|
2.8, Аноним (-), 10:09, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
1. Кому же тут сливать стали, дружок? Кто не хотел пользоваться CF, тот так и продолжит. ESNI никак на них не завязано. Арендуй сервер на любом облаке или хостинге, запиливай поддержку и никаким человекам посередине, вроде CF, не сливай ничего. А тот, кто сливал, прекрасно делал это и без ESNI. То же самое с dns-over-something. Раньше хомяки сливали запросы и гуглу, и всем по дороге. Сейчас будут сливать cloudflare/google, но никому по дороге. Стало хуже? Нет. Стало лучше? Да.
2. И что же плохого в том, чтобы слить кому-то вместо тебя, товарищ майор?
| |
|
3.12, нах (?), 10:21, 25/09/2018 [^] [^^] [^^^] [ответить] | –1 +/– | Кто не хотел пользоваться CF, тот так и продолжит кто тебя спрашивать-то будет... большой текст свёрнут, показать | |
|
4.44, Аноним (-), 14:25, 25/09/2018 [^] [^^] [^^^] [ответить] | +1 +/– | А ты с позиции юзера что ли смотришь Так в чём проблема тогда Не ходи на такие... большой текст свёрнут, показать | |
|
5.53, нах (?), 14:41, 25/09/2018 [^] [^^] [^^^] [ответить] | –3 +/– | ну да, у меня-то мой сайтик откроется и без sni, у меня ip шники дешевые, могу... большой текст свёрнут, показать | |
|
6.70, Гентушник (ok), 15:50, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
> > Её браузер посылает, в самом первом ClientHello, даже если ты один
> вот эту функциональность ... и надо было удалить
Если на айпишнике крутится один сайт, то я честно говоря не вижу принципиальной разницы - посылать имя домена в ClientHello открыто, зашифровано или не посылать вообще.
Ведь если на определённом айпишнике крутится только один сайт, то найти по этому айпи доменное имя для товарища майора не составит особого труда. Нужна лишь база со всеми доменными именами (хотя бы второго уровня) + IP.
Тут даже проще получается, не надо ковырять TLS-протокол, достаточно данных из TCP/IP.
| |
|
7.73, нах (?), 16:02, 25/09/2018 [^] [^^] [^^^] [ответить] | +/– | вообще-то разница есть - товарищмайор может и вовсе не увидеть, что там - поскол... большой текст свёрнут, показать | |
|
6.74, Аноним (74), 16:13, 25/09/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
"(ну или нажать галочку "да, я _точно_ знаю чей это сертификат, дура, от...сь")."
Вы наверное и в интернет-банке такое нажмете.
| |
|
7.75, нах (?), 16:19, 25/09/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> "(ну или нажать галочку "да, я _точно_ знаю чей это сертификат, дура,
> от...сь")."
> Вы наверное и в интернет-банке такое нажмете.
мальчик, ты совсем дурачок? Твой интернет-банк давно за клаудфларью, и тебе даже галочку нажать не предлагают - просто верь, и не думай, головку перетрудишь - авторы единственно-верного браузера уже за тебя позаботились о твоей безопасТности.
| |
|
8.94, Аноним (94), 08:00, 26/09/2018 [^] [^^] [^^^] [ответить] | +/– | host i bspb ru i bspb ru has address 213 172 3 230 whois 213 172 3 230 role ... большой текст свёрнут, показать | |
|
|
6.77, Аноним (-), 16:38, 25/09/2018 [^] [^^] [^^^] [ответить] | –1 +/– | Лол, ты вообще не понимаешь, о чём говоришь Про модель OSI слышал Что такое ht... большой текст свёрнут, показать | |
|
7.80, нах (?), 17:06, 25/09/2018 [^] [^^] [^^^] [ответить] | –1 +/– | малыш, я, видишь ли, не то что слышал про любимую тобой модель osi, но и знаю,... большой текст свёрнут, показать | |
|
|
|
|
3.50, dimqua (ok), 14:33, 25/09/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
> Кто не хотел пользоваться CF, тот так и продолжит.
