The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Cloudflare представил инструменты для выявления перехвата HTTPS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Cloudflare представил инструменты для выявления перехвата HTTPS"  +/
Сообщение от opennews (??), 19-Мрт-19, 11:35 
Компания Cloudflare представила (https://blog.cloudflare.com/monsters-in-the-middleboxes/) библиотеку mitmengine (https://github.com/cloudflare/mitmengine), применяемую для выявления фактов перехвата HTTPS-трафика, а также web-сервис Malcolm (https://malcolm.cloudflare.com/) для наглядного анализа накопленных в Cloudflare данных. Код  написан на языке Go и распространяется (https://github.com/cloudflare/mitmengine) под лицензией BSD. Проведённый при помощи предложенного инструментария мониторинг трафика Cloudflare показал, что около 18%  HTTPS-соединений перехватываются.


В большинстве случаев перехват HTTPS-трафика осуществляется на стороне клиента, благодаря активности различных локальных антивирусных приложений, межсетевых экранов, систем родительского контроля, вредоносного ПО (для кражи паролей, подстановки рекламы или запуска кода майнинга) или корпоративных систем инспектирования трафика. Подобные системы добавляют свой корневой TLS-сертификат в список доверительных сертификатов на локальной системе и используют его для перехвата защищённого трафика пользователя. Запросы клиента транслируются на целевой сервер от лица перехватывающего ПО, после чего отдают ответ клиенту в рамках отдельного HTTPS-соединения, установленного с использованием TLS-сертификата перехватывающей системы.


В отдельных случаях перехват организуется на стороне серверов, когда владелец сервера передаёт закрытый ключ третьему лицу, например, оператору обратного прокси, CDN или системы защиты от DDoS, который затем принимает запросы от себя с оригинальным TLS-сертификатом и транслирует их на оригинальный сервер. В любых случаях перехват HTTPS подрывает цепочку доверия и вносит дополнительное звено компрометации, что приводит к существенному уменьшению уровня защиты соединения, оставляя при этом видимость наличия защиты и не вызывая подозрений у пользователей.

Для выявления перехвата HTTPS предложен пакет mitmengine, который устанавливается на сервере и позволяет выявить факты перехвата HTTPS и определить какие именно системы использовались для перехвата.
Суть метода в сопоставлении специфичных для браузеров особенностей обработки TLS с фактическим состоянием соединения. На основании заголовка User Agent движок определялся браузер, а затем оценивает соответствуют ли этому браузеру такие характеристики TLS-соединения, как параметры по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров, группы и форматы эллиптических кривых.


Используемая при проверке база сигнатур (https://github.com/cloudflare/mitmengine/tree/master/referen...) насчитывает около 500 типовых идентификаторов TLS-стека браузеров и систем перехвата. Данные могут собираться в пассивном режиме через анализ содержимого полей в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи.  Для захвата трафика применяется  TShark  из состава сетевого анализатора Wireshark 3 (https://www.opennet.ru/opennews/art.shtml?num=50228).


Проектом mitmengine также предоставляется библиотеки, которая может применяться для интеграции кода для определения перехвата  в произвольные серверные обработчики. В простейшем случае достаточно передать значения User Agent и TLS ClientHello текущего запроса и библиотека выдаст вероятность перехвата и факторы, по которым можно судить о перехвате.

На основании статистики о трафике, проходящем через сеть доставки контента Cloudflare, которая обрабатывает примерно 10% всего интернет-трафика, запущен (https://malcolm.cloudflare.com/) web-сервис, отображающий изменение динамики перехватов по дням. Например, месяц назад перехваты фиксировались для 13.27% соединений, 19 марта этот показатель составил 17.53%, а 13 марта достиг пика в 19.02%.


В проведённом (https://www.opennet.ru/opennews/art.shtml?num=45996) в 2017 году аналогичном исследовании доля перехватов составляла 10.9%. Расхождение вызвано тем, что в новом анализе игнорировались запросы с неизвестным User Agent, в то время как в прошлом исследовании учитывались все запросы. Если включить в новую выборку данные о неизвестных User Agent доля перехвата снижается до  11.3%, т.е. за два года число перехватов выросло на 3.6% (0.4 в абсолютных значениях).


Наиболее популярным движком перехвата является система фильтрации Symantec Bluecoat, на которую приходится 94.53% всех опознанных перехваченных запросов. Далее следуют Akamai reverse proxy (4.57%), Forcepoint (0.54%) и Barracuda (0.32%). В 52.35% случаях был перехвачен трафик настольных версий браузеров, а в 45.44% браузеров для мобильных устройств. В разрезе операционных систем статистика выглядит следующим образом: Android (35.22%), Windows 10 (22.23%),
Windows 7 (13.13%), iOS (11.88%), другие ОС (17.54%).

URL: https://blog.cloudflare.com/monsters-in-the-middleboxes/
Новость: https://www.opennet.ru/opennews/art.shtml?num=50351

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Cloudflare представил инструменты для выявления перехвата HT..."  –2 +/
Сообщение от Аноним (1), 19-Мрт-19, 11:35 
> На основании заголовка User Agent движок определялся браузер, а затем оценивает соответствуют ли этому браузеру такие характеристики TLS-соединения, как параметры по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров, группы и форматы эллиптических кривых.

Это тогда кастомный юзерагент сможет сломать HTTPS?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним (3), 19-Мрт-19, 11:45 
Перечитай статью
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Cloudflare представил инструменты для выявления перехвата HT..."  +8 +/
Сообщение от Аноним (3), 19-Мрт-19, 11:44 
А разве сам cf не является таким "прерывателем" https?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Cloudflare представил инструменты для выявления перехвата HT..."  –4 +/
Сообщение от Аноним (4), 19-Мрт-19, 11:51 
Он же в шифрованный трафик не вмешивается и не пытается перешифровать, поэтому шифрвоание остаётся в зоне ответственности владельца сервера.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от Аноним (6), 19-Мрт-19, 11:58 
Услугу терминирования SSL они тоже предлагают
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от анон (?), 19-Мрт-19, 13:22 
серьезно? не вмешивается? как же он тогда бедненький фильтрацию трафика производит для защиты бекенда?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

20. "Cloudflare представил инструменты для выявления перехвата HT..."  –2 +/
Сообщение от KonstantinB (ok), 19-Мрт-19, 14:55 
Вообще защищаться от DDOS можно и на L3/L4.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от CF (?), 19-Мрт-19, 16:49 
куда я тебе там капчу высуну - в свитч?

P.S. и вообще, как будто мы защитой занимаемся, а не шпионажем

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от KonstantinB (ok), 19-Мрт-19, 16:52 
Капча - это либо когда больше ничего не помогает, либо когда алгоритмы защиты дерьмо.

В случае с CF скорее второе.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

38. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от Аноним (38), 19-Мрт-19, 19:41 
Подскажи, раз в вопросе разбираешься, у кого алгоритмы хорошие. Лучше всего, конечно, если ещё и опенсорсные.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

61. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от KonstantinB (ok), 21-Мрт-19, 00:59 
Опенсорсных нет (кто ж такое заопенсорсит?). И, конечно, надо понимать, что при серьезном ддосе нужен еще и человек, который будет оперативно крутить ручки, подстраиваясь под изменения характера атаки и минимизируя ложные срабатывания.

Из того, с чем сталкивался, RedWolf хороши, наш Qrator тоже норм.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

5. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от Аноним (5), 19-Мрт-19, 11:53 
Разумеется, является.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Cloudflare представил инструменты для выявления перехвата HT..."  –2 +/
Сообщение от CF (?), 19-Мрт-19, 12:37 
чего это является - вот же ж, инструмент - показывает, что траффик не перехватывается, все ок ;-)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

21. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от имя (?), 19-Мрт-19, 15:13 
У нас тот кто что охраняет то у него и есть (примерно так)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Cloudflare представил инструменты для выявления перехвата HT..."  +3 +/
Сообщение от Аноним (7), 19-Мрт-19, 12:09 
Это называется "пыль в глаза". Cf есть посредник и не надо вмешиваться в шифрование чтобы перехватить данные. Перехвата уже достаточно, а расшифровать его не проблема.
Судя из статьи косвенно можно сделать вывод что саму Cf уже не устраивает нынешнее положение когда пользователи маскируют свой браузер и себя под другое значение UA и вообще отпечаток. Поэтому вводит на серверах этот инструмент под видом защиты от перехвата.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от J.L. (?), 19-Мрт-19, 12:51 
> Cf есть посредник и не надо вмешиваться в шифрование чтобы перехватить данные. Перехвата уже достаточно, а расшифровать его не проблема.

пруфлинки про непроблемное расшифрование будут?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Cloudflare представил инструменты для выявления перехвата HT..."  +5 +/
Сообщение от анон (?), 19-Мрт-19, 13:25 
Cloudflare на сегодня это гигантський анальный зонд который люди себе добровольно вставляют и потом радостно причмокивают от удовольствия)))
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Cloudflare представил инструменты для выявления перехвата HT..."  +5 +/
Сообщение от dimqua (ok), 19-Мрт-19, 16:47 
Себе пусть вставляют, но обычно вставляют другим - своим пользователям.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Cloudflare представил инструменты для выявления перехвата HT..."  –1 +/
Сообщение от анон (?), 19-Мрт-19, 17:10 
люди делают это добровольно. похоже им нравится.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

15. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от Нанобот (ok), 19-Мрт-19, 14:10 
>под видом защиты от перехвата

никто ничего не говорил про защиту от перехвата, только обнаружение

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cloudflare представил инструменты для выявления перехвата HT..."  +3 +/
Сообщение от Анонимemail (9), 19-Мрт-19, 12:38 
Вообще-то это право клиента и сервера (владельца соответствующей системы) - организовать обработку своего конца соединения, как он считает нужным. Если владелец сервера хочет отделить обработку SSL от раздачи страниц или владелец клиента - обработку SSL от браузера, то у них могут быть причины для этого. Заведомо вредоносно лишь вмешательство в связь между ними. И от отделить одно от другого все эти "борцуны за безопасность" не хотят, как обычно. Палки в колёса вместо улучшения технологий. Зато "мы боремся".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от KonstantinB (ok), 19-Мрт-19, 14:51 
А где кто-то кому-то отказывает в правах? Они предоставляют инструмент. А вредоносно это или так и задумано - пользователю инструмента виднее.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от анон (?), 19-Мрт-19, 13:15 
нуда, никто не может перехватывать HTTPS кроме Cloudflare, монополия чо!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от анон (?), 19-Мрт-19, 13:32 
> для выявления перехвата

А, то есть, это когда поздно пить боржоми?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Онанёр (?), 19-Мрт-19, 17:43 
Это то-есть когда у тебя "мигает красная кнопка" которая говорит тебе что твоя боржоми то отравлена, и пить ее (по крайней в данный момент) не стоит.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от Vitaliy Blatsemail (?), 19-Мрт-19, 14:21 
Ну в отличие от Google, навязчиво (т.е. безальтернативно) впаривающего свои сервисы и внедряющего перекрестные зависимости между ними, сабжевый Cloudflare делает действительно полезные штуки, при этом никому их не навязывая.

Хочешь чтобы твой сайтик открывался быстрее? Пропиши наши NS'ы.

Хочешь чтобы хацкеры напару с DMCA не просекли твой реальный ойпишнек - поставь галочку, но и без галочки все будет работать.

Хочешь чтобы у тебя на сайтике был SSL везде и браузер не ругался на Not secure site из-за того что ты вызываешь свой logo.png через http а не https - поставь галочку, но и без галочки все будет работать.

Хочешь чтобы когда твой сервер в оффлайне, посетитель видел заглушку - поставь галочку, но мы тебя к этому не принуждаем, ты ничем не обязан ставить галочку, все только по твоему желанию.

Я конечно пользовался их услугами не так долго, чтобы утверждать 100%, но за это небольшое время, компания сложила о себе впечатление сервиса, который пытается работать так, как нужно людям, а не заставляет людей работать так как нужно сервису.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Cloudflare представил инструменты для выявления перехвата HT..."  +3 +/
Сообщение от Аноним (18), 19-Мрт-19, 14:43 
Зонд блестящий, со стразиками и почти не давит.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Vitaliy Blatsemail (?), 19-Мрт-19, 17:06 
> Зонд блестящий, со стразиками и почти не давит.

Покамест твое стеклянное окно - больший зонд, чем CF, ведь в него видно чем ты занимаешься. Но тебя почему-то этот вопрос не волнует так сильно как теоретический CF.

Ты давай лучше пруфцы зондирования: КАКУЮ информацию о тебе собирает CF, КАК он ее использует, и КАКОЙ это наносит тебе вред. Без пруфцов, ты просто мир-дверь-мяч :)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

35. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним84701 (ok), 19-Мрт-19, 18:20 
> Покамест твое стеклянное окно - больший зонд, чем CF, ведь в него видно чем ты занимаешься. Но тебя почему-то этот вопрос не волнует так сильно как теоретический CF.

Количество наблюдателей  в окно довольно ограничено, как и их анонимность (или же стоимость незаметного наблюдения довольно высока). Легко фиксится шторой, мутным стеклом или вызовом правоохранительных органов.
Т.е. аналогия, как и большая часть аналогий, совершенно "ниочем".

> Ты давай лучше пруфцы зондирования: КАКУЮ информацию о тебе собирает CF, КАК он ее использует, и КАКОЙ это наносит тебе вред. Без пруфцов, ты просто мир-дверь-мяч :)

Т.е. данные для услуг
https://www.cloudflare.com/analytics/
https://www.cloudflare.com/insights/
>Cloudflare provides insight to your website traffic that you can’t get from other analytics programs
> In addition to visitor analytics

и
> Augment With Third Party Analytics
> Cloudflare has partnered with the most popular analytics programs.
> You can get other analytics services through our apps marketplace with one click.

они собирают с помощью либастрала?
Фух, аж полегчало …

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

42. "Cloudflare представил инструменты для выявления перехвата HT..."  –1 +/
Сообщение от Аноним (42), 19-Мрт-19, 20:55 
А на "КАК он ее использует", и "КАКОЙ это наносит тебе вред" ты принципиально отвечать не хочешь?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

52. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от Аноним84701 (ok), 19-Мрт-19, 21:49 
> А на "КАК он ее использует"

Раз уж с чтением у анонима туговато, разъясню:
Из их же заявлений известно об анализе собираемой информации, как и о предоставлении услуг и сотрудничестве со сторонними анализаторами.
Поэтому возмущение анонима не понятно и не верно -- вопрос должен звучать "КАК ЕЩЕ он ее использует".
Например:
> End Users Individuals who visit our Customers’ websites and whose information we process

[...]
> We collect End Users’ information when they use our Customers’ websites, web applications, and APIs. This information may include but is not limited to IP addresses, system configuration information, and other information about traffic to and from Customers’ websites (collectively, “Log Data”).

[...]
> As a general matter, for all categories of data we collect

[...]

> we may use the information we collect (including personal information, to the extent applicable) to:
> provide, operate, maintain, improve, and promote the Website and Services;
> process and complete transactions, and send you related information, including purchase confirmations and invoices;
>  send commercial communications, in accordance with your communication preferences, such as providing you with information about products and services, features, surveys, newsletters, offers, promotions, contests, and events about us and our partners; and send other news or information about us and our partners. See Section 8 below for information on managing your communication preferences.
> monitor and analyze trends, usage, and activities in connection with the Websites and Services and for marketing or advertising purposes;
> Information from Third Party Services.
> We may combine information we collect as described above with personal information we obtain from third parties.

А так да, ничего больше не делают …

> и "КАКОЙ это наносит тебе вред" ты принципиально отвечать не хочешь?

Это зависит от количества данных и кому они продаются. Буду рад,  если аноним подскажет или покажет, где именно можно посмотреть детали, причем желательно юр. обязательные для CF. Есть ли какая-то однозначная и юр. обязывающая privacy/data policy относительно собранных данных, более действенная, чем https://www.cloudflare.com/privacypolicy/, в которой ну совсем никак не находится опровержение возможности делать с данными не очень хорошие (для посетителя) вещи?

Или, на худой конец, аноним обоснует, почему это нужно верить в добросовестность CF/на слово их маркетологам?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

29. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от анон (?), 19-Мрт-19, 17:13 
екзактли!! и таааакой кросивенький. Пожалуй, возьму два!!

(так думает почти 98% юзверей)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Cloudflare представил инструменты для выявления перехвата HT..."  +5 +/
Сообщение от Аноним84701 (ok), 19-Мрт-19, 15:37 
> впечатление сервиса, который пытается работать так, как нужно людям, а не заставляет людей работать так как нужно сервису.

Использование гугловской рекапчи с их "5 минут мы тебе будем подсовывать картинки, а потом все равно скажем "сорри ты не прошел", потому что на самом деле скор определяется юзерагентом, наличием/отсутствием гуглокаунта, айпишником и фазой луны при прохождении созвездия Козерога" – это все что нужно знать о их "работать так, как нужно нужным людям".

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Vitaliy Blatsemail (?), 19-Мрт-19, 17:03 
Ты о чем?

Работа CF прозрачна. Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от анон (?), 19-Мрт-19, 17:16 
святая простота.

господи, сколько же тут наивных хомячков которые понятия не имеют что такое Cloudflare и как он работает.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

43. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним (42), 19-Мрт-19, 20:57 
Окей, он "наивный хомячок", а ты кто?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним84701 (ok), 19-Мрт-19, 17:55 
> Ты о чем?

Я о пользователях сайта (т.е. для тех, для кого сайты, по идее, делается).

> Работа CF прозрачна. Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы

Пока у тебя есть зон^W гуглоакаунт -- возможно.
Из под тора, "плохого" прокси или если CF из-за фазы луны забанил вашу подсеть - увы "one more step, please complete the security check".
Достаточно  попытаться зайти из под тор на сайт CF. Или getbootstrap.com.  Или на целую кучу других сайтов (гуглим "cloudflare sites").

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

39. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним (38), 19-Мрт-19, 19:48 
То есть идея того, что владельцы тех сайтов не хотят, чтобы ты к ним ходил через TOR тебе в голову не приходила? Голосуй ногами — не ходи. Ходи на другие сайты, благо их в Интернете как полно.

В который раз поражаюсь комментаторам на OpenNET — всякий раз так и норовят как в том анекдоте, залезть на шкаф с биноклем и оттуда жаловаться, что голых баб в бане напротив видно.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

41. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним84701 (ok), 19-Мрт-19, 20:07 
>>>> Использование гугловской рекапчи  [...] – это все что нужно знать о их "работать так, как нужно нужным людям".
>>> Ты о чем? Работа CF прозрачна.
>> Пока у тебя есть зон^W гуглоакаунт -- возможно.
>> Из под тора, "плохого" прокси или если CF из-за фазы луны забанил вашу подсеть
> То есть идея того, что владельцы тех сайтов не хотят, чтобы ты к ним ходил через TOR тебе в голову не приходила? Голосуй ногами — не ходи. Ходи на другие сайты, благо их в Интернете как полно.

То есть идея того, что можно не просто выкатить голословное утверждение, но и при встречном вопросе предоставить пояснение деталей и "как это по быстрому повторить-проверить"  (см. "Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы") тебе в голову не приходила?

В который раз поражаюсь комментаторам на OpenNET — всякий раз так и  норовят не дочитать до конца предложение (не говоря уже о теме ветки -- тут Акелла совсем уж промахнулся) и поспешить высказать свое ценное мнение …

Объясняю на пальцах -- из-за использования гуглокапчи я категорично не согласен с утверждением, что  сервис Облако-Впышки "пытается работать так, как это нужно людям" (специально для неномерных анонимов: если под людьми подразумевались конечные пользователи сайта, а не маркетологи, гугловцы и прочие).
Заодно  открою страшно секретную тайну -- голосование ногами будет эффективнее , если не голосовать ногами молча, строя из себя обиженного аутсайдера.
Конкретно: +100%  эффективности за _каждого_ новоприобретенного единомышленника :)

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

44. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним (38), 19-Мрт-19, 20:59 
Я не он, и споришь ты не с тем аноном.

На всякий случай повторю свой тезис: владельцы сайта хотят ограничить доступ к их сайту определённому кругу лиц. Если тебе не нравится разгадывать капчи — не разгадывай. Иди на другой сайт. В Интернете очень много разных, большинство не пользуется услугами CF. И уж раз речь зашла о том, как нужно людям, хорошо бы уточнить: каким именно. Сдаётся мне, что CF в первую очередь обеспокоен нуждами их клиентов, то есть владельцев сайтов, а не конечных пользователей.

Я понимаю, что тебе лично припекает от того, что CF считает твои IP неправославными, но это твоя проблема, и решать её тоже придётся тебе. Можешь отомстить всему миру и забанить у себя все префиксы AS13335.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

48. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним84701 (ok), 19-Мрт-19, 21:23 
> Сообщение от Аноним (38)
> Я не он, и споришь ты не с тем аноном.

Ну-ну. "Я не тот аноним, я другой аноним!"
> На всякий случай повторю свой тезис: владельцы сайта хотят ограничить доступ к
> их сайту определённому кругу лиц. Если тебе не нравится разгадывать капчи
> — не разгадывай. Иди на другой сайт. В Интернете очень много разных,

На всякий случай перечитай еще раз о чем шла речь.
Я не знаю, с чего ты решил что я разгадываю капчи клаудвари и не хожу на другие сайты.
Если бы я тебе написал, что у  воон у того торговца часто попадаются тухлые яйца, ты бы точно так же заявил, что я покупаю исключительно тухлые яйца исключительно у него и не хожу к другим продавцам?


> Я понимаю, что тебе лично припекает от того, что CF считает твои
> IP неправославными, но это твоя проблема, и решать её тоже придётся  тебе.

Открою еще одну страшно секретную тайну:
Вообще-то, "решение проблемы" путем ее обнародования и привлечения к ней общественного внимания как минимум так же (а скорее, все же более) эффектино, как и просто молча утереться и терпеть "как настоящий мужик" …

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

45. "Cloudflare представил инструменты для выявления перехвата HT..."  –1 +/
Сообщение от Аноним (42), 19-Мрт-19, 21:00 
> Объясняю на пальцах -- из-за использования гуглокапчи я категорично не согласен с утверждением, что  сервис Облако-Впышки "пытается работать так, как это нужно людям" (специально для неномерных анонимов: если под людьми подразумевались конечные пользователи сайта, а не маркетологи, гугловцы и прочие).

А он подразумевал владельцев сайта. Если владелец сайта поставил такие настройки, то почему он не прав?

> норовят не дочитать до конца предложение

Начните с себя, и научитесь понимать прочитанное.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним84701 (ok), 19-Мрт-19, 21:13 
>>>>> Ты о чем?
>>> >Я о пользователях сайта (т.е. для тех, для кого сайты, по идее, делается).
>>> Идея того, что владельцы тех сайтов ... Голосуй ногами ... <дополнительные ЦУ>
>> если под людьми подразумевались конечные пользователи сайта
> А он подразумевал владельцев сайта. Если владелец сайта поставил такие настройки, то  почему он не прав?

.
> почему он не прав?

Потому что аноним так и не сумел прочитать целиком и до конца?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

59. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от нах (?), 20-Мрт-19, 17:06 
например, потому, что владелец сайта - на свой сайт вообще никогда не ходит, и интернетом толком не пользуется. А индус, которому он повелел немедля запилить, и чтоб красиво - сделал как умеет.

Нет, если суметь нажаловаться так, чтоб жалоба не осела у того же самого индуса - копчоный и все его стосороквосемь коллег подут с взрыхленными жопами обратно в свою деревню под Бангалором, и, возможно, даже следующий переделает сайт так, чтоб работало без гуглокапчи.

Проблема что большинство юзеров жаловаться не умеют даже если есть вообще, куда.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

17. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от YetAnotherOnanym (ok), 19-Мрт-19, 14:35 
> антивирусных приложений, межсетевых экранов, систем родительского контроля, вредоносного ПО

Для CF нет разницы между малварью и антималварью => CF находится за гранью разницы добра и зла.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним (32), 19-Мрт-19, 17:33 
Здесь просто перечисление. Почему должна быть описана разница? И так всё понятно. Сабж о перехвате шифрования, не важно кем и с какой целью. Вот ты человек, я человек, Гитлер человек, что в этом предложении не так? Надо Гитлера по-особому выделять сносками? Надо его не считать человеком? Но он человек, как и антималварь является перехватчиком шифрования. Человеком быть не плохо, а вот если от словосочетания "перехват https-трафика" у тебя возникают негативные ассоциации, то может стоит задуматься, почему? Может это ощущение не ложно?
А по теме, порой между антималварью и малварью разница для юзера не так велика. Защищающие продукты добавляют уязвимости и векторы атак. См. ссылку из статьи. https://www.opennet.ru/opennews/art.shtml?num=45996
> Из рассмотренных 12 шлюзов инспектирования только 5 предлагали актуальный набор шифров, 2 вообще не осуществляли верификацию сертификатов (Microsoft Threat Mgmt и WebTitan Gateway).
> 24 из 26 протестированных систем перехвата, работающих на компьютере клиента (как правило антивирусы), снижали общий уровень безопасности HTTPS-соединения. Актуальные наборы шифров предоставлялись в 11 из 26 продуктов. 5 систем не осуществляли верификацию сертификатов (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продукты Kaspersky Internet Security и Total Security подвержены атаке CRIME. Продукты AVG, Bitdefender и Bullguard подвержены атакам Logjam и POODLE. Продукт Dr.Web Antivirus 11 позволяет откатиться на ненадёжные экспортные шифры (атака FREAK).

И это. https://habr.com/ru/post/401059/
> Более вероятно, что они значительно ухудшат безопасность.
> В самых известных коммерческих антивирусах — десятки уязвимостей. Речь идёт о тех багах, которые обычно обнаружены сторонними исследователями или уже активно эксплуатируются вредоносным ПО. Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи. К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ. А таких багов много, ведь антивирус — очень соблазнительная мишень для хакеров. Антивирус сидит в ОС на нижнем уровне, и взломав его можно получить полный доступ к файловой системе, вплоть до загрузчика ОС.
> Наличие серьёзных багов в антивирусах даёт понять две вещи:
> Антивирусы открывают злоумышленникам разнообразные векторы для атаки.
> Антивирусы пишут не соблюдая стандартные правила безопасности.
> Шух пояснил, что антивирусы «отравляют программную экосистему», потому что их инвазивный и плохо написанный код осложняет браузерам и другим программам возможность обеспечить собственную безопасность. О'Каллахан напоминает, что когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR.
> Антивирус — очевидная брешь в безопасности компьютера не только из-за новых опасных уязвимостей, которая она добавляет в систему. Это уязвимость изначально по своей природе, ведь многие антивирусы устанавливают собственные корневые сертификаты по умолчанию без предупреждений, внедряясь в HTTPS-трафик по принципу MitM. Большинство антивирусов — это в любом случае деградация защиты HTTPS, о чём неоднократно предупреждали специалисты по ИБ.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Суровый краб (?), 19-Мрт-19, 17:27 
Не ожидал такого хэйта в сторону Cloudflare.
Может кто рассказать про “шпионаж” и всё такое, м?
К Google вопросов нет, с ним понятно, но Cloudflare ? ? ?

Сам юзаю dns от Cloudflare и всё устраивает, а dns Google держу про запас.
Не припомню негативных историй про Cloudflare, да и немцам доверия чутка больше.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от Аноним84701 (ok), 19-Мрт-19, 18:50 
> Может кто рассказать про “шпионаж” и всё такое, м?

Не шпионаж конечно, но там есть услуги "analytics/insigths"
> Augment With Third Party Analytics
> Cloudflare has partnered with the most popular analytics programs. You can get other analytics services through our apps marketplace with one click.

Логика подсказывает, что для анализа данных пользователей нужно эти данные таки собирать.

>  да и немцам доверия чутка больше.

Я что-то пропустил?
> Headquarters location: San Francisco, California, United States
> Founded: July 2009, San Francisco, California, United States
>

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

40. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от dimqua (ok), 19-Мрт-19, 19:59 
"Cloudflare is a mass-decryption chokepoint, which intercepts and decrypts the Web requests made by billions of people to millions of websites."
Неужели не очевидно, чем это грозит?

Цитата отсюда, кстати: https://github.com/nym-zone/block_cloudflare_mitm_fx (дополнение для FF, позволяющее заблокировать клаудфлару нафиг).

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

46. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним (42), 19-Мрт-19, 21:06 
> "Cloudflare is a mass-decryption chokepoint, which intercepts and decrypts the Web requests made by billions of people to millions of websites."
> Неужели не очевидно, чем это грозит?

А чем это грозит? Как же мы бедные до этого по http ходили то, ужос. Достаточно понимать что безопасность в виде https + захардкоженый в браузерах список CA дяди Васи давно дискредитировала себя что бы не питать иллюзий по поводу безопасности https.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

53. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от dimqua (ok), 19-Мрт-19, 22:01 
Какой бы не была безопасность у https, это все равно лучше, чем у голого http. И если я использую https, я хочу быть уверен, что это не квази-https от Cloudflare. Особенно, при использовании Tor Browser, который, благодаря Cloudflare, на многих сайтах использовать вообще проблематично из-за капчи.

Да и не только в этом дело. Cloudflare способствует еще большей централизации веба, тогда как сама получает власть над пользователями, имея доступ к их трафику (в т.ч. и приватным данным). Google делает тоже самое.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

56. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от zzz (??), 19-Мрт-19, 23:17 
Анон совсем не видит разницы между "сотни миллионов сайтов на разных серверах" и "10% трафика проходит через сервера CF"?

10% мирового трафика - это не только статистика, но и сниф трафика и возможность внедрения своего кода.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

58. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от Нанобот (ok), 20-Мрт-19, 10:35 
>Неужели не очевидно, чем это грозит?

это грозит тем, что мамкины хакеры не смогут ДОСить всякие мелкие сайты, что негативно скажется на ЧСВ мамкиных хакеров и приведёт к увеличению количества соплей в интернетиках

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

54. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от Аноним (54), 19-Мрт-19, 22:08 
Cloudflare has agreed to provide APNIC with access to some of the data that Cloudflare collects through the Cloudflare Resolver. Specifically, APNIC will be permitted to access query names, query types, resolver location and other metadata via a Cloudflare API, that will allow APNIC to study topics like the volume of DDoS attacks launched on the Internet and adoption of IPv6.

In return for access to the Cloudflare Resolver data, APNIC has agreed to use such data solely for non-profit operational research. APNIC has also agreed not to use the data in any manner that would allow it to associate any individual with a DNS query, or publish any studies containing any references to particular query names or individual behavior. As part of Cloudflare’s commitment to privacy, Cloudflare will not provide APNIC with any access to the IP address or port associated with a client.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

57. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним (57), 20-Мрт-19, 10:21 
> Не ожидал такого хэйта в сторону Cloudflare.

Не нарывался на ответ "пошёл нафиг, от тебя DOS-атака"?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от Аноним (37), 19-Мрт-19, 19:05 
> В разрезе операционных систем статистика выглядит следующим образом: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), другие ОС (17.54%).

Очень интересные цифры, отражающие распределение ОС, и подтверждаемые иными независимыми источниками. Похоже, это именно то распределение, которое на самом деле имеет место, а не заказуха от ИТ монстров.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Cloudflare представил инструменты для выявления перехвата HT..."  +2 +/
Сообщение от omnomnim (?), 19-Мрт-19, 22:37 
> Очень интересные цифры, отражающие распределение ОС, и подтверждаемые иными независимыми источниками.

и что в этом интересного?
если вы думаете, что другие ОС (17.54%) это линуха и *БСД, то для начала отщипните где-то 13-15% на макось.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

62. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от Аноним (62), 21-Мрт-19, 08:28 
Совсем нет. Мне представляется интерес, во-первых, в весьма малой доле Windows. Причем в заметке - это не единственный источник парадоксальной статистики, который подтверждается и другими независимыми источниками. И это - второй интерес. О важности представленной сенсационной информации каждый, думаю, сделает выводы сам в зависимости от своего бизнеса (разработка, поставка, обучение, поддержка). Ну и третий интерес - сомнение в данных официальных коммерческих (!) источников статистики типа статкаунтера.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

64. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от пох (?), 21-Мрт-19, 14:30 
> Мне представляется интерес, во-первых, в весьма малой доле Windows.

то есть для вас открытие, что мобильных телефонов в разы больше чем "десктопов", причем многие десктопы используются в офисах где либо не одобряется шастание по интернету с казенной системы, либо оно вообще жестко ограничено или отсутствует вовсе?

ну и отдельно - контент, который прячут за cloudflare - в массе своей, надо понимать, не имеет отношения к работе.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

60. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от Айран (?), 20-Мрт-19, 17:19 
перехват шифрованного трафика неприемлем, если этим грешат плохие дяди. Если же ради благих целей  - то хорошим дядям можно доверить полный доступ, ведь чтобы бороться со злом нам нужно больше инструментво
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Cloudflare представил инструменты для выявления перехвата HT..."  +1 +/
Сообщение от Аноним (62), 21-Мрт-19, 08:34 
> если этим грешат плохие дяди

Как показывает опыт, среди сотен хороших дядей найдется один нехороший, который продаст коллег, а потом окажется на ПМЖ в одной из держав. Поэтому система должна быть построена так, чтобы не зависеть от совести отдельного человека. Нравственные категории - сомнительная основа бизнеса.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "Cloudflare представил инструменты для выявления перехвата HT..."  +/
Сообщение от username (??), 22-Мрт-19, 21:12 
Лютый хейт CF.
Несмотря на то что он вполне умеет в оупенсорс.
А чего вы хотите? Чтобы мелкие конторы верулись к необслуживаемым балансировщикам?
Чтобы опять мамкины ддосеры начали массовый шантаж?
Меньшее зло в данном случае. Было бы хорошо жить в идеальном мире.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру