The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI

16.07.2018 22:05

Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В настоящее время расширение SNI, необходимое для организации работы на одном IP-адресе нескольких HTTPS-сайтов со своими сертификатами, подразумевает передачу имени хоста на стадии согласования соединения в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи.

С одной стороны подобная особенность упрощает организацию обработки запросов на http-серверах и позволяет использовать прокси и CDN-сети для проброса шифрованного трафика, но с другой стороны раскрывает информацию о запрошенных ресурсах для транзитных наблюдателей, например, позволяет провайдеру судить о запрашиваемых пользователем сайтах и выборочно фильтровать трафик. До недавнего времени CDN-сети Amazon и Google предоставляли возможность скрытия имени хоста при помощи техники "domain fronting", позволявшей обращаться по HTTPS с указанием в SNI фиктивного хоста и фактической передачей имени запрашиваемого хоста в HTTP-заголовке Host внутри TLS-сеанса (данная возможность позволяла использовать CDN для обхода блокировок и весной была отключена).

Поддержка начальной черновой спецификации ESNI уже реализована в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (используется в http-сервере h2o). При использовании ESNI имя хоста (поле server_name) также передаётся в ClientHello, но в зашифрованном виде. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. Для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  3. OpenNews: TLS 1.3 получил статус предложенного стандарта
  4. OpenNews: Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor
  5. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/48972-sni
Ключевые слова: sni, https, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (165) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, пох (?), 22:14, 16/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –36 +/
    "мурзила, огрызок и прочие гиганты индус-трии ниасилили замахнуться переделать уродливый нашлепок на http, так чтобы избавиться от самой дурацкой идеи передавать то, что и так передается внутри протокола, и разработали новое суперусложненное ненужно во славу NSA и прочих любителей поискать в таких поделках новых дыр".

    Главное ведь, ненароком ничего не чинить.

     
     
  • 2.4, AnonPlus (?), 22:23, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +31 +/
    Жаров, перелогиньтесь. Мы-то знаем, что шифрование SNI  - как серпом по яйцам для всех, кто хочет вставлять клиентам анальные зонды в виде DPI.
     
     
  • 3.6, пох (?), 22:33, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    серпом по яйцам им было бы выкидывание этого урода в помойку.
    заодно с "trusted authorities", и вообще всем уродливым мастодонтом ssl/tls.

    и не говорите мне, что это невозможно сделать - ssh вместе с протоколом и его рабочей и практически безупречной на тот момент (две серьезных проблемы за десять лет!) реализацией _с_нуля_, без всяких готовых библиотек с багами и глюками тянущимися по двадцать лет, не страдающей ни одной из этих болезней, был написан одним-единственным человеком за пол-года.

     
     
  • 4.8, Аноним (8), 23:03, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен полностью.

    Коллега, а что нам собственно стоит взять какой-нибудь хромиум и реализовать в нем HTTP/1.1 через SSH?

     
     
  • 5.23, Sw00p aka Jerom (?), 23:30, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    МОдер, удали эту ересь выше)))
     
     
  • 6.86, Аноним (-), 14:38, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    почему ересь? Туннели через обратный ssh известны со времен царя гороха. Другое дело, что область применения этого дела весьма и весьма ограничена
     
  • 4.26, Crazy Alex (ok), 00:14, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно невозможно. Пофигу, как легко написать - важно, как легко внедрить. А на вебовских масштабах даже очень большая куча костылей дешевле и проще во внедрении, чем "до основанья, а затем".
     
     
  • 5.28, Аноним (28), 00:20, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Конечно невозможно. Пофигу, как легко написать - важно, как легко внедрить. А
    > на вебовских масштабах даже очень большая куча костылей дешевле и проще
    > во внедрении, чем "до основанья, а затем".

    Последние лет 10 так в "вебе" и делают. Поэтому и имеем гигантскую пирамиду из костылей, подпорок и прочего с тормозами и жором ресурсов. Но т.к. жор на клиентских машинках, то всем вышеупомянутым - на*рать. Заодно и "левых" браузерных движков можно больше не опасаться - разработку такого монстра, под современный веб, только корпорация и потянет.


     
     
  • 6.32, Crazy Alex (ok), 01:17, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Естественно так и делают. Потому что по-другому не взлетит вообще
     
  • 5.30, Аноним (8), 00:33, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Внедрить легко, если не вместо, а рядом. HTTPS много лет был не вместо HTTP и только последние лет пять эта ситуация изменилась.
     
     
  • 6.33, Crazy Alex (ok), 01:23, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот потому и пролез  в конце концов, что много лет рядом был и наросла критическая масса контор, которые его используют, людей, хоть как-то умеющих его готовить и так далее. Можно рядом что-то новое положить, угу. В браузерах. Но быстрого использования на серверной стороне не ждите. Это http-серверы, всё, что вокруг них, оценка надёжности внедрения, отлов граблей... в общем, годы и годы. При этом в 95% случаев оно еще и на фиг не надо. А тут - сгенерировать ключ, запись в DNS добавить и сравнительно простой модуль в балансер или что там на фронте крутится - глядишь, за пару лет и управятся хотя бы процентов 30 сайтов.
     
     
  • 7.35, Аноним (8), 01:52, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Помимо серверной стороны предстоит решить вопрос с контекстами выполнения JS, полученных из разных источников с разным уровнем сикурности. Какой-то механизм управления нужен.
    Сейчас мы имеем, что JS на HTTPS страницах можно грузить только с HTTPS серверов. Это совершенно избыточно. Нужен контроль целостности и аутентификация.

    Хотя, что я несу... Веб уже не спасти. Разве что еще один рядом забабахать с блекджеком и шлюхами.

     
     
  • 8.37, Аноним (37), 02:40, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Избыточен твой контроль целостности и аутентификация, когда и так есть https Бу... текст свёрнут, показать
     
     
  • 9.40, Аноним (8), 04:37, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    HTTPS свою задачу не выполняет, пока используются CDN, терминирующие TLS Cloudf... текст свёрнут, показать
     
     
  • 10.46, Аноним (37), 07:17, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И какое ты решение предлагаешь По типу SSH Как себе представляешь Откуда ты в... текст свёрнут, показать
     
     
  • 11.56, Аноним (56), 09:24, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Согласование фаз между зашифрованным DNS и HTTP HTTPS DNS и BGP должны быть вкл... текст свёрнут, показать
     
  • 11.69, нах (?), 11:04, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    откуда ты берешь ключи ssh Лично бегаешь по всем хостам, или все же предполагае... текст свёрнут, показать
     
  • 11.176, Aknor (?), 09:23, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    из блокчейна emercoin это умеет... текст свёрнут, показать
     
  • 8.58, Нанобот (ok), 09:27, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    уже есть https en wikipedia org wiki Subresource_Integrity ... текст свёрнут, показать
     
  • 7.63, нах (?), 10:31, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот потому и пролез  в конце концов, что много лет рядом был и наросла критическая масса контор

    то есть гугл, один штука.
    да, отказ от возврата в результатах поиска "неправильных" сайтов отлично сработал.

    > Но быстрого использования на серверной стороне не ждите.

    казалось бы, причем тут cloudflare, контролирующая половину нынешнего веба если не напрямую, то из-за любимых макаками src=""...

    но, похоже, товарищ майор платит больше, чем не-халявные пользователи.

     
     
  • 8.169, Товарищ Подполковник (?), 11:37, 20/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    он не платит ничего платят только лохи он угрожает дать по башке, отобрать де... текст свёрнут, показать
     
  • 6.52, Анотоним (?), 08:37, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    HTTPS был рядом потому, что использовать SSL было дорого. йа бы сказал супер-пупер как ОЧЕНЬ дорого.

    Начиная с ежегодной покупки сертификата за тыщщи денег, требующимися для шифрования более мощными (более дорогими) процами на КАЖДОМ сервере и на КАЖДОМ клиенте, дорогими каналами связи с оплатой побайтно, при https невозможно полноценно кэшировать на proxy (региональных национальных (CDN) провайдерских транзитных (чтоб меньше платить международным магистралам), конторских локальных (чтоб резать мусорные банеры\"вирусы")).

    only https internet выглядел бы сейчас как в 2000 году.  190 унылых основных сайтов и 2300 сайтов визиток.

     
     
  • 7.57, Аноним (56), 09:26, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    AES-NI/FPGA/pcie-card
     
     
  • 8.121, Анотоним (?), 21:16, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ты сам то понял что сказал ... текст свёрнут, показать
     
  • 7.66, нах (?), 10:43, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    мой сертификат startssl ныне покойного стоил мне 0 extended validation thawt... большой текст свёрнут, показать
     
     
  • 8.123, Анотоним (?), 21:52, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    зачем уютному персональному бложику или лавочке по продаже second-hand кондомов ... большой текст свёрнут, показать
     
     
  • 9.130, нах (?), 11:17, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в стране, где сажают за лайк, вы серьезно спрашиваете у тебя какие-то другие де... большой текст свёрнут, показать
     
     
  • 10.149, Анотоним (?), 20:13, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    и как SSL на это повлияет следователь не увидит лайка ему будет показываться к... большой текст свёрнут, показать
     
     
  • 11.162, нах (?), 11:34, 19/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    увидит, но не сможет просто так выяснить кто его поставил,когда нет возможности ... большой текст свёрнут, показать
     
  • 4.74, Аноним (74), 11:59, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Проблема в том, что без "trusted authorities" невозможно защищенно связаться с незнакомцем.

    Ведь чтобы начать связь, необходимо подтвердить, что именно ему принадлежит тот или иной публичный ключ (а то вдруг на нас идёт MitM-атака). А как это сделать? В SSH можно сверить хеши ключей, но для этого в начале надо знать настоящий хеш. А у нас нет доверенного канала, чтобы его переслать.

    TLS решает проблему тем, что вы оба доверяете тому самому дяденьке trusted autority, который подтверждает идентичность корреспондента(ов)

     
     
  • 5.77, нах (?), 13:24, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    возможно невозможно убедиться что он тот, за кого себя выдает - но чаще всего э... большой текст свёрнут, показать
     
     
  • 6.88, Аноним (74), 14:57, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В случае банка, биржи и любого другого финансового учреждения важно как раз имен... большой текст свёрнут, показать
     
  • 2.5, пох (?), 22:24, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а делают они это вот этими самыми руками:

    https://mobile.twitter.com/levelsio/status/1018793451553345536?p=p
    https://mobile.twitter.com/0xjomo/status/1018810610597941249?p=p

     
  • 2.73, Николай Панкратов (?), 11:37, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Ой какой же ты дуpак, ну дуpаааак... Забаньте уже всех этих "пoxов", "наxoв", и прочих увеселительных клoeнок. У нас тут вроде не царский двор, шyтов хватает и на других сайтах.
     

     ....большая нить свёрнута, показать (33)

  • 1.3, Аноним (37), 22:20, 16/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наконец-то! Тогда и DNS и SNI будут шифрованны, шикарно.
     
     
  • 2.164, Аноним (-), 12:15, 19/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >и DNS

    dnscrypt, не?

     

  • 1.7, Аноним (7), 22:40, 16/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI

    мазила до сих пор резолвер TTR (Trusted Recursive Resolver), предоставляющего возможность отправки DNS-запросов поверх HTTPS (DoH, DNS over HTTPS)сделать не может и довести до конца проект, хотя обещала что в 60 уже будет работать, а уже за новое взялись, ну типичный современный айти хайтек, срочно лепим новое забивая на старое

     
     
  • 2.12, dimqua (ok), 23:10, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зато клаудфлара смогла.
     
  • 2.25, Аноним (37), 23:55, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В 61 уже нормально работает DoH В 60 крашил браузер Сейчас мне не хватает толь... большой текст свёрнут, показать
     
     
  • 3.90, dimqua (ok), 15:13, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как удалось завести? У меня и в 61.0 не работал. :-/
     
     
  • 4.152, Аноним (152), 22:55, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Просто 3 префа https://gist.github.com/bagder/5e29101079e9ac78920ba2fc718aceec
    network.trr.bootstrapAddress;1.1.1.1 или 1.0.0.1 (первый может быть недоступен)
    network.trr.mode;3
    network.trr.uri;https://mozilla.cloudflare-dns.com/dns-query

    Ещё можно ipv6 резолв отключить, если не нужен: network.dns.disableIPv6;true

     
     
  • 5.157, dimqua (ok), 02:34, 19/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А с гугловским сервером работает? У меня теперь тоже заработало, но только с mozilla.cloudflare-dns.com и никакими другими, в т.ч. со своим. Даже с dns.cloudflare.com и cloudflare-dns.com не работает.
     

  • 1.9, Xasd (ok), 23:04, 16/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    боже это слишком сложно один маленький управляемый сбой -- и всё это откат... большой текст свёрнут, показать
     
     
  • 2.16, Аноним (37), 23:18, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > провайдеры лишь всего-навсего просто будут:

    Это не «всего-навсего просто», лол. И по твоей логике ничего не надо делать, ведь всё равно могут интернет открубить.
    Зачем нам трафик TLS шифровать? Ведь могут просто заблочить и вынудить http юзать. Но нет, уже не могут так сделать. Максимум — по IP и SNI мешать устанавливать соединение.
    Зачем VPN существует? Ведь легко протокол детектится в 98% случаев. Но чёт только в Китае более-менее пытаются, да и там люди продолжают использовать. Более неумело в Иране пытаются.
    Усложнять работу цензурятам всегда есть смысл. Даже чуток.
    Это задел на будущее. Старый открытый SNI потом уберут из браузеров и другого софта. Напомню, что некоторые маргинальные браузеры и сейчас поддержки SNI не имеют, и в них даже что-то частично работает.
    А блочащие DoH просто выставят себя как дикие страны (у передовых другие методы есть, им это не нужно). Которым можно и санкций подкинуть, мотивируя правами человека.

     
     
  • 3.19, dimqua (ok), 23:22, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, в теории многое можно, но на практике не всегда все это реализуется.
     
  • 3.20, Xasd (ok), 23:27, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не смогут убрать потому что кроме www-браузера если и обычные библиотеки делающ... большой текст свёрнут, показать
     
     
  • 4.24, Аноним (37), 23:40, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И почему верится с трудом? Вот был 2004 год, и всё кроме браузера, да и даже сами браузеры в большинстве случаев, юзали плейн хттп. И библиотеки все твои. И вот однажды, постепенно, требование TLS возросло до такой степени, что ты теперь не пишешь: вот раньше я мог открыть tcp-сокет и начать просто слать хттп запросы, а теперь мне нужно какой-то tls ещё реализовывать/брать другую библиотеку, заворачивать всё в шифрование, ужас какой!
    Или может ты не застал до-tls эру. Вот как ты сейчас tls без особой проблемы реализуешь, так и с ESNI будет. В чём проблема? Ничему новому не хочешь учиться? Ну иди кодь под win98 и старый линух, а то ведь сколько всего напихали нового за эти десятилетия.
     
  • 4.29, Crazy Alex (ok), 00:20, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уж из браузеров убрать - запросто, хоть и поэтапно
     
  • 4.68, нах (?), 10:54, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > потому что кроме www-браузера если и обычные библиотеки делающее свои дела через tls.

    целых две, не считая форков?
    Ну так одну вон уже... эммм...антимат... отрефакторили!

    > и вот представь себе -- ты хочешь написать утилиту которая делает запрос.

    как и сейчас - тянешь через интуитивно-приятную обертку openssl, ну может - первое время - придется использовать какой-нибудь ее клон, кто у нас там сегодня модно, boring? Вот ее и пользуй. Там еще опасТные протоколы выпилены и сборка под опасТные операционные системы (все что не линукс) поломана, сплошные бонусы!

    Если он не дотянулся до этого дурацкого esni - возвращаешь пользователю БОЛЬШОЕКРАСНОЕОКНО - внутрь можешь что-нибудь из /dev/random процитировать, все равно пользы от этого никакой.

     
  • 4.103, Тузя (ok), 16:55, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не то чтобы я хотел опровергнуть что-то из вами сказанного, просто напомнить, чт... большой текст свёрнут, показать
     
  • 2.17, dimqua (ok), 23:19, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >блокировать DNS-over-HTTPS

    Разве это так уж просто сделать?

     
     
  • 3.22, Xasd (ok), 23:29, 16/07/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >>блокировать DNS-over-HTTPS
    > Разве это так уж просто сделать?

    ну как Телеграм :-)

     
  • 3.42, Аноним (42), 06:03, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то да. Это обычный HTTPS трафик, провайдер его видит шифрованым, ну если не пойти и не перебанить все известные DOH сервера.
     
     
  • 4.93, dimqua (ok), 15:19, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так ведь перебанить _все известные_ DOH сервера невозможно, а блокировать весь https трафик никто не станет в здравом уме.
     
     
  • 5.122, Аноним (122), 21:40, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Станут. Госбезопасность шерифа волнует, а проблемы индейцев - нет.
     
  • 2.27, Crazy Alex (ok), 00:19, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз нормально. Как отладят/внедрят - браузеры для начала станут всё, что такие штуки не реализует, показывать как недоверенный сайт (точнее, сначала так будет происходить для какого-то известного набора, как для HSTS, например). А потом - тупо перестанут работать в несекьюрном режиме без адских плясок.

    Ну а что в Россиях это могут тупо административно побить - так с тем же успехом могут и вовсе шифрование трафика запретить. Это не проблема мейнстримных решений, борьба со свихнувшимися властями - это к даркнетам.

     
  • 2.67, нах (?), 10:46, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > из-за отсутствия популярности инициативы среди сайтов -- Мозилла-и-другие-браузеры НЕ смогут
    > заявить типа "внимание! теперь мы будем работать только с ESNI-сайтами! остальные открываться не
    > будут!"

    мурзила - уже может, полутора оставшимся пользователям уже все равно.

     
  • 2.111, Аноним (111), 19:25, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > провайдеры лишь всего-навсего просто будут:

    * блокировать DNS-over-HTTPS/DNS-over-TLS [ну как минимум популярные серверы].
    * перенаправлять все DNS запросы -- на свой DNS-сервер.
    * вырезать из DNS -- DNSSEC-структуры и _esni-структуры .

    А, кардеры им будут очень благодарны.

     

  • 1.14, xm (ok), 23:13, 16/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вопрос, мягко говоря, перезрел.
     
     
  • 2.31, Аноним (31), 00:36, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Рыба уже давно уже сгнила с головы, они ток задумались.
    Тут бы проблемы DNSSec и антиспуфа порешать в BGP by default...
     
     
  • 3.34, xm (ok), 01:41, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +100500
    Сегодня DNSSEC / DANE + DNS-over-TLS должно стать первоочередной задачей.
     
     
  • 4.94, dimqua (ok), 15:24, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как выше писали, DoT не имеет такого уж большого смысла, если имя хоста передаётся в SNI в открытом виде даже в TLS 1.3.
     
     
  • 5.102, xm (ok), 16:54, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, не вижу где. А, во-вторых, и это главное, не вижу связи.
    На кой, собственно, использовать SNI вместе с DNS-over-TLS?
     
     
  • 6.118, dimqua (ok), 19:58, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не вместе с DoT, а при обращении к сайту по HTTPS, будет передаваться SNI.
     
     
  • 7.126, xm (ok), 22:39, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В DNS-over-TLS внезапно никакого HTTPS нет.
     
     
  • 8.179, Аноним (179), 10:12, 22/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно при установлении TLS соединения со SNI, твой DNS-over-TLS теряет смысл,... текст свёрнут, показать
     

  • 1.36, Аноним (122), 01:58, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да бизнес это никогда не внедрит.

    Вы же видели - Mozilla и Amazon закрыли domain fronting для того, чтобы угодить российскому государству.

    Поэтому никто заморачиваться с детектом и удалением этого шифрованного sni не будет. Поступят гораздо проще. Ведь уже есть закон о передаче ключей шифрования. Соответственно, если на одном сервере с заблокигованным или просто неугодным сайтом размещается сайт с этой байдой, то от него требуется передача ключей шифрования, и сайт блочится.

     
     
  • 2.38, Аноним (37), 02:52, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чушь Бизнесу нет причин это бойкотировать И есть причины это внедрять Ибо ина... большой текст свёрнут, показать
     
  • 2.39, Аноним (37), 02:55, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Поэтому никто заморачиваться с детектом и удалением этого шифрованного sni не будет. Поступят гораздо проще. Ведь уже есть закон о передаче ключей шифрования. Соответственно, если на одном сервере с заблокигованным или просто неугодным сайтом размещается сайт с этой байдой, то от него требуется передача ключей шифрования, и сайт блочится.

    Да, могут и так поехать. Что сказать-то хотел? Могут ещё проще: государственный митм государственным сертификатом, без которого https просто не будет работать. И всё, весь трафик на ладони.
    Но кого волнует Северная Корея, Иран, РФ и Китай? Не для них и не ими это разрабатывается.

     
     
  • 3.89, нах (?), 15:08, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Но кого волнует Северная Корея, Иран, РФ и Китай?

    амазона и гугля, как видите, волнует. самый богатый человек мира потому и самый богатый, что не ленится нагнуться за лишним рубликом довольных россейских потребителей - даже если ради этого надо вышвырнуть со своих серверов какой-нибудь телеграмм, чтоб товарищмайор был доволен.

    это вот клятая корпорация зла дошла в своем зле аж до того, что windows store через mitm proxy не работает никак, никогда и ни при каких настройках. Теряет бабки, да и репутацию среди офисных крыс, но чинить отказывается. А тем временем корпорация добра выпилила из хрома pkp, чтоб товарищмайору было удобнее.
    (а из телеметрии - не выпилила, afaik. Это товар, товарищмайору надо за него заплатить, как все.)

     
     
  • 4.114, DPDKguy (?), 19:29, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >даже если ради этого надо вышвырнуть со своих серверов какой-нибудь телеграмм, чтоб товарищмайор был доволен

    Это весьма непростая медийная история. Если выкидывать, то есть репутационные риски(общественное мнение в США сильное и это выльется в ощутимую потерю денег). Если не выкидывать - недоступность для клиентов в регионе.


    В случае с РКН сыграл факт, что Жаров в санкционном списке.

     
     
  • 5.131, нах (?), 11:22, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Это весьма непростая медийная история. Если выкидывать, то есть репутационные риски(общественное
    > мнение в США сильное

    оно там специфичное - пока не затрагивает сами Штаты, особо ни на что не влияет.

    А у нас: "Egypt, Oman, Qatar, and UAE" (из сигналовского письма скорби) - боюсь, что общество в США слабо представляет, где это и на какой планете.

     

  • 1.41, нона (?), 05:15, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > позволит передавать идентификатор запрошенного хоста в шифрованном виде.

    Нужно. Нужно. Нужно!

     
  • 1.43, Аноним (43), 06:53, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Получается, прокси - как анонимайзеры, так и корпоративные - при таком раскладе идут лесом?
     
     
  • 2.87, Аноним (43), 14:56, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже на то. Я во всяком случае не очень понимаю, как в таком случае прокси будет определять, кому запрос адресован.

    Местные эксперты, по ходу, с ответом слились, но пост на всякий случай заминусовали... а меж тем вопрос вполне здравый.

     
     
  • 3.154, Аноним (152), 23:04, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как это как определять? А айпишник в пакете для чего указан? Вот пусть прокся и шлёт его туда неизменённым, как сейчас и происходит с прозрачными проксями. Зачем им смотреть в SNI, лол? Это не их слой. Ей пришёл IP-пакет, адресованный на ip:port сервера, это всё, что надо знать, чтобы его отправить дальше. А там уже сервер назначения разберётся со SNI/ESNI.
    Вопрос не здравый, а глупый, видимо поэтому проминусовали и прошли мимо.
     
     
  • 4.161, Аноним (43), 10:39, 19/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Как это как определять? А айпишник в пакете для чего указан? Вот
    > пусть прокся и шлёт его туда неизменённым, как сейчас и происходит
    > с прозрачными проксями. Зачем им смотреть в SNI, лол?

    Затем, что прокси еще и для фильтрации трафика используются. Лол.
    В такой ситуации останется только либо пропускать весь шифрованный траф молча, либо блочить все шифрованное "потому что шифрованное".

    > Вопрос не здравый, а глупый, видимо поэтому проминусовали и прошли мимо.

    Нормальный вопрос. Безопасность - это хорошо, только не нужно из=за нее все ломать...

     

  • 1.44, Аноним (44), 07:02, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чего там шифровать? С каких сайтов тянешь ad блоки по текущему гнезду? да уж великий секрет. А если адрес вбил, без dns никуда, вот его скрыть это плюс. А браузеры пусть дальше свои костыли засовывают, скорей накроется этот скриптовый треш.
     
     
  • 2.45, Аноним (37), 07:14, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А если адрес вбил, без dns никуда, вот его скрыть это плюс.

    И какой же в этом плюс без шифрования SNI? Вот скрыл ты днс шифрованием, а всё равно домен палится в открытом SNI. Это бесполезно.
    Решать надо обе проблемы, они напрямую связанны и представляют одну проблему. И это как раз движение к решению.
    Или ты вообще не понимаешь как интернет и веб работает, дружок?

     
     
  • 3.47, Аноним (44), 07:35, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дружок, я про то что реализация веба на сегодня исключительно косячна, эти наработки из прошлого века. Сегодня пользоваться уже почти невозможно. Хотят лечить флаг им
     
     
  • 4.50, Аноним (50), 07:58, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хотят лечить вебом флаг? Какой флаг? И зачем его лечить? Это какой-то молодёжный сленг?

     
     
  • 5.51, Аноним (44), 08:18, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    этому сленгу лет за писят уж. Это вообще моя планета?
     
     
  • 6.60, Ю.Т. (?), 09:30, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Запятые нужно ставить.
     
     
  • 7.62, Аноним (62), 09:55, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "эти наработки из прошлого века. Сегодня пользоваться уже почти невозможно."(с)
     

  • 1.48, Аноним (31), 07:35, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    QUIC шифрует SNI еще надежнее, единственное что там из заголовка можно получить это метку connection-id. И вообще как так вышло, что TLS умеет отдавать заголовок хоста без шифрования?
     
     
  • 2.49, Аноним (49), 07:56, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У лидеров рынка NIH-синдром же.
     
  • 2.53, КО (?), 08:57, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >И вообще как так вышло, что TLS умеет отдавать заголовок хоста без шифрования?

    Сначала не умели. Т.е. идя на сайт по ip X.X.X.X клиент ожидал там сертификат по имени www.yyyyyyy.com. Прокси на сервере никак не могло угадать, а куда ломится клиент. Поэтому https сервера были по одному на ip. И сказали все -это не хорошо. И добавили открытое имя, чтоб сервер мог ответить нужным сертификатом. Догадаться выдать ответ сразу на кучу и клиент бы шифровал нужным, решили, что глупо и несекурно. :)

     
     
  • 3.71, нах (?), 11:18, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    и это была чудовищная глупость Настолько вопиющая, что начинаешь сомневаться, ч... большой текст свёрнут, показать
     
     
  • 4.156, А. Алког (?), 01:59, 19/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Поэтому https сервера были по одному на ip. И сказали все -это не хорошо.
    > и это была чудовищная глупость. Настолько вопиющая, что начинаешь сомневаться, что именно
    > глупость.
    > В тот момент, когда ты шел на одессу, а вышел ты нахрен

    Почему нахрен? Ну на Украину, ну и что сразу так... >:-)

     
  • 3.175, Аноним (179), 00:36, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На шаред хостинге овер 1000 хостов на одном IP. Так каждому клиенту портянку в XX мегабайт на каждый запрос придётся отдавать.
     
  • 2.54, Xasd5 (?), 09:03, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > QUIC шифрует SNI еще надежнее,

    ну и поведай -- как же в QUIC происходит обмен ключами для SNI ?

    точнее говоря -- расскажи -- как происходит противостояние от MitM для фазы SNI ?

     

  • 1.55, Нанобот (ok), 09:20, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni"

    да ну нафиг. лишняя сложность, плюс дополнительная точка отказа

     
     
  • 2.59, Аноним (56), 09:30, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    DNS устарел, HTTP устарел, BGP без BGPsec устарел... Нас нужны новые интернет!!!!!
     
     
  • 3.61, Andrey Mitrofanov (?), 09:46, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Нас нужны новые интернет!!!!!

    https://duckduckgo.com/?q=pied+piper+new+internet
    https://duckduckgo.com/?q=pied+piper+new+internet&iax=images&ia=images

     
     
  • 4.64, Maxim (??), 10:35, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    похоже на какое-то бла-бла
     
  • 4.79, Аноним (-), 13:33, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    whois говорит, что duckduckgo хостится в ирландии, а все мы знаем, что по ирландии фбр ходит как у себя дома, а раз фбр ходит, то и для остальных твои поисковые запросы — не секрет. Особенно c учётом того, что ты не отключил жабоскрипт.
     
     
  • 5.83, Andrey Mitrofanov (?), 14:07, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > whois говорит, что duckduckgo хостится в ирландии, а все мы знаем, что
    > по ирландии фбр ходит как у себя дома, а раз фбр
    > ходит, то и для остальных твои поисковые запросы — не секрет.
    > Особенно c учётом того, что ты не отключил жабоскрипт.

    Айяйяй, Как же мне спрятать мои поисковые запросы, которые я выложил на опенет??  Бида-бида.

     
  • 5.125, Аноним (125), 22:28, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ФБР не работает за границей USA. Ты бредишь.
     
     
  • 6.144, IRASoldier (?), 18:51, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Работает, в тех случаях, когда преступление, разрабатываемое ФБР, предполагает действия преступника/ов, являющегося/ихся гражданином/анами  США с территории вне США - естественно, при согласовании действий с соответствующими органами соответствующей страны. С некоторыми странами заключены помимо общих, по части выдачи и проч. бла-бла еще и партнерские ведомственные соглашения, позволяющие ФБР в определенных случаях действовать в юрисдикции этих стран.
     
  • 6.145, IRASoldier (?), 18:53, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Навскидку по теме - https://ria.ru/society/20051012/41752859.html
     
  • 6.146, IRASoldier (?), 18:57, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Также ФБР может проводить оперативно-розыскные мероприятия за рубежом и в отношении неграждан США, если последние совершили преступления на территории США - опять же, всё упирается в конкретные соглашения.
     
  • 2.112, Аноним (111), 19:28, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какая точка, какого отказа. Без DNS всё равно у вас HTTPS ни.
     

  • 1.65, Аноним (65), 10:43, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    народ не понимает, что это делают не для их безопасности, а для финансовой безопасности неких инет-контор. это натягивание шифрование на все и вся рано или поздно выльется в то, что невозможно(или очень проблематично) будет блокировать непотребный пользователю контент. т.е. как минимум они хотят убрать возможность блочить рекламу на уровне днс и хттп. когда с этим закончат, в браузерах поменяют апи, чтобы невозможно было юзать блокировщики рекламы.
    это нескоро будет, но будет.
     
     
  • 2.70, Аноним (70), 11:14, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Никто тебе не мешает поднять собственный прокси и блочить всё что угодно на уровне DNS и HTTP. Виндовые антивирусы имеют такую встроенную функцию.

    А чтобы недопустить блокировщиков рекламы на уровне API рассширений, надо так сильно его урезать, что возникнут успешные форки браузеров. Возможно, даже возглавляемые некоторыми из оригинальных разработчиков.

     
  • 2.72, Аноним (72), 11:35, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Финансовая безопасность? Лол.
     
  • 2.107, X4asd (ok), 18:28, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > как минимум они хотят убрать возможность блочить рекламу на уровне днс и хттп

    уж не буду говорить про то что ни кто тебе не мешает наложить на исходный код браузера патч (и заметь -- ПАТЧ а не ФОРК).

    вместо этого скажу -- ни кто тебе не запрещает НЕ ПОСЕЩАТЬ сайты реклама на которых тебя раздражает.

     
  • 2.113, Аноним (111), 19:28, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А не похер бы, если всем это в плюс?
     

  • 1.75, Cradle (?), 12:02, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Хорошая штука, если действительно вбедрится и будет стабильно работать. Но Боже, сколько соплей в комментах - эти люди не въезжают что SSL/TLS это уже давно не про HTTPS, а про те новые протоколы вроде MQTT на которых сейчас "умная" электроника вертится и её сейчас будет всё больше и больше, и там вы как пользователь/потребитель на вашу безопасность сами повлиять не можете, если разработчик за вас не позапотился. И государству как раз весь этот траффик вполне по барабану, а вот всяким "хацкерам", реальному криминалу и всяким биг-дата-социнженерам очень даже интересен.
     
     
  • 2.78, Аноним (78), 13:28, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > а про те новые протоколы вроде MQTT

    где там sni и зачем он нужен умному дому ("ключи от всего у кого-то поумнее чем хозяин" (c)  ?

     
     
  • 3.81, Cradle (?), 13:41, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    серьёзные IoT сейчас работают с облаком через SSL/TLS, SNI необходим чтобы трафик между нодами балансировать
     
     
  • 4.82, Cradle (?), 13:51, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в том смысле что заточенное под IoT облако обеспечивает N сервисов (виртуальных хостов) с М нод, и всё это нужно правильно балансировать.
     
  • 4.91, Аноним (78), 15:15, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вы что-то пургу несете. Какой именно промышленный балансер работает на основании такой ерунды как sni, чтоб не вляпаться ненароком?

    И что мешает вместо этого использовать банальный dns по его прямому назначению - у вас в ipv6 снова недостаточно адресов?

     
     
  • 5.95, Cradle (?), 15:34, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    может здесь лучше объяснят: https://aws.amazon.com/de/blogs/aws/new-application-load-balancer-sni/
     
     
  • 6.100, Аноним (78), 16:22, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нет, здесь не лучше - у них sni используется по прямому назначению, чтобы напиха... большой текст свёрнут, показать
     
     
  • 7.104, Cradle (?), 17:02, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    именно по тому же назначению организующая свое облако компания или арендующая ... большой текст свёрнут, показать
     

  • 1.80, Ivan_83 (ok), 13:40, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    "DNS-over-HTTPS или DNS-over-TLS" - АНБ радо.
    Оно и будет держать под колпаком те несколько таких серверов.
    А то они было запереживали что отдали совсем контроль за инетом в виде ICANN, а теперь они ещё и DNS сделают чтобы только через них работал, и смогут выключать инет любому когда захотят.
     
     
  • 2.96, dimqua (ok), 15:35, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Потихоньку растёт число DoH/DoT серверов от энтузиастов из разных стран.
     
     
  • 3.98, Ivan_83 (ok), 15:41, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А ты прямо вот так доверяешь всем незнакомцам на улице ключи от хаты?
     
  • 2.105, xm (ok), 17:16, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что, вы таки уже внедрили свою альтернативу DNS, как водится, с блекджеком и шлюхами?
     
     
  • 3.106, Ivan_83 (ok), 17:58, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Мне не требуется скрывать факт обмена информацией с сайтами.
    А если потребуется я воспользуюсь тором или и2п, а не будут фигнёй страдать.
     
     
  • 4.108, xm (ok), 18:33, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё один "честный человек" которому "нечего скрывать".
     
     
  • 5.109, Ivan_83 (ok), 18:56, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не так Все эти навороты излишни и бессмысленны У меня свой unbound но я не вкл... большой текст свёрнут, показать
     
     
  • 6.120, Cradle (?), 20:42, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Все эти навороты излишни и бессмысленны

    вспомните об этом пожалуйста когда станете покупать какие-нибудь радио-включаемые розетки или настольные лампы с доступом со смартфона, управляемые со смартфона и голосом электро- жалюзи на окна, вентиляторы, регуляторы отопительных батарей, мотор для гаражных ворот, может ещё какой гаджет из списка "Device modules" на https://fhem.de/commandref.html (хотя там на fhem всё устаревшее на пару лет). Это всё ведь  реально становится так удобно, когда всю старую и новую домашнюю электронику можно включать не вставая, со смартфона, который и так всегда в кармане,  правда? Или там уходя из дома статус посмотреть, не забыли и чего?
    И как вы на всю эту разнородную мелочь свой tor пихать будете?

     
     
  • 7.132, нах (?), 11:35, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > вспомните об этом пожалуйста

    я об этом каждый раз вспоминаю, когда выясняется, что еще один поставщик модулей для x10 кончился.

    Но нет, оборудования, зависимого от чужих клаудов, в моем доме не будет никогда.

    (в том числе, кстати, потому что уже были истории, как людям приходилось выковыривать шибкоумные розетки, регуляторы, водяные вентили и прочее, что нельзя вот так просто и быстро заменить, потому что производитель контроллера внезапно взял и закрыл свой сервис - а контроллер без него ни чихнуть, ни пёрнуть не может)

     
  • 7.139, Ivan_83 (ok), 13:13, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я такой хлам никогда не куплю, разве что на запчасти.
    У меня даже смарт телеку инет запрещён, потому что задрал ставить виджеты вендора.
    И это ещё старый смарт тв, без камеры и микрофона.

    В остальном, у меня маленькая квартира а я пока здоровый человек, поэтому мне проще встать, подойти и вкл/выкл, чем дрюкать пальцем в экран. Вот пду от телека и вентилятора удобно - можно даже глаза не открывать, а сенсорный экран - отстой.

     
     
  • 8.143, нах (?), 17:52, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    не зарекайся, не зарекайся телек-то еще может работать без интернета А эти хом... текст свёрнут, показать
     
     
  • 9.147, Cradle (?), 18:59, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    это всётаки как-то больше у маркетологов и продуктманагеров мозги так заточены, ... текст свёрнут, показать
     
  • 4.135, товарищ майор (?), 12:42, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А если потребуется я воспользуюсь тором или и2п

    правильно, чтобы мы сразу увидели, что к тебе надо заглянуть на огонек.

    Весь смысл избавления от sni, если ты не понял, был (бы, если бы я не нажал кое-какие рычажки) именно в том, что невозможно нормально отличить, котиков ты смотришь, как предыдущие десять лет что мы за тобой наблюдаем, или тебе уже потребовалось заниматься вредной антигосударственной деятельностью.

     

  • 1.84, Аноним (84), 14:10, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И как они представляют себе работу виртуальных хостингов в таких условиях?
     
     
  • 2.174, Аноним (179), 00:34, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Элементарно. Вывешивается фронтинг, далее балансер как анализировал SNI, так и продолжит.
     

  • 1.85, Legushatnic (?), 14:38, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Без SNI тоже можно понять что там хостят, отсутствие SNI не панацея. ISP будет анализировать по IP.
     
     
  • 2.92, товарищ майор (?), 15:16, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    понять можно, пришить к делу нельзя.

     
  • 2.97, dimqua (ok), 15:37, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сколько сайтов висит на одном IP от cloudflare? :-)
     
     
  • 3.110, Аноним (110), 18:59, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    MITM от FSB не проблема.
     
     
  • 4.150, Аноним (-), 22:42, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > MITM от FSB не проблема.

    Истеричный государственный бомбеж Телеграма говорит как раз об обратном.
    Если бы не было проблемы, то просто прослушивали бы, и все.

     
  • 2.116, DPDKguy (?), 19:34, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нуну ) А дальше alt-svc quic="www.example.com:443";

     

  • 1.99, Аноним (74), 15:53, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот единственное, что реально во всём этом пугает - всё нарастающая сложность. На старые бородатые технологии все накручивается и накручивается слоями, будто матрешку пакуют. Я понимаю, что обратная совместимость. Но сложность - это плохо
     
     
  • 2.124, Аноним (124), 22:02, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    +1. Невозможно доверять технологии слишком сложной для понимания.
     
     
  • 3.127, Аноним (74), 22:44, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    доверять причём во всех смыслах. Даже если делали без закладок, в сложной куда выше шанс непреднамеренной ошибки, просто из-за сложности
     
  • 3.159, Аноним (111), 09:01, 19/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В чём сложность? В необходимости прочитать один public key с DNS?
     
  • 2.133, нах (?), 11:40, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я понимаю, что обратная совместимость.

    о чем вы, я вас умоляю? Никому обратная совместимость не нужна в современном мире.
    У вас все равно может быть только самая распоследняя версия браузера и самая распоследняя версия чегонибудьssl, иначе вы полезете на мой ценный хомячок по неправильному tls <1.3-драфт-еще-не-дописали протоколу, и он вас не пустит (и даже не потому что я принципиальный козел, а потому что докер-образ обновился)

    > Но сложность - это плохо

    вам - плохо, товарищмайору - неплохо.

     
     
  • 3.137, Аноним (137), 13:01, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Никому обратная совместимость не нужна в современном мире.

    Ага, а почему тогда почему нельзя спроектировать протокол с нуля, без реликтов истории? Ведь вы же говорите, что не нужна обратная совместимость.

    Под низом любого tls всё равно лежит старый добрый http, и никто движок браузера на рендеринг чего-то ещё переписывать не будет. А tls сам лежит под старым добрым tcp, ну и т.д. Обратная совместимость правит миром!

    > вам - плохо, товарищмайору - неплохо.

    Да что вы со своим майором всё время, как будто ему делать нечего как вот за вами персонально следить. Кроме майора есть ещё много всяких субъектов и факторов.

     
     
  • 4.142, нах (?), 17:48, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, а почему тогда почему нельзя спроектировать протокол с нуля, без реликтов истории?

    можно, там выше в теме есть пример.
    Просто мозила не хочет, а вам не дадут (спроектировать дадут, не дадут возможности широко распространить)

    > Под низом любого tls всё равно лежит старый добрый http

    ой...

     

  • 1.101, Аноним (101), 16:41, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > необходимо знать закрытый ключ клиента или сервера

    А который из серверных ключей, если имя сервера клиент ещё не указал?

     
     
  • 2.115, Аноним (111), 19:33, 17/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Имеется в виду пара к esni public.
     

  • 1.117, Аноним (111), 19:35, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Но вот для всяких автаркий типа известных "блокировщиков" телеграма это будет реально не eSNI, а soSNI. И это радует.
     
  • 1.134, Аноним (134), 12:04, 18/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для отбитых идиотов поясняю:

    1. Кто хотел что-то скрывать - давно скрывает и делает это успешно и тихо, а не как идиот Дуров, который зачем-то мазолит глаза органам своими публичными заявлениями.
    2. Как сотрудник провайдера истинно не понимаю чему тут школьники и идиоты радуются - данное нововведение приведёт только к ухудшению ситуации с блокировкой по спискам РКН. РКН, думается мне, тупо будет блочить по ip в этом случае. Кто пострадает? Мы же. Чему вы радуетесь, болезные?

     
     
  • 2.136, нах (?), 12:47, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Для отбитых идиотов поясняю:

    бестолку. Тут и условно-вменяемые радуются, пляшут и поют... :-(

    и очень навряд ли Дуров - идиот, у идиота не может быть овер2k BTC не считая прочего нажитого "честным трудом" бабла. Скорее он работает ровно на тех же прекрасных людей, вполне сознательно. Вот насчет Жарова есть сомнения.

     
     
  • 3.138, Andrey Mitrofanov (?), 13:11, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и очень навряд ли Дуров - идиот, у идиота не может быть
    >Скорее он
    > работает ровно на тех же прекрасных людей, вполне сознательно. Вот насчет
    > Жарова есть сомнения.

    И этот оже работает.  И тоже на прекрасных людей.  Цветы цветут, какие сомнения-то?

     
     
  • 4.141, нах (?), 17:45, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И этот оже работает.  И тоже на прекрасных людей.

    этот может быть искренне верующим, такое случается. В отличие от того, который с 2k BTC - так точно не бывает.

     
  • 2.151, Аноним (111), 22:55, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пусть "блочит по IP". Подмена адресов в "заблоченных" доменах очень быстро отучит от сего действия.
     
     
  • 3.153, Аноним (111), 22:58, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и общий эффект от таких "блокировок" будет уже приличным. Не вижу особой беды, если эти блокировки превратятся в полное дерьмо.
     
  • 3.160, Andrey Mitrofanov (?), 09:28, 19/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Пусть "блочит по IP". Подмена адресов в "заблоченных" доменах очень быстро отучит
    > от сего действия.

    Не отучила.  Они уже составили белый список из 3-ёх IP, президент.ру, 127.0.0.1 и их хост раздачи блокировок.  Теперь всё работает[I]!

     
     
  • 4.173, Аноним (179), 00:33, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так это вообще отлично.
     
  • 3.165, Аноним (134), 10:32, 20/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Пусть "блочит по IP". Подмена адресов в "заблоченных" доменах очень быстро отучит от сего действия.

      Да ничему не научит. Есть решение суда, есть запись в реестре РКН согласно этому решению. Нет на данный момент процедур, которые бы быстро этот ip от туда убрали на основании того, что "там блокируется ещё куча всего невинного". Страдать будут пользователи. Надо просто понимать элементарные особенности работы законов и т.п. Вот что бы такого не было было хотя бы SNI - теперь не будет. Судьи, вообще, ни разу не подкованы технически. Даже близко. Они выносят решение на основании имеющихся бумаг и есть ли техническая возможность блокировать именно этот ресурс без вреда для других на том же ip, они понятия не имеют. Блокируй и всё.

     
     
  • 4.171, Аноним (179), 00:30, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и отлично. Нет, так нет, значит будете стрелять себе в ногу до упора.
     
  • 4.172, Аноним (179), 00:31, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Половые проблемы конкретной гондурасии - не повод всем остальным зацикливаться на этих самых половых проблемах. Мир двигается вперёд, не желающие - остаются.
     
  • 2.155, Аноним (152), 23:16, 18/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты чё в спячке был последние 4 месяца? Почти 20 миллионов айпишников было в блокировке. Именно айпишников, диапазонами тупо. Никаких доменов. И блочились они по айпишникам, независимо от SNI. И до сих пор не все провайдеры имеют DPI. А ещё парадокс в том, что весь трафик провести через DPI могут себе позволить только мелкие провайдеры, а крупные нет. Послушай Кулина https://www.youtube.com/watch?v=YccwFWiSryY
    И до сих пор 3 миллиона айпишников амазона заблокированы. Что ты несёшь, болезный? Хуже не будет.
     
     
  • 3.163, нах (?), 11:39, 19/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А ещё парадокс в том, что весь трафик провести через DPI могут себе позволить только мелкие

    дружище, ну а тебе-то зачем зарплату платят?

    Тебе надо детально разжевать, что нужен вовсе не "весь", и даже не 1/10 его часть?

    Саботажник ты хренов, надо на тебя товарищмайору накапать, глядишь, мне скидка выйдет...

     
  • 3.166, Аноним (134), 10:43, 20/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты чё в спячке был последние 4 месяца? Почти 20 миллионов айпишников было в блокировке. Именно айпишников, диапазонами тупо. Никаких доменов. И блочились они по айпишникам, независимо от SNI.

      Ты мне-то не рассказывай :-). Я это своими глазами видел :-).

    > Хуже не будет.

    А-ха! Откуда вы, такие оптимисты, берётесь?.. Поверь - будет. Если SNI превратиться в тыкву, блокирование 20 миллионов ip покажется тебе сказкой.
      Сейчас:

    Entries count: 108565
    blockType default: 44235
    blockType domain: 59570
    blockType ip: 1924
    blockType ipSubnet: 26
    blockType domain-mask: 2810

      Если SNI сгинет, то 59570 доменов превратятся в ip/ipSubnet тип блокировки. Сам догадаешься что получится?

     
     
  • 4.167, Аноним (134), 10:44, 20/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Забыл туда ещё добавить domain-mask 2810, которые тоже в перспективе станут ip/ipSubnet.
     
  • 4.170, Аноним (179), 00:29, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Охеренно получится. Может хоть до кого-то дойдёт, что масштабные блокировки - зло.
     
  • 4.178, Аноним (178), 18:20, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если SNI сгинет, то 59570 доменов превратятся в ip/ipSubnet тип блокировки. Сам догадаешься что получится?

    Что же получится? 60-100-300 тысяч айпишников добавятся в блокировку? Ух, как страшно. Когда там 3 миллиона крупнейшего облака по сей день. Это капля в море, даже заметно не будет. Напугал ежа голой жопой.
    20 миллионов сравнятся только с 30 миллионами. Не надо запугивать, товарищ майор, мы за шифрование SNI.

     
  • 3.168, Аноним (134), 10:46, 20/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А ещё парадокс в том, что весь трафик провести через DPI могут себе позволить только мелкие провайдеры, а крупные нет.

    :-D Парадокс в том, что мелкие себе просто DPI позволить не могут :-). Крупные как раз таки норм. У них бабла навалом.

     
     
  • 4.177, Аноним (178), 17:54, 21/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это не так. DPI приходится покупать всем. И как говорится в видео выше, мелкие провайдеры купили DPI на 10-15 гбит, и пускают туда все свои 10 гбит. Крупным как раз не норм, у них трафика навалом и это очень дорого для них.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру