, 20/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты мне-то не рассказывай - Я это своими глазами видел - А-ха Откуда вы... весь текст скрыт [показать]
     
     
  • 4.167, Аноним (134), 10:44, 20/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Забыл туда ещё добавить domain-mask 2810, которые тоже в перспективе станут ip/ipSubnet.
     
  • 4.170, Аноним (179), 00:29, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Охеренно получится. Может хоть до кого-то дойдёт, что масштабные блокировки - зло.
     
  • 4.178, Аноним (178), 18:20, 21/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Что же получится 60-100-300 тысяч айпишников добавятся в блокировку Ух, как ст... весь текст скрыт [показать]
     
  • 3.168, Аноним (134), 10:46, 20/07/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    -D Парадокс в том, что мелкие себе просто DPI позволить не могут - Крупные к... весь текст скрыт [показать]
     
     
  • 4.177, Аноним (178), 17:54, 21/07/2018 [^] [ответить]     [к модератору]  
  • +/
    Это не так DPI приходится покупать всем И как говорится в видео выше, мелкие п... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor