Компания Cloudflare сообщила (https://blog.cloudflare.com/esni/) о реализации (https://blog.cloudflare.com/encrypted-sni/) в своей сети доставки контента поддержки TLS-расширения ESNI (https://datatracker.ietf.org/doc/draft-ietf-tls-esni/?includ... (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.
До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет (https://www.eff.org/deeplinks/2018/09/esni-privacy-protectin... добиться полной конфиденциальности при применении HTTPS.ESNI устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ESNI даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса. Системы инспектирования трафика будут видеть только обращения к CDN и не смогут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. Возможным каналом утечки остаётся DNS, но для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS (https://www.opennet.dev/opennews/art.shtml?num=49271) или DNS-over-TLS (https://www.opennet.dev/opennews/art.shtml?num=48443).
На стороне клиента экспериментальная поддержка ESNI реализована в ночных сборках Firefox, а также в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (https://github.com/h2o/picotls) (используется в http-сервере h2o). При использовании ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое поля server_name зашифровано. Для шифрования используется секрет (https://ru.wikipedia.org/wiki/SSL#%D0%90%D1&#... вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.
URL: https://www.eff.org/deeplinks/2018/09/esni-privacy-protectin...
Новость: https://www.opennet.dev/opennews/art.shtml?num=49325
Скрываясь от одних сливаем всё другим
)
1. Кому же тут сливать стали, дружок? Кто не хотел пользоваться CF, тот так и продолжит. ESNI никак на них не завязано. Арендуй сервер на любом облаке или хостинге, запиливай поддержку и никаким человекам посередине, вроде CF, не сливай ничего. А тот, кто сливал, прекрасно делал это и без ESNI. То же самое с dns-over-something. Раньше хомяки сливали запросы и гуглу, и всем по дороге. Сейчас будут сливать cloudflare/google, но никому по дороге. Стало хуже? Нет. Стало лучше? Да.
2. И что же плохого в том, чтобы слить кому-то вместо тебя, товарищ майор?
"Кто не хотел пользоваться CF, тот так и продолжит"
кто тебя спрашивать-то будет?> Арендуй сервер на любом облаке или хостинге
и тебе в пень не уперся sni.
Но ходить ты будешь сам к себе.А весь world wide веб как был за клаудфлейрью, так и останется, только теперь еще туда пойдут те, кто наивно думают, что лучше всех спрятались, а не только те, кто фронтенд настраивать не умеют, как раньше.
> Стало хуже? Нет. Стало лучше? Да.
стало хуже - появилась очередная оверинжиниренная хрень вместо банального предоставления пользователю возможности видеть, куда он пришел на самом деле вместо нужного ему сайта и решать самому.
> И что же плохого в том, чтобы слить кому-то вместо тебя, товарищ майор?товарищ майор говорит что ничего плохого, диски у него не резиновые, каналы тоже, обрабатывать на национальном скрепопроцессоре ель-брус долго и муторно, ему проще купить у cloudflare готовое, деньги-то он заплатит - твои.
> кто тебя спрашивать-то будет?А ты с позиции юзера что ли смотришь? Так в чём проблема тогда? Не ходи на такие сайты, иди на свои маргинальные. Можешь обмазаться автоматической блокировкой, диапазоны CF известны: https://www.cloudflare.com/ips/
А если ненавистные движуки заполонили весь веб, то уйди из веба, бедняга.
> и тебе в пень не уперся sni.Чего это? Чукча не знает, что отправка sni не зависит от сервера? Её браузер посылает, в самом первом ClientHello, даже если ты один хостишься на этом айпишнике.
> Но ходить ты будешь сам к себе.Т.е. у тебя нет посетителей? Или они разбегутся от наличия/отсутствия ESNI? Что?
> а не только те, кто фронтенд настраивать не умеют, как раньше.Что несёшь вообще? Как неумение соотносится с CF? Его юзают за халявную либо более дешёвую защиту от ддосов, чем можно сделать самим. Забашляй всем, будет своё.
> стало хуже - появилась очередная оверинжиниренная хрень вместо банального предоставления пользователю возможности видеть, куда он пришел на самом деле вместо нужного ему сайта и решать самому.И кто же тебе юзеру видеть? У тебя совсем каша в голове? Путаешь гуглоинициативы с адресной строкой в хроме со стандартами IETF по сетевым протоколам?
Или ты хочешь показывать юзеру айпишник и его принадлежность прямо в браузере? А оно ему надо? Пиарь расширения, есть такие.
>> кто тебя спрашивать-то будет?
> А ты с позиции юзера что ли смотришь? Так в чём проблеману да, у меня-то *мой* сайтик откроется и без sni, у меня ip'шники дешевые, могу себе позволить не экономить (ну или нажать галочку "да, я _точно_ знаю чей это сертификат, дура, от...сь").
Напоминаю, что имя сайта и так прекрасно передается http-протоколом, в шифрованном, если внутри https, виде, и для работы не нужно - оно нужно потому, что производители браузеров - альтернативно одаренные, и стараются низвести до своего уровня и окружающих тоже.> Её браузер посылает, в самом первом ClientHello, даже если ты один
вот эту функциональность, привнесенную рукожопами в попытках сделать всем щастье, и надо было удалить, а не накручивать поверх нее вредный и опасный криптомусор. Впрочем, его поди клаудфларь и спонсировала.
> Что несёшь вообще? Как неумение соотносится с CF? Его юзают за халявную
> либо более дешёвую защиту от ддосов, чем можно сделать самим. Забашляйкому ты нужен, админ локалхоста, ддосить тебя? Твои полтора посетителя тебя ддосить не будут, они просто шесть раз нажмут релоад, затрахавшись ждать отклик, и ты сам ляжешь. Именно таких "ддосов" и боятся любители бесплатной помойки. Остальное - редкие исключения.
> И кто же тебе юзеру видеть? У тебя совсем каша в голове?
каша в голове - у тебя. Точнее, гуанецо с лопаты, которое ты привык жрать от своих любимых гуглезиллы настолько, что думать разучился напрочь.
> Или ты хочешь показывать юзеру айпишник и его принадлежность прямо в браузере?
я хочу показывать юзеру член во весь экран, с надписью что тебя все равно поимеют, так что не суетись и расслабь булки.
А сам - видеть неназойливое предупреждение, что сайт на который я зашел по оверсекьюрнейшему протоколу так что ни один майор не может (три хаха) угадать на какой - принадлежит не только конторе рога и копыта, но и еще кому-то левому, и никакая секьюрность тут невозможна в принципе.
Отсутствие ненужного ненужно мне это как раз и обеспечивает.
> > Её браузер посылает, в самом первом ClientHello, даже если ты один
> вот эту функциональность ... и надо было удалитьЕсли на айпишнике крутится один сайт, то я честно говоря не вижу принципиальной разницы - посылать имя домена в ClientHello открыто, зашифровано или не посылать вообще.
Ведь если на определённом айпишнике крутится только один сайт, то найти по этому айпи доменное имя для товарища майора не составит особого труда. Нужна лишь база со всеми доменными именами (хотя бы второго уровня) + IP.
Тут даже проще получается, не надо ковырять TLS-протокол, достаточно данных из TCP/IP.
> Если на айпишнике крутится один сайт, то я честно говоря не вижу принципиальной разницы -
> посылать имя домена в ClientHello открыто, зашифровано или не посылать вообще.вообще-то разница есть - товарищмайор может и вовсе не увидеть, что там - поскольку ни урла твоего не знает, ни авторизации.
И зайдя по твоему горячему следу туда же - получит только котиков.> Ведь если на определённом айпишнике крутится только один сайт, то найти по этому айпи доменное
> имя для товарища майора не составит особого труда.1.2.3.4.automatic.reverse-dns.net ;-) Ну или SERVFAIL (превед, cloudflare!)
Но даже зная имя - что толку-то? Ты ж не знаешь, что тебе там в ответ выдают то же самое или другое.А внедренный агент тебя и так сдаст, с нотариально заверенными скриншотами, тут товарищмайору и стараться не надо.
но речь же о cloudflare. Вот и был бы там - ssl509450.cloudflaressl.com. Сплошная польза - товарищ майор все равно видит хрен, без всяких сложных сомнительного качества наворотов, а ты видишь, что вообще-то тебя могут видеть, пусть не товарищи, а господа, и, возможно, воздержишься от неосторожных движений.
"(ну или нажать галочку "да, я _точно_ знаю чей это сертификат, дура, от...сь")."
Вы наверное и в интернет-банке такое нажмете.
> "(ну или нажать галочку "да, я _точно_ знаю чей это сертификат, дура,
> от...сь")."
> Вы наверное и в интернет-банке такое нажмете.мальчик, ты совсем дурачок? Твой интернет-банк давно за клаудфларью, и тебе даже галочку нажать не предлагают - просто верь, и не думай, головку перетрудишь - авторы единственно-верного браузера уже за тебя позаботились о твоей безопасТности.
host i.bspb.ru
i.bspb.ru has address 213.172.3.230whois 213.172.3.230
role: MegaFon Network Operation Center
address: North-West branch of OJSC MegaFon
address: 10, Karavannaya street
address: Saint-Petersburg, Russia, 191011
phone: +7 812 329 9090
fax-no: +7 812 329 9003
abuse-mailbox: abuse-mailbox@megafon.ru
remarks: trouble: --------------------------------------------------
remarks: SPAM and Network security: abuse-mailbox@megafon.ru
remarks: Technical questions: gnocwest_tr@megafon.ru
remarks: Routing and peering: gnoceast_backbone@megafon.ru
remarks: Information: http://www.megafon.ru
remarks: trouble: --------------------------------------------------
admin-c: ASIM1-RIPE
admin-c: NATS-RIPE
admin-c: MFON-RIPE
tech-c: AM15525-RIPE
tech-c: ET2107-RIPE
tech-c: KB302-RIPE
tech-c: TIMP-RIPE
tech-c: FS1768-RIPE
tech-c: AA10300-RIPE
tech-c: MFON-RIPE
nic-hdl: DTD1-RIPE
mnt-by: PSTAR-MNT
mnt-by: MEGAFON-RIPE-MNT
mnt-by: MEGAFON-GNOC-MNT
mnt-by: MEGAFON-WEST-MNT
created: 2001-11-27T07:58:31Z
last-modified: 2018-08-28T02:28:05Z
source: RIPE # Filtered% Information related to '213.172.3.0/24AS24913'
route: 213.172.3.0/24
descr: Bank Saint Petersburg PLC
descr: St.Petersburg
origin: AS24913
mnt-by: PSTAR-MNT
created: 2008-12-26T12:27:06Z
last-modified: 2008-12-26T12:27:06Z
source: RIPEУточните, пожалуйста, где здесь находится cloudflare?
Мне кажется Вы не того человека дурачком называете.
> Напоминаю, что имя сайта и так прекрасно передается http-протоколом, в шифрованном, если внутри https, виде, и для работы не нужно - оно нужно потому, что производители браузеров - альтернативно одаренные, и стараются низвести до своего уровня и окружающих тоже.Лол, ты вообще не понимаешь, о чём говоришь. Про модель OSI слышал? Что такое https знаешь? Это http в tls, и это два разных уровня. В http (включая https) домен конечно есть, но это самая завершающая часть. Как же происходит это самое шифрование http протокола? Может быть через молитву?
Тебе рассказать на пальцах, как школьнику? После установки TCP соединения к какому-то IP, нужно организовать шифрование по TLS. И сюрприз: на этой стадии тот айпишник не знает, на какой домен посетитель хочет, ведь http-заголовки ещё не отправлены, ибо шифрование не установлено. Как же ты решишь эту проблему, при этом не придя к ограничению один IP = один сертификат? Только сообщая домен и на стадии TLS-хендшейка тоже. И тут возникает проблема открытости. Пока она не была основной, ибо 30 лет DNS голым текстом бегал, но теперь ожидаемо взялись за оба конца и решают.
Есть другие предложения? Выкладывай, посмеёмся.
И вот эти люди кого-то из себя строят, классика. Сидите в своей сфере, в которой разбираетесь. Не лезьте со своими смешными заявлениями про веб. Он-то конечно говно, но вам откуда знать? Про капчу и жирные сайты можете жаловаться, но не лезьте глубже.
малыш, я, видишь ли, не то что "слышал" про любимую тобой модель osi, но и знаю, что это - попытка отбить бабло за невзлетевшую (совершенно не модельную, а предназначенную для реальной эксплуатации поближе к местам распила госзаказов) сеть, не имеющую ничего общего с интернетом (ну ок, она нам оставила еще isis, лучше бы, правда, не)- продукт кабинетных теоретиков, вчистую проигравших практикам. Над тобой третий день, кстати, ржет башоргру.примерно такова же ценность всех остальных твоих познаний в предмете. Книжки теоретиков прочитаны, молодец, садись, троечка. На четверочку надо еще понимать, как эти теории работают на практике и работают ли вообще. На пятерку - уметь думать. Например, почему даже если изменить протокол (имеющий аж полторы реально используемых реализации, поэтому особой проблемы бы в этом не было) так, чтобы он позволял пересогласование сертификатов, толку от этого уже никому не будет.
да, 1 ip = 1 сертификат. Возможно - с altnames. Второй на том же ip означает, что мы имеем дело либо с mitm, либо с shared hosting, и все ключи, пароли и сертификаты доступны массе неопознанных людей. Тем и отличаются реальные сети от теоретических. Траффик все еще зашифрованный, что может быть хорошо, а может и не очень, а безопасности уже в помине нет. Но ты спи, спи спокойно, ты ж читал стандарт osi и еще много ненужных букв. cloudflare заботится о твоей безопастности, как можно им не верить.
> Кто не хотел пользоваться CF, тот так и продолжит.Попробуй отказаться от использования _всех_ сайтов, использующих Cloudflare, а потом говори.
Минутку. Я правильно понимаю, что на роутере станет крайне осложнительно блокировать рекламу?
> Скрываясь от одних сливаем всё другимНе мы такие, жизнь такая. ISP пытающиеся работать в стиле агентов похоронных агенств, когда человека еще только живого в скорую положили, а у родственников под дверью уже очередь предлагающих похоронные услуги - сами понимаете, их всех очень хочется взять и уе...
Отлично. Потому что ESNI-запись в DNS может опубликовать каждый для собственных серверов, а поддержка в софте теперь появится очень быстро.
Все. Сидишь на cloudfare - в России недоступен.
Невелика потеря
Сайты отключают эту централизованную службу слежки и децентрализованный интернет снова.
> Сайты отключают эту централизованную службу слежки и децентрализованный интернет снова.А столица в Васюки уже переехала? Сайты сразу после этого самого обещались.
> Все. Сидишь на cloudfare - в России недоступен.И кого это будет колыхать? Спутник и кремлинру? Россияне нищая и жадная аудитория - будешь кремлин читать, ну и хватит с тебя. Таким как ты ничего слаще первого канала не положено.
В Роскомнадзоре радостно потирают руки, ведь теперь есть повод заблокировать большую часть Интернета.
Будто раньше они этого избегали. https://roskomsvoboda.org/13108/
> 34% из всех IP-адресов, находящихся в реестрах запрещенных сайтов принадлежат именно CloudFlare.Не говоря уже об эпопее с телеграмом, амазоном и другими облаками. Товарищ, не надо сказкок про то, что будет хуже. Механизм блокировок изначально идиотский.
> Механизм блокировок изначально идиотский.В смысле надо как в Китае или сразу как в Штатах? (см. случай Алекса Джонса или того же Ассанжа)
Джонсу запретили дежрать собственный никому ненужный сервер? Или может заблокировали роспозором?А, нет - он занимался на чужих серверах пропагандой против владельцев этих серверов. Миша, ты уже выпилился из модераторов, я надеюсь?
> А, нет - он занимался на чужих серверах пропагандой против владельцев этих
> серверов. Миша, ты уже выпилился из модераторов, я надеюсь?Стоп, демократия же, glasnost', не? А у нас тирания и деспотия (ц) весьмир(tm), не дождётесь.
PS: для безальтернативно бездарного автора безвременно почившего #68: "а у нас..."
Так это, почему тогда Джонс продолжает вещать, пусть и с других ресурсов, а, например, Стомахин сидит?
> Так это, почему тогда Джонс продолжает вещать, пусть и с других ресурсов,
> а, например, Стомахин сидит?Это тот медиапособник басаевских анижедетей? Тогда каков вопрос, таков и ответ.
Потому что антисемит -- призывы вида "еврейство России должно взяться за оружие" уже проходили в 1905, получили повсеместные погромы.
Я даже не знаю, что бы с ним стало в штатах по аналогичной траектории -- возможно, тихо бы исчез, как немало участников Occupy Wall Street -- но такое убил бы своими руками и спал спокойно, вымыв их с мылом.
PS: если кто удивится -- почитайте про казус Штрейхера, что ли.
> как немало участников Occupy Wall StreetКто конкретно исчез?
>> как немало участников Occupy Wall Street
> Кто конкретно исчез?Сейчас в разумное время не нашёл по припоминавшимся ключевым словам, мой косяк.
Ладно, претензия была про "сидит". Задерживали тамошних любителей помайданить сперва десятками, потом сотнями. Первая попавшаяся посидевшая Cecily McMillan устроит?
> потом сотнямиВот как начнут сажать тысячами, как на недавних митингах, тогда и приходите.
> Первая попавшаяся посидевшая Cecily McMillan устроит?
Вот когда будут сажать, за что, что мимо митинга проходил, тогда и приходите.
>> потом сотнями
> Вот как начнут сажать тысячами, как на недавних митингах, тогда и приходите.Вы ещё квоту на "убивать до десяти тысяч" (штатовская украм, 2014) предложите критерием.
>> Первая попавшаяся посидевшая Cecily McMillan устроит?
> Вот когда будут сажать, за что, что мимо митинга проходил, тогда и приходите.Так примерно за то и посадили -- несла пачку бумаги, неловко повернулась, всё такое.
> Так примерно за то и посадили -- несла пачку бумаги, неловко повернулась, всё такое.А вы хотели чтобы в большом государстве с миллионами народа полиция бы вообще никогда не косячила? Так не бывает.
А давайте еще на кое-что посмотрим? Вот например американское государство не считает зазорным проигрывать суд своим гражданам. И даже более того - можно навскидку найти кучу примеров когда государство признало косяк и выплатило солидный куш. А вот для российского государства припомнить примеры когда оно заметило свои косяки, исправило, и еще и компенсировало свои фокусы необоснованно пострадавшему... в общем совсем другая культура. Общества, индивидов, управленчества, и вообще. Одни лепят отмазки и рассказывают где кого линчуют. Другие делают из факапов выводы и работают над ошибками. Угадайте, кто где в этом описании.
И как же в штатах?
На Джонса подали в суд за оскорбление чувств гей-лягушек?
> На Джонса подали в суд за оскорбление чувств гей-лягушек?Википедию почитать за тебя?
"Нестабильный" борец с заговорами, религиями и иммигрантками, которого за "hate speech" _исключили_ из _инклюзивного_ "сообщества PayPal" и попёрли со всех и всяких тамошних вконтактиков.
Миша старательно подбирал... себе компанию?
Тут усиленно пытаются внушить, что там тоже что у нас. А, оказывается, что Джонс не только не сидит по 282, но его сайт даже не заблокирован американским Роскомнадзором.
> Тут усиленно пытаются внушить, что там тоже что у нас. А, оказывается,
> что Джонс не только не сидит по 282, но его сайт
> даже не заблокирован американским Роскомнадзором.я и говорю - безобразие полное. Сделали на своих сайтах ровно то же самое, чем Михаил занимается на опеннете, причем такие же местные михаилы, которым даже не за державу, а за банального гугля обидно, отнюдь не NSA с FBI, которым почему-то не пришло в голову ни посадить автора за неправильные лайки, ни хотя бы его зобанить тотально, как у нас принято. Куда только г-н майор смотрит?
Причем его заявы были далеко не безобидными и, мягко говоря, не особенно-то умными.
> я и говорю - безобразие полное. Сделали на своих сайтах ровно то
> же самое, чем Михаил занимается на опеннете, причем такие же местные
> михаилы, которым даже не за державу, а за банального гугля обидноА чё там у них бывает за libel and diffamation, кстати? (за "них" не скажу, так как не знаю -- хоть и подозреваю, что дело вовсе не в обиде за безнального гугля; а вот меня с гуглём на одну доску не надо, спасибо)
> отнюдь не NSA с FBI, которым почему-то не пришло в голову
> ни посадить автора за неправильные лайки, ни хотя бы его зобанить
> тотально, как у нас принято. Куда только г-н майор смотрит?Им пришло в голову накрывать всех -- мало ли, вдруг лайки постфактум окажутся неправильными, а так в архиве всё есть.
> Причем его заявы были далеко не безобидными
Для кого? Так-то и комариный укус полезен. Для потомства конкретной комарихи.
> А чё там у них бывает за libel and diffamation, кстати?пока конкретный гугл не подаст в суд и не выиграет дело - ничего.
А если ты зять, нехрен взять - то даже если и выиграет - ничего, один моральный ущерб (гуглю, разумеется, и не только моральный - акции-то упадут).И никаких абстрактных "оскорблений чюйств" и "разжиганий".
Поэтому и выпиливают - это единственное, что они могут сделать, да и то - каждый такой выпил требуется заранее обосновать местным code of conduct/service agreement ;-) Но оный у всех уже, разумеется, есть.
> А чё там у них бывает за libel and diffamation, кстати?Бывает, бывает. И как ни странно это несколько охлаждает горячие головы. А то некоторые в своем угаре далеко заходят, вплоть до продолжательства дела Гитлера. Прямо как вы.
Да не в РКН, им - по барабану, лишь-бы блокировало.
В фильтрах DPI теперь Cloudflare-овские ресурсы будут банить по IP.
Да никаких проблем. Просто положат остатки бизнеса. А так - кому надо, расчехлят VPN, благо он теперь и в браузерах.
> Просто положат остатки бизнеса.Завязанного на клоудфлару? Туда ему и дорога.
Как, впрочем, и всему теперешнему Гуглонету. Даешь идеи Бернерс-Ли про децентрализованный интернет в жизнь!
> Даешь идеи Бернерс-Ли про децентрализованный интернет в жизнь!и все децентрализованные сервера - в РФ (для большей защиты ваших персональных данных), и паспорт каждого владельца куда надо предоставлен, а загран - желательно еще и сдан на хранение в первый отдел (тоже чтоб надежнее хранился, вы не подумайте чего). Ну и паспорта всех пользователей тоже, разумеется.
Эх, вот это прихооооод!
Достаточно заблокировать днс-запросы вида _esni.* и браузер не сможет использовать esni. Дальше можно блокировать старыми методами.
ну еще придется заблокировать идиотский dns-over-prism, и, вероятно, dnssec (впрочем, это должно быть несложно)но в целом идея выглядит работоспособной.
DNSSEC? Не, не слышали.
DNSSEC не шифрует, только аутентифицирует.
>Достаточно заблокировать днс-запросы вида _esni.*DNS_over_TLS
Это счастье временно, ровно до того момента когда браузеры не научатся форсировать ESNI по умолчанию и сообщать о несекурности сайта, если в TLS ESNI заявлена, а в DNS не опубликована.
проблемы браузеров и их пользователей РКН не волнуют. <Придёт приказ - и https заблокируют.
> Достаточно заблокировать днс-запросы вида _esni.* и браузер не сможет использовать esni.Это счастье временно - ровно до того момента, когда браузеры начнут видеть в TLS поддержку ESNI, и сообщать о несекурности / рвать коннект, если ESNI есть, а доменной записи нет.
Хороший сервис. Роскомнадзор позабанил кучу подсетей DigitalOcean, а с помощью CloudFlare - все сервисы продолжают быть доступными в РФ/СНГ, без переезда на другие сервера. Но тут тоже как повезёт, часть IP CloudFlare, тоже есть в бане.
С помощью MITM от CloudFlare. :-)
Самое забавное, пользователь видит https и думает что всё зашифрованно, а помимо Cloudflare трафик видит кулхацкер между сайтом и Cloudflare потому что "А зачем мне https, Cloudflare это сделает за меня" и получаем что сайт к Cloudflare идёт по http, а твои кредитные карты и пароли доступны всем.
>кредитные картыА как же PCI DSS?
CloudFlare must die.
Каждые день по полтора часа тратить на тыканье в _гугловскую_ капчу "найди знаки/автомобили/людей/нарушения/подозреваемых/неповиновение". Гугл, видать, нехило башляет КФ за выставление такой капчи на главной - это же столько народу можно к делу подключить!
Ага, гугл нейронку тестит, кф ему помогает. У нас такие сайты на работе и у меня дома тупо недоступны. Отрубил к ним доступ.
> CloudFlare must die.
> Каждые день по полтора часа тратить на тыканье в _гугловскую_ капчу "найдиа, да, еще ж гугл не в курсе, на какой сайт ты по шифрованному sni зашел, точно!
;-)> столько глупых пользователей тора можно к делу подключить!
поправил, не благодари ;-)
Категорически плюсую. У нас билайн на дешёвых тарифах такие ип-адреса выдаёт, что ощущение, что их раньше даркнету выдавали. В общем проще было сменить провайдера, чем вколачивать капчу. Ибо даже google.ru слал подальше либо так же капчу требовал. С проверки, скажем, 5-й - вроде как пускало.
В даркнете нет IP адресации.
Та же проблема у домашнего Киевстара (украинский провайдер), при чём независимо от города и области предоставления услуги, но только у FTTB (т.е. на ADSL, как ни странно, всё хорошо).
Ждем веерных блокировок от роскомнадзора /10 масками
Блокировок Cloudflare /10 масками?
А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?
> А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?Возникнет, и поделом.
>> А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?
> Возникнет, и поделом."Каакиэ ваши даказатэлства?!"
С чего им там возникать? Точно также клиент передаст запрос к серверу, который попадет на прокси, прокси вернет клиенту _свой_ сертификат (у клиента, он, естессно, должен быть в trusted), а потом прокси установит связь с сервером, используя данные из запроса клиента так, словно это непосредственно клиент туда стучится. Короче - для юзеров за прокси ничего не изменится, пока, во всяком случае.
Спасибо
> Особенно там, где ssl-bump включен?Да вы охренели - хотели заниматься хакерствои и чтобы это еще и удобно было.
У вас паранойя, вам за каждым кустом майор мерещится. Во многих конторах squid на вполне законных основаниях крутится, ssl-bump нужен, чтобы редиректы deny_info на прокси нормально отрабатывали. Куда вы ходите и на что онанируете по большому счету там никому не интересно...
Вы себе наверно не можете представить такого, но есть на просторах нашей родины такие места, где до сих пор только adsl доступ не выше 8 мегабит за овердофигарублей. И вот там заглядывание в установленные соединения помогает экономить реальные рубли и мегабайты. Потому что вместо утекших 10-20Мб в невнятное tcp/tunnel 200 сразу видим - так, это вот целевой сайт, это его картинки - они у нас в кеше, а вот эта cdn и эти ad.<бла-бла-бла> - это реклама, и режем ее нафиг сразу, и вместо 20 метров мусора за сеанс получаем 2-3 мегабайта полезной нагрузки.
Хакерство, конечно... Больше думать не о чем.
Призмы, майоры, роскомпозоры. Слишком с местечковой повестки на все это дело по шифровке от провайдеров смотрите. Не делиться рыночком рекламы с датамайнингом, кто phorm помнит тот поймет.
для фермера здоровый скот - больше прибыль.
Очень, очень хорошо, что свежие стандарты пушат не только криптофрики-любители, но и большие компании.Кстати, свежий TLS 1.3 в DoT они тоже включили?
А то с приходом openssl 1.1.1 перестали нормально работать их днс, а теперь вроде обратно все бегает и в unbound, и в stubby.
Вот на такое жаловались: https://github.com/getdnsapi/stubby/issues/132
Больше шифрования - хорошего и разного!
Вчера отличная статья на хабре вышла, нечегоскрывателям рекомендую в качестве настолькой книги. ;-)
Дополню https://searchengines.guru/showthread.php?t=985441 пускай и не совсем в тему.
> https://habr.com/post/423947/забавно. Оказывается, т-щ майор-то приторговывает налево - зарплату, что-ли, ему маленькую платят?
Дача уже есть. На яхту нехватает...
на пятую, товарищ майор? Или уже седьмую? Оно понятно, за причал плати, команду корми, а обслуживание, а бункеровка... эх, действительно, какие уж там секреты, и так, копеечка к копеечке.
> Оказывается, т-щ майор-то приторговывает налевоТак еще Карамзин все сказал... только в данном случае - оно еще и с последствиями, когда желающий вас натянуть может предварительно собрать досье круче Пинкертона с маргинальными затратами денег и сил.
> Так еще Карамзин все сказал...Интересно, что он как тогдашний либерал сказал бы о нынешних либералах.
Где-то недавно читал о том что вот это DNS over что-то там у клоудфлара не секурно. Ответы приходят не шифрованными. Кажется на реддите/стаковерфлоу/wilderssecurity дискус был.
Ещё есть хорошая статья на дамажелаб он клоудфларе.
Какие веб сервера поддерживают ESNI на сегодня?
Я правильно понимаю, что блокировать рекламу на домашнем микротике в таком случае станет крайне затруднительно?
> Я правильно понимаю, что блокировать рекламу на домашнем микротике в таком случае
> станет крайне затруднительно?Блокировать ее в браузере не в пример результативнее. По великому множеству причин, но для этого надо немного понимать как работает веб.
У кого-нить получилось подключиться к https://www.cloudflare.com/ssl/encrypted-sni/ и пройти положительно тест с ESNI?
Последняя ночнушка мозилы, TLS 1.3 и ESNI в about:config включены, DNS сервер работает с DNSSEC.
Первый тест желтый, второй и третий зелёные, четвёртый красный ((