Попробуй отказаться от использования _всех_ сайтов, использующих Cloudflare, а потом говори.
| |
|
2.100, metakeks (?), 20:49, 26/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
Минутку. Я правильно понимаю, что на роутере станет крайне осложнительно блокировать рекламу?
| |
2.103, Аноним (-), 03:09, 27/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Скрываясь от одних сливаем всё другим
Не мы такие, жизнь такая. ISP пытающиеся работать в стиле агентов похоронных агенств, когда человека еще только живого в скорую положили, а у родственников под дверью уже очередь предлагающих похоронные услуги - сами понимаете, их всех очень хочется взять и уе...
| |
|
1.2, Аноним (2), 08:51, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Отлично. Потому что ESNI-запись в DNS может опубликовать каждый для собственных серверов, а поддержка в софте теперь появится очень быстро.
| |
|
2.64, имя (?), 15:28, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
Сайты отключают эту централизованную службу слежки и децентрализованный интернет снова.
| |
|
3.106, Аноним (-), 03:27, 27/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Сайты отключают эту централизованную службу слежки и децентрализованный интернет снова.
А столица в Васюки уже переехала? Сайты сразу после этого самого обещались.
| |
|
2.105, Аноним (-), 03:26, 27/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Все. Сидишь на cloudfare - в России недоступен.
И кого это будет колыхать? Спутник и кремлинру? Россияне нищая и жадная аудитория - будешь кремлин читать, ну и хватит с тебя. Таким как ты ничего слаще первого канала не положено.
| |
|
1.4, Аноним (4), 09:10, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
В Роскомнадзоре радостно потирают руки, ведь теперь есть повод заблокировать большую часть Интернета.
| |
|
2.5, Аноним (-), 09:54, 25/09/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Будто раньше они этого избегали. https://roskomsvoboda.org/13108/
> 34% из всех IP-адресов, находящихся в реестрах запрещенных сайтов принадлежат именно CloudFlare.
Не говоря уже об эпопее с телеграмом, амазоном и другими облаками. Товарищ, не надо сказкок про то, что будет хуже. Механизм блокировок изначально идиотский.
| |
|
3.11, Michael Shigorin (ok), 10:21, 25/09/2018 [^] [^^] [^^^] [ответить]
| –10 +/– |
> Механизм блокировок изначально идиотский.
В смысле надо как в Китае или сразу как в Штатах? (см. случай Алекса Джонса или того же Ассанжа)
| |
|
4.13, нах (?), 10:23, 25/09/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Джонсу запретили дежрать собственный никому ненужный сервер? Или может заблокировали роспозором?
А, нет - он занимался на чужих серверах пропагандой против владельцев этих серверов. Миша, ты уже выпилился из модераторов, я надеюсь?
| |
|
5.29, Michael Shigorin (ok), 12:42, 25/09/2018 [^] [^^] [^^^] [ответить]
| –7 +/– |
> А, нет - он занимался на чужих серверах пропагандой против владельцев этих
> серверов. Миша, ты уже выпилился из модераторов, я надеюсь?
Стоп, демократия же, glasnost', не? А у нас тирания и деспотия (ц) весьмир(tm), не дождётесь.
PS: для безальтернативно бездарного автора безвременно почившего #68: "а у нас..."
| |
|
6.32, Аноним (32), 12:49, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
Так это, почему тогда Джонс продолжает вещать, пусть и с других ресурсов, а, например, Стомахин сидит?
| |
|
7.38, Michael Shigorin (ok), 13:10, 25/09/2018 [^] [^^] [^^^] [ответить]
| –7 +/– |
> Так это, почему тогда Джонс продолжает вещать, пусть и с других ресурсов,
> а, например, Стомахин сидит?
Это тот медиапособник басаевских анижедетей? Тогда каков вопрос, таков и ответ.
Потому что антисемит -- призывы вида "еврейство России должно взяться за оружие" уже проходили в 1905, получили повсеместные погромы.
Я даже не знаю, что бы с ним стало в штатах по аналогичной траектории -- возможно, тихо бы исчез, как немало участников Occupy Wall Street -- но такое убил бы своими руками и спал спокойно, вымыв их с мылом.
PS: если кто удивится -- почитайте про казус Штрейхера, что ли.
| |
|
|
|
|
|
12.104, Аноним (-), 03:23, 27/09/2018 [^] [^^] [^^^] [ответить] | +/– | А вы хотели чтобы в большом государстве с миллионами народа полиция бы вообще ни... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
5.36, Andrey Mitrofanov (?), 13:06, 25/09/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> На Джонса подали в суд за оскорбление чувств гей-лягушек?
Википедию почитать за тебя?
"Нестабильный" борец с заговорами, религиями и иммигрантками, которого за "hate speech" _исключили_ из _инклюзивного_ "сообщества PayPal" и попёрли со всех и всяких тамошних вконтактиков.
Миша старательно подбирал... себе компанию?
| |
|
6.37, Аноним (32), 13:09, 25/09/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Тут усиленно пытаются внушить, что там тоже что у нас. А, оказывается, что Джонс не только не сидит по 282, но его сайт даже не заблокирован американским Роскомнадзором.
| |
|
7.56, нах (?), 14:48, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Тут усиленно пытаются внушить, что там тоже что у нас. А, оказывается,
> что Джонс не только не сидит по 282, но его сайт
> даже не заблокирован американским Роскомнадзором.
я и говорю - безобразие полное. Сделали на своих сайтах ровно то же самое, чем Михаил занимается на опеннете, причем такие же местные михаилы, которым даже не за державу, а за банального гугля обидно, отнюдь не NSA с FBI, которым почему-то не пришло в голову ни посадить автора за неправильные лайки, ни хотя бы его зобанить тотально, как у нас принято. Куда только г-н майор смотрит?
Причем его заявы были далеко не безобидными и, мягко говоря, не особенно-то умными.
| |
|
|
9.72, нах (?), 15:54, 25/09/2018 [^] [^^] [^^^] [ответить] | +/– | пока конкретный гугл не подаст в суд и не выиграет дело - ничего А если ты зять... текст свёрнут, показать | |
|
|
|
|
|
|
|
2.6, Аноним (6), 09:54, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
Да не в РКН, им - по барабану, лишь-бы блокировало.
В фильтрах DPI теперь Cloudflare-овские ресурсы будут банить по IP.
| |
|
3.7, anomymous (?), 09:57, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
Да никаких проблем. Просто положат остатки бизнеса. А так - кому надо, расчехлят VPN, благо он теперь и в браузерах.
| |
|
4.18, Аноним (6), 10:36, 25/09/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Просто положат остатки бизнеса.
Завязанного на клоудфлару? Туда ему и дорога.
Как, впрочем, и всему теперешнему Гуглонету. Даешь идеи Бернерс-Ли про децентрализованный интернет в жизнь!
| |
|
5.19, товарищ майор наркоконтроля (?), 10:49, 25/09/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Даешь идеи Бернерс-Ли про децентрализованный интернет в жизнь!
и все децентрализованные сервера - в РФ (для большей защиты ваших персональных данных), и паспорт каждого владельца куда надо предоставлен, а загран - желательно еще и сдан на хранение в первый отдел (тоже чтоб надежнее хранился, вы не подумайте чего). Ну и паспорта всех пользователей тоже, разумеется.
Эх, вот это прихооооод!
| |
|
|
|
2.9, Нанобот (ok), 10:17, 25/09/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Достаточно заблокировать днс-запросы вида _esni.* и браузер не сможет использовать esni. Дальше можно блокировать старыми методами.
| |
|
3.14, нах (?), 10:24, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
ну еще придется заблокировать идиотский dns-over-prism, и, вероятно, dnssec (впрочем, это должно быть несложно)
но в целом идея выглядит работоспособной.
| |
3.21, Аноним (21), 10:57, 25/09/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Достаточно заблокировать днс-запросы вида _esni.*
DNS_over_TLS
| |
3.90, Аноним (2), 22:04, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это счастье временно, ровно до того момента когда браузеры не научатся форсировать ESNI по умолчанию и сообщать о несекурности сайта, если в TLS ESNI заявлена, а в DNS не опубликована.
| |
|
4.93, Аноним (4), 00:12, 26/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
проблемы браузеров и их пользователей РКН не волнуют. <Придёт приказ - и https заблокируют.
| |
|
3.91, Аноним (2), 22:05, 25/09/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Достаточно заблокировать днс-запросы вида _esni.* и браузер не сможет использовать esni.
Это счастье временно - ровно до того момента, когда браузеры начнут видеть в TLS поддержку ESNI, и сообщать о несекурности / рвать коннект, если ESNI есть, а доменной записи нет.
| |
|
|
1.23, th3m3 (ok), 11:08, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хороший сервис. Роскомнадзор позабанил кучу подсетей DigitalOcean, а с помощью CloudFlare - все сервисы продолжают быть доступными в РФ/СНГ, без переезда на другие сервера. Но тут тоже как повезёт, часть IP CloudFlare, тоже есть в бане.
| |
|
|
3.88, root (??), 19:55, 25/09/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Самое забавное, пользователь видит https и думает что всё зашифрованно, а помимо Cloudflare трафик видит кулхацкер между сайтом и Cloudflare потому что "А зачем мне https, Cloudflare это сделает за меня" и получаем что сайт к Cloudflare идёт по http, а твои кредитные карты и пароли доступны всем.
| |
|
|
1.26, Аноним (26), 11:43, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
CloudFlare must die.
Каждые день по полтора часа тратить на тыканье в _гугловскую_ капчу "найди знаки/автомобили/людей/нарушения/подозреваемых/неповиновение". Гугл, видать, нехило башляет КФ за выставление такой капчи на главной - это же столько народу можно к делу подключить!
| |
|
2.52, robot228 (?), 14:36, 25/09/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ага, гугл нейронку тестит, кф ему помогает. У нас такие сайты на работе и у меня дома тупо недоступны. Отрубил к ним доступ.
| |
2.57, нах (?), 14:50, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
> CloudFlare must die.
> Каждые день по полтора часа тратить на тыканье в _гугловскую_ капчу "найди
а, да, еще ж гугл не в курсе, на какой сайт ты по шифрованному sni зашел, точно!
;-)
> столько глупых пользователей тора можно к делу подключить!
поправил, не благодари ;-)
| |
2.102, metakeks (?), 20:54, 26/09/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Категорически плюсую. У нас билайн на дешёвых тарифах такие ип-адреса выдаёт, что ощущение, что их раньше даркнету выдавали. В общем проще было сменить провайдера, чем вколачивать капчу. Ибо даже google.ru слал подальше либо так же капчу требовал. С проверки, скажем, 5-й - вроде как пускало.
| |
|
3.116, Аноним (116), 22:45, 28/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
Та же проблема у домашнего Киевстара (украинский провайдер), при чём независимо от города и области предоставления услуги, но только у FTTB (т.е. на ADSL, как ни странно, всё хорошо).
| |
|
|
1.28, Аноним (28), 12:30, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?
| |
|
2.92, Аноним (2), 22:06, 25/09/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?
Возникнет, и поделом.
| |
|
3.95, Аноним (95), 08:37, 26/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> А с прокси корпоративными проблем не возникнет? Особенно там, где ssl-bump включен?
> Возникнет, и поделом.
"Каакиэ ваши даказатэлства?!"
С чего им там возникать? Точно также клиент передаст запрос к серверу, который попадет на прокси, прокси вернет клиенту _свой_ сертификат (у клиента, он, естессно, должен быть в trusted), а потом прокси установит связь с сервером, используя данные из запроса клиента так, словно это непосредственно клиент туда стучится. Короче - для юзеров за прокси ничего не изменится, пока, во всяком случае.
| |
|
2.108, Аноним (-), 03:40, 27/09/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Особенно там, где ssl-bump включен?
Да вы охренели - хотели заниматься хакерствои и чтобы это еще и удобно было.
| |
|
3.109, Аноним (109), 05:16, 27/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
У вас паранойя, вам за каждым кустом майор мерещится. Во многих конторах squid на вполне законных основаниях крутится, ssl-bump нужен, чтобы редиректы deny_info на прокси нормально отрабатывали. Куда вы ходите и на что онанируете по большому счету там никому не интересно...
| |
3.110, Аноним (28), 07:02, 27/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
Вы себе наверно не можете представить такого, но есть на просторах нашей родины такие места, где до сих пор только adsl доступ не выше 8 мегабит за овердофигарублей. И вот там заглядывание в установленные соединения помогает экономить реальные рубли и мегабайты. Потому что вместо утекших 10-20Мб в невнятное tcp/tunnel 200 сразу видим - так, это вот целевой сайт, это его картинки - они у нас в кеше, а вот эта cdn и эти ad.<бла-бла-бла> - это реклама, и режем ее нафиг сразу, и вместо 20 метров мусора за сеанс получаем 2-3 мегабайта полезной нагрузки.
Хакерство, конечно... Больше думать не о чем.
| |
|
|
1.33, Аноним (33), 12:50, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Призмы, майоры, роскомпозоры. Слишком с местечковой повестки на все это дело по шифровке от провайдеров смотрите. Не делиться рыночком рекламы с датамайнингом, кто phorm помнит тот поймет.
| |
1.35, Аноним (35), 13:01, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Очень, очень хорошо, что свежие стандарты пушат не только криптофрики-любители, но и большие компании.
Кстати, свежий TLS 1.3 в DoT они тоже включили?
А то с приходом openssl 1.1.1 перестали нормально работать их днс, а теперь вроде обратно все бегает и в unbound, и в stubby.
Вот на такое жаловались: https://github.com/getdnsapi/stubby/issues/132
| |
|
|
|
4.69, нах (?), 15:48, 25/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
на пятую, товарищ майор? Или уже седьмую? Оно понятно, за причал плати, команду корми, а обслуживание, а бункеровка... эх, действительно, какие уж там секреты, и так, копеечка к копеечке.
| |
|
3.112, Аноним (-), 21:16, 27/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Оказывается, т-щ майор-то приторговывает налево
Так еще Карамзин все сказал... только в данном случае - оно еще и с последствиями, когда желающий вас натянуть может предварительно собрать досье круче Пинкертона с маргинальными затратами денег и сил.
| |
|
|
1.51, robot228 (?), 14:34, 25/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Где-то недавно читал о том что вот это DNS over что-то там у клоудфлара не секурно. Ответы приходят не шифрованными. Кажется на реддите/стаковерфлоу/wilderssecurity дискус был.
Ещё есть хорошая статья на дамажелаб он клоудфларе.
| |
1.101, metakeks (?), 20:50, 26/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я правильно понимаю, что блокировать рекламу на домашнем микротике в таком случае станет крайне затруднительно?
| |
|
2.113, Аноним (-), 21:18, 27/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Я правильно понимаю, что блокировать рекламу на домашнем микротике в таком случае
> станет крайне затруднительно?
Блокировать ее в браузере не в пример результативнее. По великому множеству причин, но для этого надо немного понимать как работает веб.
| |
|
|