The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI

16.07.2018 22:05

Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В настоящее время расширение SNI, необходимое для организации работы на одном IP-адресе нескольких HTTPS-сайтов со своими сертификатами, подразумевает передачу имени хоста на стадии согласования соединения в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи.

С одной стороны подобная особенность упрощает организацию обработки запросов на http-серверах и позволяет использовать прокси и CDN-сети для проброса шифрованного трафика, но с другой стороны раскрывает информацию о запрошенных ресурсах для транзитных наблюдателей, например, позволяет провайдеру судить о запрашиваемых пользователем сайтах и выборочно фильтровать трафик. До недавнего времени CDN-сети Amazon и Google предоставляли возможность скрытия имени хоста при помощи техники "domain fronting", позволявшей обращаться по HTTPS с указанием в SNI фиктивного хоста и фактической передачей имени запрашиваемого хоста в HTTP-заголовке Host внутри TLS-сеанса (данная возможность позволяла использовать CDN для обхода блокировок и весной была отключена).

Поддержка начальной черновой спецификации ESNI уже реализована в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (используется в http-сервере h2o). При использовании ESNI имя хоста (поле server_name) также передаётся в ClientHello, но в зашифрованном виде. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. Для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  3. OpenNews: TLS 1.3 получил статус предложенного стандарта
  4. OpenNews: Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor
  5. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: sni, https, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (165) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, пох (?), 22:14, 16/07/2018 [ответить] [показать ветку] [····]    [к модератору]
  • –36 +/
    "мурзила, огрызок и прочие гиганты индус-трии ниасилили замахнуться переделать уродливый нашлепок на http, так чтобы избавиться от самой дурацкой идеи передавать то, что и так передается внутри протокола, и разработали новое суперусложненное ненужно во славу NSA и прочих любителей поискать в таких поделках новых дыр".

    Главное ведь, ненароком ничего не чинить.

     
     
  • 2.4, AnonPlus (?), 22:23, 16/07/2018 [^] [ответить]    [к модератору]
  • +31 +/
    Жаров, перелогиньтесь. Мы-то знаем, что шифрование SNI  - как серпом по яйцам для всех, кто хочет вставлять клиентам анальные зонды в виде DPI.
     
     
  • 3.6, пох (?), 22:33, 16/07/2018 [^] [ответить]    [к модератору]
  • +5 +/
    серпом по яйцам им было бы выкидывание этого урода в помойку.
    заодно с "trusted authorities", и вообще всем уродливым мастодонтом ssl/tls.

    и не говорите мне, что это невозможно сделать - ssh вместе с протоколом и его рабочей и практически безупречной на тот момент (две серьезных проблемы за десять лет!) реализацией _с_нуля_, без всяких готовых библиотек с багами и глюками тянущимися по двадцать лет, не страдающей ни одной из этих болезней, был написан одним-единственным человеком за пол-года.

     
     
  • 4.8, Аноним (8), 23:03, 16/07/2018 [^] [ответить]    [к модератору]
  • +/
    Согласен полностью.

    Коллега, а что нам собственно стоит взять какой-нибудь хромиум и реализовать в нем HTTP/1.1 через SSH?

     
     
  • 5.23, Sw00p aka Jerom (?), 23:30, 16/07/2018 [^] [ответить]    [к модератору]
  • +2 +/
    МОдер, удали эту ересь выше)))
     
     
  • 6.86, Аноним (-), 14:38, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    почему ересь? Туннели через обратный ssh известны со времен царя гороха. Другое дело, что область применения этого дела весьма и весьма ограничена
     
  • 4.26, Crazy Alex (ok), 00:14, 17/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Конечно невозможно. Пофигу, как легко написать - важно, как легко внедрить. А на вебовских масштабах даже очень большая куча костылей дешевле и проще во внедрении, чем "до основанья, а затем".
     
     
  • 5.28, Аноним (28), 00:20, 17/07/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > Конечно невозможно. Пофигу, как легко написать - важно, как легко внедрить. А
    > на вебовских масштабах даже очень большая куча костылей дешевле и проще
    > во внедрении, чем "до основанья, а затем".

    Последние лет 10 так в "вебе" и делают. Поэтому и имеем гигантскую пирамиду из костылей, подпорок и прочего с тормозами и жором ресурсов. Но т.к. жор на клиентских машинках, то всем вышеупомянутым - на*рать. Заодно и "левых" браузерных движков можно больше не опасаться - разработку такого монстра, под современный веб, только корпорация и потянет.


     
     
  • 6.32, Crazy Alex (ok), 01:17, 17/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Естественно так и делают. Потому что по-другому не взлетит вообще
     
  • 5.30, Аноним (8), 00:33, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Внедрить легко, если не вместо, а рядом. HTTPS много лет был не вместо HTTP и только последние лет пять эта ситуация изменилась.
     
     
  • 6.33, Crazy Alex (ok), 01:23, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Вот потому и пролез  в конце концов, что много лет рядом был и наросла критическая масса контор, которые его используют, людей, хоть как-то умеющих его готовить и так далее. Можно рядом что-то новое положить, угу. В браузерах. Но быстрого использования на серверной стороне не ждите. Это http-серверы, всё, что вокруг них, оценка надёжности внедрения, отлов граблей... в общем, годы и годы. При этом в 95% случаев оно еще и на фиг не надо. А тут - сгенерировать ключ, запись в DNS добавить и сравнительно простой модуль в балансер или что там на фронте крутится - глядишь, за пару лет и управятся хотя бы процентов 30 сайтов.
     
     
  • 7.35, Аноним (8), 01:52, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Помимо серверной стороны предстоит решить вопрос с контекстами выполнения JS, полученных из разных источников с разным уровнем сикурности. Какой-то механизм управления нужен.
    Сейчас мы имеем, что JS на HTTPS страницах можно грузить только с HTTPS серверов. Это совершенно избыточно. Нужен контроль целостности и аутентификация.

    Хотя, что я несу... Веб уже не спасти. Разве что еще один рядом забабахать с блекджеком и шлюхами.

     
     
  • 8.37, Аноним (37), 02:40, 17/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Сейчас мы имеем, что JS на HTTPS страницах можно грузить только с HTTPS серверов. Это совершенно избыточно. Нужен контроль целостности и аутентификация.

    Избыточен твой контроль целостности и аутентификация, когда и так есть https. Будет нормальная альтернатива, обеспечивающая то же самое, появится и исключение для загрузки твоей шняги на https страницах. А пока о чём говорить вообще? Собрался над хттп костылять цифровые подписи и прочее, переизобретая tls? Ну удачи, только никому это не нужно.

     
     
  • 9.40, Аноним (8), 04:37, 17/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    HTTPS свою задачу не выполняет, пока используются CDN, терминирующие TLS (Cloudflare) и работают сертификаты, подписанные третьими лицами. Контент может быть подменен без возможности это обнаружить.
     
     
  • 10.46, Аноним (37), 07:17, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    И какое ты решение предлагаешь? По типу SSH? Как себе представляешь? Откуда ты возьмёшь ключ сайта, который хочешь открыть? Встретишься с Максимом Чирковым чтобы потом открывать опеннет? А если нет, то как ты можешь быть уверен в отсутствии митма?
     
     
  • 11.56, Аноним (56), 09:24, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Согласование фаз между зашифрованным DNS и HTTP/HTTPS.

    DNS и BGP должны быть включены на валидацию сторон и шифрование.

     
  • 11.69, нах (?), 11:04, 17/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > По типу SSH? Как себе представляешь? Откуда ты возьмёшь ключ сайта, который хочешь открыть?

    откуда ты берешь ключи ssh? Лично бегаешь по всем хостам, или все же предполагаешь, что в обычных условиях вряд ли ОНИ тебе все подменили, не зная ни кто ты, ни куда собираешься, ни когда тебе приспичит - а после этого любая подмена уже будет видна.

    > А если нет, то как ты можешь быть уверен в отсутствии митма?

    страдай, бедняжка...

    Ну и да - для чего-то такого, где используются сейчас EV - очень неплохо бы пихать везде, где это возможно, 3d-код для верификации. Эх, мечты, мечты...

     
  • 11.176, Aknor (?), 09:23, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    из блокчейна. emercoin это умеет
     
  • 8.58, Нанобот (ok), 09:27, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >Нужен контроль целостности и аутентификация

    уже есть: https://en.wikipedia.org/wiki/Subresource_Integrity

     
  • 7.63, нах (?), 10:31, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Вот потому и пролез  в конце концов, что много лет рядом был и наросла критическая масса контор

    то есть гугл, один штука.
    да, отказ от возврата в результатах поиска "неправильных" сайтов отлично сработал.

    > Но быстрого использования на серверной стороне не ждите.

    казалось бы, причем тут cloudflare, контролирующая половину нынешнего веба если не напрямую, то из-за любимых макаками src=""...

    но, похоже, товарищ майор платит больше, чем не-халявные пользователи.

     
     
  • 8.169, Товарищ Подполковник (?), 11:37, 20/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > похоже, товарищ майор платит больше, чем не-халявные пользователи.

    он не платит ничего (платят только лохи).
    он угрожает дать по башке, отобрать деньги и посадить в тюрьму.
    по кр.мере я давал такое указание.

    если у вас есть данные что он именно платит - сообщайте мне, я разберусь.

     
  • 6.52, Анотоним (?), 08:37, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    HTTPS был рядом потому, что использовать SSL было дорого. йа бы сказал супер-пупер как ОЧЕНЬ дорого.

    Начиная с ежегодной покупки сертификата за тыщщи денег, требующимися для шифрования более мощными (более дорогими) процами на КАЖДОМ сервере и на КАЖДОМ клиенте, дорогими каналами связи с оплатой побайтно, при https невозможно полноценно кэшировать на proxy (региональных национальных (CDN) провайдерских транзитных (чтоб меньше платить международным магистралам), конторских локальных (чтоб резать мусорные банеры\"вирусы")).

    only https internet выглядел бы сейчас как в 2000 году.  190 унылых основных сайтов и 2300 сайтов визиток.

     
     
  • 7.57, Аноним (56), 09:26, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    AES-NI/FPGA/pcie-card
     
     
  • 8.121, Анотоним (?), 21:16, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    ты сам то понял что сказал?
     
  • 7.66, нах (?), 10:43, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Начиная с ежегодной покупки сертификата за тыщщи денег

    мой сертификат startssl (ныне покойного) стоил мне $0. extended validation thawte (ныне покойной), с отсылкой заверенных бланков регистрационной информации курьером - $350 на три, что-ли, года. Что может себе позволить любая лавочка по продаже кондомов second-hand, если вообще хочет что-то таким образом продавать.

    Прокси у провайдеров? Назовите этих чудаков на букву M?! В 2000м году - годится, люди с годами только тупеют (если они уже банкроты, можете не называть, мало ли было пузырей в 2000м, классно чпокнушвих уже через год-полтора, кто с проксей, кто вообще весь интернет на одном сd пытался продавать). Ладно б какие-нибудь хоменеты из дерьма и палок, с апстримом аж 64 килобита на всех... правда, это уже и в 2000м было немодно.

    Настоящие cdn работают совершенно не так, как ты подумал - у них есть сертификат того, чем они представляются, и никакие другие им не требуются.

     
     
  • 8.123, Анотоним (?), 21:52, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    зачем уютному персональному бложику или лавочке по продаже second-hand кондомов ... текст скрыт, показать
     
     
  • 9.130, нах (?), 11:17, 18/07/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    в стране, где сажают за лайк, вы серьезно спрашиваете у тебя какие-то другие де... текст скрыт, показать
     
     
  • 10.149, Анотоним (?), 20:13, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >> зачем уютному персональному бложику
    > в стране, где сажают за лайк, вы серьезно спрашиваете?

    и как SSL на это повлияет? следователь не увидит лайка? ему будет показываться какой то другой сайт?

    >> или лавочке по продаже second-hand кондомов SSL?
    > у тебя какие-то другие деньги для second-hand кондомов, ты данные кредитки прямо
    > в открытый http вобьешь? Да и просто почтовый адрес и прочие
    > личные данные, наверное, не стоит палить прямо вот так?

    20 лет палили и ничиего, но тут, ВНЕЗАПНО очковать начали? что так вдруг?

    > Я верю, что какие-то местечковые провайдеры, выросшие из хоменетов (где интернет был

    использование кэширующего прокси магистральными провайдерами, это не вопрос веры. это факт.

    >> и с пользой для юзеров.
    > или с вредом - когда закэшировалось, к примеру, не в той кодировке,
    > и пользователь получал абаракадабру, не зная, как от нее избавиться и
    > думая что виноват тот сайт.

    и ты не видишь здесь пользы? мне вас жаль(с).

     
     
  • 11.162, нах (?), 11:34, 19/07/2018 [^] [ответить]     [к модератору]  
  • +/
    увидит, но не сможет просто так выяснить кто его поставил,когда нет возможности ... текст скрыт, показать
     
  • 4.74, Аноним (74), 11:59, 17/07/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Проблема в том, что без "trusted authorities" невозможно защищенно связаться с незнакомцем.

    Ведь чтобы начать связь, необходимо подтвердить, что именно ему принадлежит тот или иной публичный ключ (а то вдруг на нас идёт MitM-атака). А как это сделать? В SSH можно сверить хеши ключей, но для этого в начале надо знать настоящий хеш. А у нас нет доверенного канала, чтобы его переслать.

    TLS решает проблему тем, что вы оба доверяете тому самому дяденьке trusted autority, который подтверждает идентичность корреспондента(ов)

     
     
  • 5.77, нах (?), 13:24, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    возможно невозможно убедиться что он тот, за кого себя выдает - но чаще всего э... текст скрыт, показать
     
     
  • 6.88, Аноним (74), 14:57, 17/07/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    В случае банка, биржи и любого другого финансового учреждения важно как раз имен... текст скрыт, показать
     
  • 2.5, пох (?), 22:24, 16/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а делают они это вот этими самыми руками:

    https://mobile.twitter.com/levelsio/status/1018793451553345536?p=p
    https://mobile.twitter.com/0xjomo/status/1018810610597941249?p=p

     
  • 2.73, Николай Панкратов (?), 11:37, 17/07/2018 [^] [ответить]    [к модератору]  
  • +11 +/
    Ой какой же ты дуpак, ну дуpаааак... Забаньте уже всех этих "пoxов", "наxoв", и прочих увеселительных клoeнок. У нас тут вроде не царский двор, шyтов хватает и на других сайтах.
     
     ....нить скрыта, показать (33)

  • 1.3, Аноним (37), 22:20, 16/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    Наконец-то! Тогда и DNS и SNI будут шифрованны, шикарно.
     
     
  • 2.164, Аноним (-), 12:15, 19/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >и DNS

    dnscrypt, не?

     
  • 1.7, Аноним (7), 22:40, 16/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    >Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI

    мазила до сих пор резолвер TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS)сделать не может и довести до конца проект, хотя обещала что в 60 уже будет работать, а уже за новое взялись, ну типичный современный айти хайтек, срочно лепим новое забивая на старое

     
     
  • 2.12, dimqua (ok), 23:10, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Зато клаудфлара смогла.
     
  • 2.25, Аноним (37), 23:55, 16/07/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    В 61 уже нормально работает DoH В 60 крашил браузер Сейчас мне не хватает толь... текст скрыт, показать
     
     
  • 3.90, dimqua (ok), 15:13, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Как удалось завести? У меня и в 61.0 не работал. :-/
     
     
  • 4.152, Аноним (152), 22:55, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Просто 3 префа https://gist.github.com/bagder/5e29101079e9ac78920ba2fc718aceec
    network.trr.bootstrapAddress;1.1.1.1 или 1.0.0.1 (первый может быть недоступен)
    network.trr.mode;3
    network.trr.uri;https://mozilla.cloudflare-dns.com/dns-query

    Ещё можно ipv6 резолв отключить, если не нужен: network.dns.disableIPv6;true

     
     
  • 5.157, dimqua (ok), 02:34, 19/07/2018 [^] [ответить]    [к модератору]  
  • +/
    А с гугловским сервером работает? У меня теперь тоже заработало, но только с mozilla.cloudflare-dns.com и никакими другими, в т.ч. со своим. Даже с dns.cloudflare.com и cloudflare-dns.com не работает.
     
  • 1.9, Xasd (ok), 23:04, 16/07/2018 [ответить] [показать ветку] [····]     [к модератору]  
  • –1 +/
    боже это слишком сложно один маленький управляемый сбой -- и всё это откат... текст скрыт, показать
     
     
  • 2.16, Аноним (37), 23:18, 16/07/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    > провайдеры лишь всего-навсего просто будут:

    Это не «всего-навсего просто», лол. И по твоей логике ничего не надо делать, ведь всё равно могут интернет открубить.
    Зачем нам трафик TLS шифровать? Ведь могут просто заблочить и вынудить http юзать. Но нет, уже не могут так сделать. Максимум — по IP и SNI мешать устанавливать соединение.
    Зачем VPN существует? Ведь легко протокол детектится в 98% случаев. Но чёт только в Китае более-менее пытаются, да и там люди продолжают использовать. Более неумело в Иране пытаются.
    Усложнять работу цензурятам всегда есть смысл. Даже чуток.
    Это задел на будущее. Старый открытый SNI потом уберут из браузеров и другого софта. Напомню, что некоторые маргинальные браузеры и сейчас поддержки SNI не имеют, и в них даже что-то частично работает.
    А блочащие DoH просто выставят себя как дикие страны (у передовых другие методы есть, им это не нужно). Которым можно и санкций подкинуть, мотивируя правами человека.

     
     
  • 3.19, dimqua (ok), 23:22, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Да, в теории многое можно, но на практике не всегда все это реализуется.
     
  • 3.20, Xasd (ok), 23:27, 16/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Старый открытый SNI потом уберут из браузеров и другого софта

    не смогут убрать!

    потому что кроме www-браузера если и обычные библиотеки делающее свои дела через tls.

    и вот представь себе -- ты хочешь написать утилиту которая делает запрос.

    ты подрубаешь TCP-сокет -- затем хочешь апгрейдить его на TLS-сессию и вдруг тебе становится для этого нужен уже какой-то чёртов esni-ключ! ты уже будешь обязан ещё и DNS-запрос отправить на получение этого ESNI-ключа!

    ну теоретически есть вероятность что рано или поздно придёт культура которая будет это поощьрять...

    типа каждый программист-будущего будет даже без заиканья (разбуди его ночью ото сна!) говорить "ну конечно чтобы заапгрейдить на TLS нужно сделать DNS-запрос!"

    ...но сейчас в веритьcя с трудом. :-) .. хотя и возможно -- кто знает.

     
     
  • 4.24, Аноним (37), 23:40, 16/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    И почему верится с трудом? Вот был 2004 год, и всё кроме браузера, да и даже сами браузеры в большинстве случаев, юзали плейн хттп. И библиотеки все твои. И вот однажды, постепенно, требование TLS возросло до такой степени, что ты теперь не пишешь: вот раньше я мог открыть tcp-сокет и начать просто слать хттп запросы, а теперь мне нужно какой-то tls ещё реализовывать/брать другую библиотеку, заворачивать всё в шифрование, ужас какой!
    Или может ты не застал до-tls эру. Вот как ты сейчас tls без особой проблемы реализуешь, так и с ESNI будет. В чём проблема? Ничему новому не хочешь учиться? Ну иди кодь под win98 и старый линух, а то ведь сколько всего напихали нового за эти десятилетия.
     
  • 4.29, Crazy Alex (ok), 00:20, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Уж из браузеров убрать - запросто, хоть и поэтапно
     
  • 4.68, нах (?), 10:54, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > потому что кроме www-браузера если и обычные библиотеки делающее свои дела через tls.

    целых две, не считая форков?
    Ну так одну вон уже... эммм...антимат... отрефакторили!

    > и вот представь себе -- ты хочешь написать утилиту которая делает запрос.

    как и сейчас - тянешь через интуитивно-приятную обертку openssl, ну может - первое время - придется использовать какой-нибудь ее клон, кто у нас там сегодня модно, boring? Вот ее и пользуй. Там еще опасТные протоколы выпилены и сборка под опасТные операционные системы (все что не линукс) поломана, сплошные бонусы!

    Если он не дотянулся до этого дурацкого esni - возвращаешь пользователю БОЛЬШОЕКРАСНОЕОКНО - внутрь можешь что-нибудь из /dev/random процитировать, все равно пользы от этого никакой.

     
  • 4.103, Тузя (ok), 16:55, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Не то чтобы я хотел опровергнуть что-то из вами сказанного, просто напомнить, что в SSL/TLS есть очень www-ориентированные штуки, которые за пределами вебсервера не очень-то и работают в массе своей. Из них сходу вспоминаются 2:
    - само SNI, которое поддерживается даже не в каждом вебклиенте, браузеры и большие библиотеки - это да, но в TLS может оказаться не только вебня и вот там всё грустно.
    - Wildcard, опять же, применение которого тоже ограничено в протоколах.
    - Их сочетание.

    Я понимаю, что для посылки веб-запроса по идее надо бы иметь SNI, в общем случае. Но многие не парятся, а убирать поддержку расширения, которое гарантировано работает только в браузерах и больших популярных библиотеках из "другого софта" очень просто, ведь его и не завезли. ESNI туда тоже не завезут, сложно.

    Да, на фоне ESNI само SNI выглядит просто, но народ решает оба вопроса (SNI/Wildcard) посредством обязывания покупать сертификат содержащий SAN.

     
  • 2.17, dimqua (ok), 23:19, 16/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >блокировать DNS-over-HTTPS

    Разве это так уж просто сделать?

     
     
  • 3.22, Xasd (ok), 23:29, 16/07/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    >>блокировать DNS-over-HTTPS
    > Разве это так уж просто сделать?

    ну как Телеграм :-)

     
  • 3.42, Аноним (42), 06:03, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Вообще-то да. Это обычный HTTPS трафик, провайдер его видит шифрованым, ну если не пойти и не перебанить все известные DOH сервера.
     
     
  • 4.93, dimqua (ok), 15:19, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Так ведь перебанить _все известные_ DOH сервера невозможно, а блокировать весь https трафик никто не станет в здравом уме.
     
     
  • 5.122, Аноним (122), 21:40, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Станут. Госбезопасность шерифа волнует, а проблемы индейцев - нет.
     
  • 2.27, Crazy Alex (ok), 00:19, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Как раз нормально. Как отладят/внедрят - браузеры для начала станут всё, что такие штуки не реализует, показывать как недоверенный сайт (точнее, сначала так будет происходить для какого-то известного набора, как для HSTS, например). А потом - тупо перестанут работать в несекьюрном режиме без адских плясок.

    Ну а что в Россиях это могут тупо административно побить - так с тем же успехом могут и вовсе шифрование трафика запретить. Это не проблема мейнстримных решений, борьба со свихнувшимися властями - это к даркнетам.

     
  • 2.67, нах (?), 10:46, 17/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > из-за отсутствия популярности инициативы среди сайтов -- Мозилла-и-другие-браузеры НЕ смогут
    > заявить типа "внимание! теперь мы будем работать только с ESNI-сайтами! остальные открываться не
    > будут!"

    мурзила - уже может, полутора оставшимся пользователям уже все равно.

     
  • 2.111, Аноним (111), 19:25, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > провайдеры лишь всего-навсего просто будут:

    * блокировать DNS-over-HTTPS/DNS-over-TLS [ну как минимум популярные серверы].
    * перенаправлять все DNS запросы -- на свой DNS-сервер.
    * вырезать из DNS -- DNSSEC-структуры и _esni-структуры .

    А, кардеры им будут очень благодарны.

     
  • 1.14, xm (ok), 23:13, 16/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +2 +/
    Вопрос, мягко говоря, перезрел.
     
     
  • 2.31, Аноним (31), 00:36, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Рыба уже давно уже сгнила с головы, они ток задумались.
    Тут бы проблемы DNSSec и антиспуфа порешать в BGP by default...
     
     
  • 3.34, xm (ok), 01:41, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    +100500
    Сегодня DNSSEC / DANE + DNS-over-TLS должно стать первоочередной задачей.
     
     
  • 4.94, dimqua (ok), 15:24, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Как выше писали, DoT не имеет такого уж большого смысла, если имя хоста передаётся в SNI в открытом виде даже в TLS 1.3.
     
     
  • 5.102, xm (ok), 16:54, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Во-первых, не вижу где. А, во-вторых, и это главное, не вижу связи.
    На кой, собственно, использовать SNI вместе с DNS-over-TLS?
     
     
  • 6.118, dimqua (ok), 19:58, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Не вместе с DoT, а при обращении к сайту по HTTPS, будет передаваться SNI.
     
     
  • 7.126, xm (ok), 22:39, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    В DNS-over-TLS внезапно никакого HTTPS нет.
     
     
  • 8.179, Аноним (179), 10:12, 22/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Внезапно при установлении TLS соединения со SNI, твой DNS-over-TLS теряет смысл, потому что имя домена прекрасно светится в SNI.
     
  • 1.36, Аноним (122), 01:58, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    Да бизнес это никогда не внедрит.

    Вы же видели - Mozilla и Amazon закрыли domain fronting для того, чтобы угодить российскому государству.

    Поэтому никто заморачиваться с детектом и удалением этого шифрованного sni не будет. Поступят гораздо проще. Ведь уже есть закон о передаче ключей шифрования. Соответственно, если на одном сервере с заблокигованным или просто неугодным сайтом размещается сайт с этой байдой, то от него требуется передача ключей шифрования, и сайт блочится.

     
     
  • 2.38, Аноним (37), 02:52, 17/07/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Чушь Бизнесу нет причин это бойкотировать И есть причины это внедрять Ибо ина... текст скрыт, показать
     
  • 2.39, Аноним (37), 02:55, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Поэтому никто заморачиваться с детектом и удалением этого шифрованного sni не будет. Поступят гораздо проще. Ведь уже есть закон о передаче ключей шифрования. Соответственно, если на одном сервере с заблокигованным или просто неугодным сайтом размещается сайт с этой байдой, то от него требуется передача ключей шифрования, и сайт блочится.

    Да, могут и так поехать. Что сказать-то хотел? Могут ещё проще: государственный митм государственным сертификатом, без которого https просто не будет работать. И всё, весь трафик на ладони.
    Но кого волнует Северная Корея, Иран, РФ и Китай? Не для них и не ими это разрабатывается.

     
     
  • 3.89, нах (?), 15:08, 17/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Но кого волнует Северная Корея, Иран, РФ и Китай?

    амазона и гугля, как видите, волнует. самый богатый человек мира потому и самый богатый, что не ленится нагнуться за лишним рубликом довольных россейских потребителей - даже если ради этого надо вышвырнуть со своих серверов какой-нибудь телеграмм, чтоб товарищмайор был доволен.

    это вот клятая корпорация зла дошла в своем зле аж до того, что windows store через mitm proxy не работает никак, никогда и ни при каких настройках. Теряет бабки, да и репутацию среди офисных крыс, но чинить отказывается. А тем временем корпорация добра выпилила из хрома pkp, чтоб товарищмайору было удобнее.
    (а из телеметрии - не выпилила, afaik. Это товар, товарищмайору надо за него заплатить, как все.)

     
     
  • 4.114, DPDKguy (?), 19:29, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >даже если ради этого надо вышвырнуть со своих серверов какой-нибудь телеграмм, чтоб товарищмайор был доволен

    Это весьма непростая медийная история. Если выкидывать, то есть репутационные риски(общественное мнение в США сильное и это выльется в ощутимую потерю денег). Если не выкидывать - недоступность для клиентов в регионе.


    В случае с РКН сыграл факт, что Жаров в санкционном списке.

     
     
  • 5.131, нах (?), 11:22, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Это весьма непростая медийная история. Если выкидывать, то есть репутационные риски(общественное
    > мнение в США сильное

    оно там специфичное - пока не затрагивает сами Штаты, особо ни на что не влияет.

    А у нас: "Egypt, Oman, Qatar, and UAE" (из сигналовского письма скорби) - боюсь, что общество в США слабо представляет, где это и на какой планете.

     
  • 1.41, нона (?), 05:15, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    > позволит передавать идентификатор запрошенного хоста в шифрованном виде.

    Нужно. Нужно. Нужно!

     
  • 1.43, Аноним (43), 06:53, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    Получается, прокси - как анонимайзеры, так и корпоративные - при таком раскладе идут лесом?
     
     
  • 2.87, Аноним (43), 14:56, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Похоже на то. Я во всяком случае не очень понимаю, как в таком случае прокси будет определять, кому запрос адресован.

    Местные эксперты, по ходу, с ответом слились, но пост на всякий случай заминусовали... а меж тем вопрос вполне здравый.

     
     
  • 3.154, Аноним (152), 23:04, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Как это как определять? А айпишник в пакете для чего указан? Вот пусть прокся и шлёт его туда неизменённым, как сейчас и происходит с прозрачными проксями. Зачем им смотреть в SNI, лол? Это не их слой. Ей пришёл IP-пакет, адресованный на ip:port сервера, это всё, что надо знать, чтобы его отправить дальше. А там уже сервер назначения разберётся со SNI/ESNI.
    Вопрос не здравый, а глупый, видимо поэтому проминусовали и прошли мимо.
     
     
  • 4.161, Аноним (43), 10:39, 19/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Как это как определять? А айпишник в пакете для чего указан? Вот
    > пусть прокся и шлёт его туда неизменённым, как сейчас и происходит
    > с прозрачными проксями. Зачем им смотреть в SNI, лол?

    Затем, что прокси еще и для фильтрации трафика используются. Лол.
    В такой ситуации останется только либо пропускать весь шифрованный траф молча, либо блочить все шифрованное "потому что шифрованное".

    > Вопрос не здравый, а глупый, видимо поэтому проминусовали и прошли мимо.

    Нормальный вопрос. Безопасность - это хорошо, только не нужно из=за нее все ломать...

     
  • 1.44, Аноним (44), 07:02, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    Чего там шифровать? С каких сайтов тянешь ad блоки по текущему гнезду? да уж великий секрет. А если адрес вбил, без dns никуда, вот его скрыть это плюс. А браузеры пусть дальше свои костыли засовывают, скорей накроется этот скриптовый треш.
     
     
  • 2.45, Аноним (37), 07:14, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > А если адрес вбил, без dns никуда, вот его скрыть это плюс.

    И какой же в этом плюс без шифрования SNI? Вот скрыл ты днс шифрованием, а всё равно домен палится в открытом SNI. Это бесполезно.
    Решать надо обе проблемы, они напрямую связанны и представляют одну проблему. И это как раз движение к решению.
    Или ты вообще не понимаешь как интернет и веб работает, дружок?

     
     
  • 3.47, Аноним (44), 07:35, 17/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    дружок, я про то что реализация веба на сегодня исключительно косячна, эти наработки из прошлого века. Сегодня пользоваться уже почти невозможно. Хотят лечить флаг им
     
     
  • 4.50, Аноним (50), 07:58, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Хотят лечить вебом флаг? Какой флаг? И зачем его лечить? Это какой-то молодёжный сленг?

     
     
  • 5.51, Аноним (44), 08:18, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    этому сленгу лет за писят уж. Это вообще моя планета?
     
     
  • 6.60, Ю.Т. (?), 09:30, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Запятые нужно ставить.
     
     
  • 7.62, Аноним (62), 09:55, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    "эти наработки из прошлого века. Сегодня пользоваться уже почти невозможно."(с)
     
  • 1.48, Аноним (31), 07:35, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    QUIC шифрует SNI еще надежнее, единственное что там из заголовка можно получить это метку connection-id. И вообще как так вышло, что TLS умеет отдавать заголовок хоста без шифрования?
     
     
  • 2.49, Аноним (49), 07:56, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    У лидеров рынка NIH-синдром же.
     
  • 2.53, КО (?), 08:57, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >И вообще как так вышло, что TLS умеет отдавать заголовок хоста без шифрования?

    Сначала не умели. Т.е. идя на сайт по ip X.X.X.X клиент ожидал там сертификат по имени www.yyyyyyy.com. Прокси на сервере никак не могло угадать, а куда ломится клиент. Поэтому https сервера были по одному на ip. И сказали все -это не хорошо. И добавили открытое имя, чтоб сервер мог ответить нужным сертификатом. Догадаться выдать ответ сразу на кучу и клиент бы шифровал нужным, решили, что глупо и несекурно. :)

     
     
  • 3.71, нах (?), 11:18, 17/07/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    и это была чудовищная глупость Настолько вопиющая, что начинаешь сомневаться, ч... текст скрыт, показать
     
     
  • 4.156, А. Алког (?), 01:59, 19/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >> Поэтому https сервера были по одному на ip. И сказали все -это не хорошо.
    > и это была чудовищная глупость. Настолько вопиющая, что начинаешь сомневаться, что именно
    > глупость.
    > В тот момент, когда ты шел на одессу, а вышел ты нахрен

    Почему нахрен? Ну на Украину, ну и что сразу так... >:-)

     
  • 3.175, Аноним (179), 00:36, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    На шаред хостинге овер 1000 хостов на одном IP. Так каждому клиенту портянку в XX мегабайт на каждый запрос придётся отдавать.
     
  • 2.54, Xasd5 (?), 09:03, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > QUIC шифрует SNI еще надежнее,

    ну и поведай -- как же в QUIC происходит обмен ключами для SNI ?

    точнее говоря -- расскажи -- как происходит противостояние от MitM для фазы SNI ?

     
  • 1.55, Нанобот (ok), 09:20, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    >Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni"

    да ну нафиг. лишняя сложность, плюс дополнительная точка отказа

     
     
  • 2.59, Аноним (56), 09:30, 17/07/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    DNS устарел, HTTP устарел, BGP без BGPsec устарел... Нас нужны новые интернет!!!!!
     
     
  • 3.61, Andrey Mitrofanov (?), 09:46, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    >Нас нужны новые интернет!!!!!

    https://duckduckgo.com/?q=pied+piper+new+internet
    https://duckduckgo.com/?q=pied+piper+new+internet&iax=images&ia=images

     
     
  • 4.64, Maxim (??), 10:35, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    похоже на какое-то бла-бла
     
  • 4.79, Аноним (-), 13:33, 17/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    whois говорит, что duckduckgo хостится в ирландии, а все мы знаем, что по ирландии фбр ходит как у себя дома, а раз фбр ходит, то и для остальных твои поисковые запросы — не секрет. Особенно c учётом того, что ты не отключил жабоскрипт.
     
     
  • 5.83, Andrey Mitrofanov (?), 14:07, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > whois говорит, что duckduckgo хостится в ирландии, а все мы знаем, что
    > по ирландии фбр ходит как у себя дома, а раз фбр
    > ходит, то и для остальных твои поисковые запросы — не секрет.
    > Особенно c учётом того, что ты не отключил жабоскрипт.

    Айяйяй, Как же мне спрятать мои поисковые запросы, которые я выложил на опенет??  Бида-бида.

     
  • 5.125, Аноним (125), 22:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    ФБР не работает за границей USA. Ты бредишь.
     
     
  • 6.144, IRASoldier (?), 18:51, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Работает, в тех случаях, когда преступление, разрабатываемое ФБР, предполагает действия преступника/ов, являющегося/ихся гражданином/анами  США с территории вне США - естественно, при согласовании действий с соответствующими органами соответствующей страны. С некоторыми странами заключены помимо общих, по части выдачи и проч. бла-бла еще и партнерские ведомственные соглашения, позволяющие ФБР в определенных случаях действовать в юрисдикции этих стран.
     
  • 6.145, IRASoldier (?), 18:53, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Навскидку по теме - https://ria.ru/society/20051012/41752859.html
     
  • 6.146, IRASoldier (?), 18:57, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Также ФБР может проводить оперативно-розыскные мероприятия за рубежом и в отношении неграждан США, если последние совершили преступления на территории США - опять же, всё упирается в конкретные соглашения.
     
  • 2.112, Аноним (111), 19:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Какая точка, какого отказа. Без DNS всё равно у вас HTTPS ни.
     
  • 1.65, Аноним (65), 10:43, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –3 +/
    народ не понимает, что это делают не для их безопасности, а для финансовой безопасности неких инет-контор. это натягивание шифрование на все и вся рано или поздно выльется в то, что невозможно(или очень проблематично) будет блокировать непотребный пользователю контент. т.е. как минимум они хотят убрать возможность блочить рекламу на уровне днс и хттп. когда с этим закончат, в браузерах поменяют апи, чтобы невозможно было юзать блокировщики рекламы.
    это нескоро будет, но будет.
     
     
  • 2.70, Аноним (70), 11:14, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Никто тебе не мешает поднять собственный прокси и блочить всё что угодно на уровне DNS и HTTP. Виндовые антивирусы имеют такую встроенную функцию.

    А чтобы недопустить блокировщиков рекламы на уровне API рассширений, надо так сильно его урезать, что возникнут успешные форки браузеров. Возможно, даже возглавляемые некоторыми из оригинальных разработчиков.

     
  • 2.72, Аноним (72), 11:35, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Финансовая безопасность? Лол.
     
  • 2.107, X4asd (ok), 18:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > как минимум они хотят убрать возможность блочить рекламу на уровне днс и хттп

    уж не буду говорить про то что ни кто тебе не мешает наложить на исходный код браузера патч (и заметь -- ПАТЧ а не ФОРК).

    вместо этого скажу -- ни кто тебе не запрещает НЕ ПОСЕЩАТЬ сайты реклама на которых тебя раздражает.

     
  • 2.113, Аноним (111), 19:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    А не похер бы, если всем это в плюс?
     
  • 1.75, Cradle (?), 12:02, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +6 +/
    Хорошая штука, если действительно вбедрится и будет стабильно работать. Но Боже, сколько соплей в комментах - эти люди не въезжают что SSL/TLS это уже давно не про HTTPS, а про те новые протоколы вроде MQTT на которых сейчас "умная" электроника вертится и её сейчас будет всё больше и больше, и там вы как пользователь/потребитель на вашу безопасность сами повлиять не можете, если разработчик за вас не позапотился. И государству как раз весь этот траффик вполне по барабану, а вот всяким "хацкерам", реальному криминалу и всяким биг-дата-социнженерам очень даже интересен.
     
     
  • 2.78, Аноним (78), 13:28, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > а про те новые протоколы вроде MQTT

    где там sni и зачем он нужен умному дому ("ключи от всего у кого-то поумнее чем хозяин" (c)  ?

     
     
  • 3.81, Cradle (?), 13:41, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    серьёзные IoT сейчас работают с облаком через SSL/TLS, SNI необходим чтобы трафик между нодами балансировать
     
     
  • 4.82, Cradle (?), 13:51, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    в том смысле что заточенное под IoT облако обеспечивает N сервисов (виртуальных хостов) с М нод, и всё это нужно правильно балансировать.
     
  • 4.91, Аноним (78), 15:15, 17/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    вы что-то пургу несете. Какой именно промышленный балансер работает на основании такой ерунды как sni, чтоб не вляпаться ненароком?

    И что мешает вместо этого использовать банальный dns по его прямому назначению - у вас в ipv6 снова недостаточно адресов?

     
     
  • 5.95, Cradle (?), 15:34, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    может здесь лучше объяснят: https://aws.amazon.com/de/blogs/aws/new-application-load-balancer-sni/
     
     
  • 6.100, Аноним (78), 16:22, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > может здесь лучше объяснят

    нет, здесь не лучше - у них sni используется по прямому назначению, чтобы напихать на один балансировщик мильен хостов с разными зачем-то сертификатами. Балансировщик этот траффик честно расшифровывает. Ну мало ли, какие у людей бывают странные идеи - купил на амазоне балансер, решил поделиться с друзьями, почему же нет. До этого они как раз sni не поддерживали.

    где тут вы узрели балансировку ПО sni и причем тут вообще iot и шибкоумныедома, которым и одного домена (может с сабдоменами, но и это необязательно) достаточно - совершенно неясно.

    если конкретно вы, зачем-то, при разработке такой системы наплодили несвязанных доменов, выписали на них все отдельные сертификаты, а потом начали с этим героически бороться - то так и скажите, тут все свои, подумаешь, обляпался.

     
     
  • 7.104, Cradle (?), 17:02, 17/07/2018 [^] [ответить]     [к модератору]  
  • +/
    именно по тому же назначению организующая свое облако компания или арендующая ... текст скрыт, показать
     
  • 1.80, Ivan_83 (ok), 13:40, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –5 +/
    "DNS-over-HTTPS или DNS-over-TLS" - АНБ радо.
    Оно и будет держать под колпаком те несколько таких серверов.
    А то они было запереживали что отдали совсем контроль за инетом в виде ICANN, а теперь они ещё и DNS сделают чтобы только через них работал, и смогут выключать инет любому когда захотят.
     
     
  • 2.96, dimqua (ok), 15:35, 17/07/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Потихоньку растёт число DoH/DoT серверов от энтузиастов из разных стран.
     
     
  • 3.98, Ivan_83 (ok), 15:41, 17/07/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    А ты прямо вот так доверяешь всем незнакомцам на улице ключи от хаты?
     
  • 2.105, xm (ok), 17:16, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А что, вы таки уже внедрили свою альтернативу DNS, как водится, с блекджеком и шлюхами?
     
     
  • 3.106, Ivan_83 (ok), 17:58, 17/07/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    Мне не требуется скрывать факт обмена информацией с сайтами.
    А если потребуется я воспользуюсь тором или и2п, а не будут фигнёй страдать.
     
     
  • 4.108, xm (ok), 18:33, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ещё один "честный человек" которому "нечего скрывать".
     
     
  • 5.109, Ivan_83 (ok), 18:56, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Не так.
    Все эти навороты излишни и бессмысленны.
    У меня свой unbound но я не включал и не настраивал dnssec потому что в этом нет смысла: сайты где деньги имеют сертификат, а на остальное мне плевать.

    Мозилла вообще давно хотела встроить тор в браузер, а вместо этого страдаёт фигнёй и костылями вокруг DNS.
    Остальные участники могли бы сделать так же.
    В тор эти проблемы решены кой как.

    Но они упорно двигают костыли, которые дадут им рычаги влияния.
    Думаешь все эти участники не поднимут у себя эти сервера и не прибьют на гвозди в софте?
    Это первое что они сделают, и после этого будут видеть каждый шаг каждого юзера, а кого надо смогут куда надо заворачивать или отключать.

    Я за открытый веб, а весь этот TLS, DNSSEC - оно прямо про обратное, концентрация ключевых элементов инфраструктуры в одних лапах.
    Думаю им очень понравились результаты работы 8.8.8.8 и теперь хотя осчастливить всех насильно.

     
     
  • 6.120, Cradle (?), 20:42, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Все эти навороты излишни и бессмысленны

    вспомните об этом пожалуйста когда станете покупать какие-нибудь радио-включаемые розетки или настольные лампы с доступом со смартфона, управляемые со смартфона и голосом электро- жалюзи на окна, вентиляторы, регуляторы отопительных батарей, мотор для гаражных ворот, может ещё какой гаджет из списка "Device modules" на https://fhem.de/commandref.html (хотя там на fhem всё устаревшее на пару лет). Это всё ведь  реально становится так удобно, когда всю старую и новую домашнюю электронику можно включать не вставая, со смартфона, который и так всегда в кармане,  правда? Или там уходя из дома статус посмотреть, не забыли и чего?
    И как вы на всю эту разнородную мелочь свой tor пихать будете?

     
     
  • 7.132, нах (?), 11:35, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > вспомните об этом пожалуйста

    я об этом каждый раз вспоминаю, когда выясняется, что еще один поставщик модулей для x10 кончился.

    Но нет, оборудования, зависимого от чужих клаудов, в моем доме не будет никогда.

    (в том числе, кстати, потому что уже были истории, как людям приходилось выковыривать шибкоумные розетки, регуляторы, водяные вентили и прочее, что нельзя вот так просто и быстро заменить, потому что производитель контроллера внезапно взял и закрыл свой сервис - а контроллер без него ни чихнуть, ни пёрнуть не может)

     
  • 7.139, Ivan_83 (ok), 13:13, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Я такой хлам никогда не куплю, разве что на запчасти.
    У меня даже смарт телеку инет запрещён, потому что задрал ставить виджеты вендора.
    И это ещё старый смарт тв, без камеры и микрофона.

    В остальном, у меня маленькая квартира а я пока здоровый человек, поэтому мне проще встать, подойти и вкл/выкл, чем дрюкать пальцем в экран. Вот пду от телека и вентилятора удобно - можно даже глаза не открывать, а сенсорный экран - отстой.

     
     
  • 8.143, нах (?), 17:52, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Я такой хлам никогда не куплю, разве что на запчасти.

    не зарекайся, не зарекайся.

    телек-то еще может работать без интернета. А эти хоменетовские железяки - _в_принципе_ не могут - НЕТ у тебя прямого доступа к управлению.

    что там творится в мозгах у их разработчиков - съедены гуглем, или это они так заботятся о пользователях, хз. Но найти полноценную систему умного дома, способную хоть как-то работать изолированно - даже не пытайся. Сразу бери паяльник и ардуину. До тебя уже сто раз искали.

     
     
  • 9.147, Cradle (?), 18:59, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > что там творится в мозгах у их разработчиков

    это всётаки как-то больше у маркетологов и продуктманагеров мозги так заточены, а разрабы-то обычно люди подневольные, делают как начальство скажет. У меня вот ровно в прошлом году такой проект был где до заказчика наконец доперло что отказавшись от тотальной интернетозависимости они заполучат ещё несколько процентов дополнительных покупателей, поэтому они пришли к нам уже с запросом что смартфон должен уметь работать с их железяками приоритетно через локальный вайфай, облако опционально. Интересный получился проект, крутилось на локальном wifi-gateway со слегка подпиленным mosquitto, avahi там итд.. Жаль сорвался проект - пробники я им сделал, заплатили неплохо, но потом увели их у нас кто-то покрупнее. Ждем встретить их на рынке :)

     
  • 4.135, товарищ майор (?), 12:42, 18/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > А если потребуется я воспользуюсь тором или и2п

    правильно, чтобы мы сразу увидели, что к тебе надо заглянуть на огонек.

    Весь смысл избавления от sni, если ты не понял, был (бы, если бы я не нажал кое-какие рычажки) именно в том, что невозможно нормально отличить, котиков ты смотришь, как предыдущие десять лет что мы за тобой наблюдаем, или тебе уже потребовалось заниматься вредной антигосударственной деятельностью.

     
  • 1.84, Аноним (84), 14:10, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    И как они представляют себе работу виртуальных хостингов в таких условиях?
     
     
  • 2.174, Аноним (179), 00:34, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Элементарно. Вывешивается фронтинг, далее балансер как анализировал SNI, так и продолжит.
     
  • 1.85, Legushatnic (?), 14:38, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –3 +/
    Без SNI тоже можно понять что там хостят, отсутствие SNI не панацея. ISP будет анализировать по IP.
     
     
  • 2.92, товарищ майор (?), 15:16, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    понять можно, пришить к делу нельзя.

     
  • 2.97, dimqua (ok), 15:37, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Сколько сайтов висит на одном IP от cloudflare? :-)
     
     
  • 3.110, Аноним (110), 18:59, 17/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    MITM от FSB не проблема.
     
     
  • 4.150, Аноним (-), 22:42, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > MITM от FSB не проблема.

    Истеричный государственный бомбеж Телеграма говорит как раз об обратном.
    Если бы не было проблемы, то просто прослушивали бы, и все.

     
  • 2.116, DPDKguy (?), 19:34, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    нуну ) А дальше alt-svc quic="www.example.com:443";

     
  • 1.99, Аноним (74), 15:53, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +2 +/
    Вот единственное, что реально во всём этом пугает - всё нарастающая сложность. На старые бородатые технологии все накручивается и накручивается слоями, будто матрешку пакуют. Я понимаю, что обратная совместимость. Но сложность - это плохо
     
     
  • 2.124, Аноним (124), 22:02, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    +1. Невозможно доверять технологии слишком сложной для понимания.
     
     
  • 3.127, Аноним (74), 22:44, 17/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    доверять причём во всех смыслах. Даже если делали без закладок, в сложной куда выше шанс непреднамеренной ошибки, просто из-за сложности
     
  • 3.159, Аноним (111), 09:01, 19/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В чём сложность? В необходимости прочитать один public key с DNS?
     
  • 2.133, нах (?), 11:40, 18/07/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Я понимаю, что обратная совместимость.

    о чем вы, я вас умоляю? Никому обратная совместимость не нужна в современном мире.
    У вас все равно может быть только самая распоследняя версия браузера и самая распоследняя версия чегонибудьssl, иначе вы полезете на мой ценный хомячок по неправильному tls <1.3-драфт-еще-не-дописали протоколу, и он вас не пустит (и даже не потому что я принципиальный козел, а потому что докер-образ обновился)

    > Но сложность - это плохо

    вам - плохо, товарищмайору - неплохо.

     
     
  • 3.137, Аноним (137), 13:01, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Никому обратная совместимость не нужна в современном мире.

    Ага, а почему тогда почему нельзя спроектировать протокол с нуля, без реликтов истории? Ведь вы же говорите, что не нужна обратная совместимость.

    Под низом любого tls всё равно лежит старый добрый http, и никто движок браузера на рендеринг чего-то ещё переписывать не будет. А tls сам лежит под старым добрым tcp, ну и т.д. Обратная совместимость правит миром!

    > вам - плохо, товарищмайору - неплохо.

    Да что вы со своим майором всё время, как будто ему делать нечего как вот за вами персонально следить. Кроме майора есть ещё много всяких субъектов и факторов.

     
     
  • 4.142, нах (?), 17:48, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ага, а почему тогда почему нельзя спроектировать протокол с нуля, без реликтов истории?

    можно, там выше в теме есть пример.
    Просто мозила не хочет, а вам не дадут (спроектировать дадут, не дадут возможности широко распространить)

    > Под низом любого tls всё равно лежит старый добрый http

    ой...

     
  • 1.101, Аноним (101), 16:41, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    > необходимо знать закрытый ключ клиента или сервера

    А который из серверных ключей, если имя сервера клиент ещё не указал?

     
     
  • 2.115, Аноним (111), 19:33, 17/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Имеется в виду пара к esni public.
     
  • 1.117, Аноним (111), 19:35, 17/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • –1 +/
    Но вот для всяких автаркий типа известных "блокировщиков" телеграма это будет реально не eSNI, а soSNI. И это радует.
     
  • 1.134, Аноним (134), 12:04, 18/07/2018 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    Для отбитых идиотов поясняю:

    1. Кто хотел что-то скрывать - давно скрывает и делает это успешно и тихо, а не как идиот Дуров, который зачем-то мазолит глаза органам своими публичными заявлениями.
    2. Как сотрудник провайдера истинно не понимаю чему тут школьники и идиоты радуются - данное нововведение приведёт только к ухудшению ситуации с блокировкой по спискам РКН. РКН, думается мне, тупо будет блочить по ip в этом случае. Кто пострадает? Мы же. Чему вы радуетесь, болезные?

     
     
  • 2.136, нах (?), 12:47, 18/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Для отбитых идиотов поясняю:

    бестолку. Тут и условно-вменяемые радуются, пляшут и поют... :-(

    и очень навряд ли Дуров - идиот, у идиота не может быть овер2k BTC не считая прочего нажитого "честным трудом" бабла. Скорее он работает ровно на тех же прекрасных людей, вполне сознательно. Вот насчет Жарова есть сомнения.

     
     
  • 3.138, Andrey Mitrofanov (?), 13:11, 18/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > и очень навряд ли Дуров - идиот, у идиота не может быть
    >Скорее он
    > работает ровно на тех же прекрасных людей, вполне сознательно. Вот насчет
    > Жарова есть сомнения.

    И этот оже работает.  И тоже на прекрасных людей.  Цветы цветут, какие сомнения-то?

     
     
  • 4.141, нах (?), 17:45, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > И этот оже работает.  И тоже на прекрасных людей.

    этот может быть искренне верующим, такое случается. В отличие от того, который с 2k BTC - так точно не бывает.

     
  • 2.151, Аноним (111), 22:55, 18/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Пусть "блочит по IP". Подмена адресов в "заблоченных" доменах очень быстро отучит от сего действия.
     
     
  • 3.153, Аноним (111), 22:58, 18/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну и общий эффект от таких "блокировок" будет уже приличным. Не вижу особой беды, если эти блокировки превратятся в полное дерьмо.
     
  • 3.160, Andrey Mitrofanov (?), 09:28, 19/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Пусть "блочит по IP". Подмена адресов в "заблоченных" доменах очень быстро отучит
    > от сего действия.

    Не отучила.  Они уже составили белый список из 3-ёх IP, президент.ру, 127.0.0.1 и их хост раздачи блокировок.  Теперь всё работает[I]!

     
     
  • 4.173, Аноним (179), 00:33, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Так это вообще отлично.
     
  • 3.165, Аноним (134), 10:32, 20/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Пусть "блочит по IP". Подмена адресов в "заблоченных" доменах очень быстро отучит от сего действия.

      Да ничему не научит. Есть решение суда, есть запись в реестре РКН согласно этому решению. Нет на данный момент процедур, которые бы быстро этот ip от туда убрали на основании того, что "там блокируется ещё куча всего невинного". Страдать будут пользователи. Надо просто понимать элементарные особенности работы законов и т.п. Вот что бы такого не было было хотя бы SNI - теперь не будет. Судьи, вообще, ни разу не подкованы технически. Даже близко. Они выносят решение на основании имеющихся бумаг и есть ли техническая возможность блокировать именно этот ресурс без вреда для других на том же ip, они понятия не имеют. Блокируй и всё.

     
     
  • 4.171, Аноним (179), 00:30, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну и отлично. Нет, так нет, значит будете стрелять себе в ногу до упора.
     
  • 4.172, Аноним (179), 00:31, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Половые проблемы конкретной гондурасии - не повод всем остальным зацикливаться на этих самых половых проблемах. Мир двигается вперёд, не желающие - остаются.
     
  • 2.155, Аноним (152), 23:16, 18/07/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты чё в спячке был последние 4 месяца? Почти 20 миллионов айпишников было в блокировке. Именно айпишников, диапазонами тупо. Никаких доменов. И блочились они по айпишникам, независимо от SNI. И до сих пор не все провайдеры имеют DPI. А ещё парадокс в том, что весь трафик провести через DPI могут себе позволить только мелкие провайдеры, а крупные нет. Послушай Кулина https://www.youtube.com/watch?v=YccwFWiSryY
    И до сих пор 3 миллиона айпишников амазона заблокированы. Что ты несёшь, болезный? Хуже не будет.
     
     
  • 3.163, нах (?), 11:39, 19/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > А ещё парадокс в том, что весь трафик провести через DPI могут себе позволить только мелкие

    дружище, ну а тебе-то зачем зарплату платят?

    Тебе надо детально разжевать, что нужен вовсе не "весь", и даже не 1/10 его часть?

    Саботажник ты хренов, надо на тебя товарищмайору накапать, глядишь, мне скидка выйдет...

     
  • 3.166, Аноним (134), 10:43, 20/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ты чё в спячке был последние 4 месяца? Почти 20 миллионов айпишников было в блокировке. Именно айпишников, диапазонами тупо. Никаких доменов. И блочились они по айпишникам, независимо от SNI.

      Ты мне-то не рассказывай :-). Я это своими глазами видел :-).

    > Хуже не будет.

    А-ха! Откуда вы, такие оптимисты, берётесь?.. Поверь - будет. Если SNI превратиться в тыкву, блокирование 20 миллионов ip покажется тебе сказкой.
      Сейчас:

    Entries count: 108565
    blockType default: 44235
    blockType domain: 59570
    blockType ip: 1924
    blockType ipSubnet: 26
    blockType domain-mask: 2810

      Если SNI сгинет, то 59570 доменов превратятся в ip/ipSubnet тип блокировки. Сам догадаешься что получится?

     
     
  • 4.167, Аноним (134), 10:44, 20/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Забыл туда ещё добавить domain-mask 2810, которые тоже в перспективе станут ip/ipSubnet.
     
  • 4.170, Аноним (179), 00:29, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Охеренно получится. Может хоть до кого-то дойдёт, что масштабные блокировки - зло.
     
  • 4.178, Аноним (178), 18:20, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    > Если SNI сгинет, то 59570 доменов превратятся в ip/ipSubnet тип блокировки. Сам догадаешься что получится?

    Что же получится? 60-100-300 тысяч айпишников добавятся в блокировку? Ух, как страшно. Когда там 3 миллиона крупнейшего облака по сей день. Это капля в море, даже заметно не будет. Напугал ежа голой жопой.
    20 миллионов сравнятся только с 30 миллионами. Не надо запугивать, товарищ майор, мы за шифрование SNI.

     
  • 3.168, Аноним (134), 10:46, 20/07/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > А ещё парадокс в том, что весь трафик провести через DPI могут себе позволить только мелкие провайдеры, а крупные нет.

    :-D Парадокс в том, что мелкие себе просто DPI позволить не могут :-). Крупные как раз таки норм. У них бабла навалом.

     
     
  • 4.177, Аноним (178), 17:54, 21/07/2018 [^] [ответить]    [к модератору]  
  • +/
    Это не так. DPI приходится покупать всем. И как говорится в видео выше, мелкие провайдеры купили DPI на 10-15 гбит, и пускают туда все свои 10 гбит. Крупным как раз не норм, у них трафика навалом и это очень дорого для них.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor