LINUX.ORG.RU
ФорумTalks

Нельзя TLS 1.3, ESNI, DoH, DoT

 ,


3

4

Новый пока законопроект появился

https://www.rbc.ru/technology_and_media/21/09/2020/5f68b08e9a79475b652dcf7c

По экспертным оценкам Минцифры, растет количество маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. «Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) (криптографические протоколы, которые обеспечивают защищенную передачу данных в интернете — РБК)», — указано в пояснительной записке.

В случае нарушения запрета предлагается приостанавливать работу интернет-ресурса с запрещенными протоколами шифрования.

★★★★★
Ответ на: комментарий от Zhbert

Боишься, перед братвой ответить придётся?

Три кирпича на грудь - меня чуть прибило
Под выстрелами пушки сердце биться не хотело
Тело двигать не могло
По голове веслом
Размытая картина, но я дышу всем на зло

Меня били ногами, так, чтоб я не мог встать
Какое там дышать, я даже не мог простонать
Один сукин сын вколол в мою ногу шило, просто так
Ему ништяк увидеть кровь по колено
Я полз, как змея, рассматривая злые рыла
Упитанная одна скотина плюнуть на меня посмела

Сжимаясь в комок, теряя мысленный контроль
Я вылетел из тела пулей, наблюдая за собой

WitcherGeralt ★★
()
Ответ на: комментарий от mertvoprog

Как я понимаю принципиальных юридических проблем с IPv6 нет и он кое-где даже предоставляется.

praseodim ★★★★★
() автор топика
Ответ на: комментарий от praseodim

Проблема не юридическая, а в том, что провайдеров буквально поставили на грань выживания. Не до инноваций им.

mertvoprog
()
Ответ на: комментарий от crypt

Пхех; у Нас вот на Интертелекоме вообще нешифрованные торренты не работали, добавьте к этому непанчхолящийся (опсос же) NAT — выкачать непопулярную задачу было большой удачей, А Вы зажрались просто ;)

mertvoprog
()

фашисты продолжают свои темные пакости

нужно решение которое будет маскировать трафик под какой нибудь HTTP или тот же TLS 1.2 c выборочным доменом, такое есть вобще или самому писать надо ?

BLOBster ★★★
()

Очередное доказательство старой истины: невозможно решить политическую проблему техническими методами. Какой толк от внедрения шифрования, если государство может просто дропать пакеты при обнаружении этого шифрования?

Legioner ★★★★★
()
Ответ на: комментарий от BLOBster

Это невозможно для массового применения. А для частного применения и сейчас проблем нет.

Legioner ★★★★★
()

Ну че, ждать волну пулл-реквестов, отключающих это добро? Представляю радость апстримов.

И как энфорсить это будут, опять ковровыми блокировками?

t184256 ★★★★★
()
Ответ на: комментарий от coronaswine

Количество пользователей VPN-сервиса Psiphon с 9 августа выросло в Беларуси до 1,76 миллиона активных пользователей в день, сообщается в официальном блоге сервиса.

Количество интернет-пользователей [...] равняется 7,03 млн человек, или 74 процента населения.

натурально айци-страна, четверть «айти-спецов» оказалась, каждый день набивали псифону трафик. а если эти три дня экстраполировать...

vedowi6419
()
Последнее исправление: vedowi6419 (всего исправлений: 1)
Ответ на: комментарий от coronaswine

Непонятно почему тут 8 лет жопу рвут.

Очевидно чтобы не начали дубинками жопы рвать, как это уже делают там где все молчали много лет.

grim ★★☆☆
()
Ответ на: комментарий от praseodim

проблем с IPv6 нет и он кое-где даже предоставляется

В MTC-е. IPv4v6 оба сразу.

sinaps
()
Ответ на: комментарий от sergej

блокировка по ИП если оно умеет ESNI?

Ну и действительно всё превратится в чебурнет.

turtle_bazon ★★★★★
()
Ответ на: комментарий от gremlin_the_red

Надо перекрывать каналы распространения

С ФСБ бороться бесполезно.

turtle_bazon ★★★★★
()
Ответ на: комментарий от gremlin_the_red

но это ведь работать надо

Да. А ещё нужно работникам платить. За чей счёт банкет? Мне дешевле vpn использовать.

no-such-file ★★★★★
()

Для каких целей экстренно лепили на коленках DNS-over-HTTP/TLS - и так было понятно. Поэтому ответная реакция ожидаема.

ESNI - Звучит замечательно, но на SNI (открытая передача хостнейма) много всякого добра завязано (прозрачные прокси, балансировщики, фильтрация, и т.д.), а ESNI только решает задачи для очень узкой группы лиц.

shahid ★★★★★
()
Ответ на: комментарий от mertvoprog

Юзеры сами должны решать, надо им секурность или нет.

Нет, не должны. SSL stripping — вполне реальная проблема. Провайдеры, добавляющие рекламу на не-SSL страницу — вполне реальны. VPN, добавляющие малварь в загрузки с этого вашего голого HTTP — полно (а без VPN интернет в этой стране неюзабелен), предлагаешь идиотаим, юзающих халявный VPN, страдать?

x3al ★★★★★
()
Ответ на: комментарий от x3al

предлагаешь идиотаим, юзающих халявный VPN, страдать?

Да. Осознанно торгующие жопдушой за 30 сребреников — должны страдать. Желательно, страдать у всех на виду — это на пользу общества во все времена: позитивный отбор + иммунитет/прививка для остальных.

shahid ★★★★★
()
Ответ на: комментарий от no-such-file

ну так телеграм же заблокировали :)

в этом законопроекте радует только то, что исполняться он будет аналогично)

sergej ★★★★★
()
Ответ на: комментарий от x3al

Провайдеры, добавляющие рекламу на не-SSL страницу — вполне реальны

Не все страдают рекламофобией.

добавляющие малварь в загрузки с этого вашего голого HTTP

Малварь может прилететь откуда угодно. Антивирусы и чексуммы на что?

без VPN интернет в этой стране неюзабелен

4.2, есть прокси.

предлагаешь идиотаим, юзающих халявный VPN, страдать?

Страдают те, кто из-за принудительного шифрования не могут в интернеты вылезть, и те, кто спутниковой рыбалкой занимаются.

mertvoprog
()
Ответ на: комментарий от shahid

торгующие жопдушой за 30 сребреников

А откуда заплатить эти самые 30 сребреников? Не через интернеты, ведь интернеты скомпрометированы?

mertvoprog
()
Ответ на: комментарий от gremlin_the_red

понял, при чём здесь работники и впн

При том, что я не готов оплачивать из своего кармана ту работу к которой ты призываешь. Пусть поступают дешево и сердито. Для меня такое решение обойдётся дешевле, чем их работа.

no-such-file ★★★★★
()
Ответ на: комментарий от sergej

телеграм же заблокировали

Ну так в итоге же разблокировали.

исполняться он будет аналогично

А большего и не требуется.

no-such-file ★★★★★
()
Ответ на: комментарий от mertvoprog

и те, кто спутниковой рыбалкой занимаются

Это хорошо.

из-за принудительного шифрования не могут в интернеты вылезть

Проблема некрофилов.

Антивирусы

За окном 2к20. Уже более 5 лет все в курсе того, что антивирус — это увеличение attack surface и юзать его нельзя.

x3al ★★★★★
()
Ответ на: комментарий от no-such-file

При том, что я не готов оплачивать из своего кармана ту работу к которой ты призываешь.

Но ты им уже платишь. А они, вместо работы, занимаются бессмысленной бесполезной хернёй.

gremlin_the_red ★★★★★
()
Ответ на: комментарий от x3al

За окном 2к20. Уже более 5 лет все в курсе того, что антивирус — это увеличение attack surface и юзать его нельзя.

Да, но нет. АВ, конечно, поверхность атаки увеличивает, но таки больше помогает, чем мешает.

Ну и как-то я не припомню атак через антивирь.

CaveRat ★★
()
Ответ на: комментарий от mertvoprog

Все интернеты скомпрометированы, кроме сабжевого принудительного халявного ВПН под видом связки DoH+DoT+ESNI. Этот «впн» оплачивать не требуется, он безопасен (инфа 100), и мохнатая коряга дяди Сэма за всех уже уплатила, пропедалировав чрезвычайно быстрое одновременное внедрение во все популярные браузеры и ssl-либы.

shahid ★★★★★
()
Последнее исправление: shahid (всего исправлений: 1)
Ответ на: комментарий от gremlin_the_red

Но ты им уже платишь

Весьма умеренно пока что.

вместо работы, занимаются бессмысленной бесполезной хернёй

Не то чтобы у них была дикая эффективность, но всё-таки то к чему ты призываешь требует гораздо бОльшего количества людей и бОльших ресурсов.

no-such-file ★★★★★
()
Ответ на: комментарий от CaveRat

А они есть.

https://rootdaemon.com/2019/01/25/new-trend-antivirus-software-exploited-to-launch-privilege/

https://www.zdnet.com/article/two-trend-micro-zero-days-exploited-in-the-wild-by-hackers/

Были и уйма zero interaction remote code execution практически в каждом антивирусе (на том же projectzero), но я не помню, чтобы их активно использовали атакующие.

x3al ★★★★★
()
Ответ на: А они есть. от x3al

Не, то, что в них есть дыры - это абсолютно нормально, они везде есть. Я думал, уже были выявлены атаки через антивири.

CaveRat ★★
()
Ответ на: комментарий от no-such-file

Весьма умеренно пока что

А по моему дохера.

Не то чтобы у них была дикая эффективность

Эффективность нулевая, если не отрицательная.

но всё-таки то к чему ты призываешь

Я призываю не делать бессмысленную херню, а делать вместо этого хоть что-то полезное. это работает при любой численности и ресурсах, потому что математика — любая цифра, сколь бы мала она не была, всё равно больше нуля.

gremlin_the_red ★★★★★
()
Ответ на: комментарий от x3al

Это хорошо.

Что хорошего в уменьшении доступности Интернета? ООН вообще-то в неотъемлемые права человека его включил давно.

Проблема некрофилов.

Что значит «некрофилов»? В бережном отношении к экологии нет ничего постыдного. Нехрен менять технику, пока старая работает.

антивирус — это увеличение attack surface

Антивирус не обязательно резидентный.

mertvoprog
()
Ответ на: комментарий от x3al

Трафик далеко не всегда «чужой». Если пользователь читает публичную информацию, то он просто скачивает свою копию, такую же, что у других. Зачем принудительно загонять сайты с подобным содержимым (особенно Web1.0-ные) на HTTPS?

mertvoprog
()
Ответ на: комментарий от mertvoprog

он просто скачивает свою копию, такую же, что у других

А провайдер по дороге контекстной рекламы точно не напихает? А то копия будет не такая же.

sinaps
()
Ответ на: комментарий от mertvoprog

https — это не только шифрование, но и идентификация. Сегодня Марьванна нашла рецепт пирога в инторнете, поделилась ссылкой с Зинаидпетровной, а у той вся семья траванулась, потому что соседскому школьнику на ЛОРе помогли настроить кали и он взломал соседский вайфай и подменил страничку. Поэтому сайты без https — плохо, помогать калихакерам — плохо.

gremlin_the_red ★★★★★
()
Ответ на: комментарий от gremlin_the_red

такие сайты могли бы использовать режим TLS с аутентификацией и проверкой целостности, но без шифрования

но это как-то в моду не вошло

Harald ★★★★★
()
Ответ на: комментарий от sinaps

Пускай пихает, имеет право. Зажрались Вы, вот что.

Видали   ⠣⠲⠣⠦⠙⠹ ⠦⠒ ⠯ ⠹⠻⠦⠻⠖⠒⠳  ⠹⠻⠙⠬ кция
ошибок  ниВ9кущая   i po<emu  pri7slabo;
сигшЩле текст запрос<, мож🟒т п еврат ⠦ -
с! в Г)шу?

Слыха░▒▓▒▓▓ио, гд▓░░▒ шум░м х▓▓░▒▓го разоб▓▓ть?

По сравнению с этим, нарыбачить в глухомани чистый цифровой контент, хоть с рекламой, хоть с вирусами — огромное счастье.

mertvoprog
()
Ответ на: комментарий от gremlin_the_red

но и идентификация

Идентификация чего? Левого SEO-шного сайта с рецептами со вчера зарегистрированным доменом и LE?

потому что соседскому школьнику на ЛОРе помогли настроить кали и он взломал соседский вайфай и подменил страничку

Вы что-то имеете против хакеров? Наоборот — хорошо, что дитё технарём растёт, а не очередным бездумно тыкающим сосиской в экран потребыдлом.

Способов же, которыми невоспитанное дитё без присмотра может нашкодить, вплоть до криминальных последствий — великое множество, и https от них не спасёт.

mertvoprog
()
Ответ на: комментарий от Harald

Да толку с проверки, на подобных сайтах куча копирайтеров через админку тексты набивает, даже там банально человеческий фактор может повлиять.

mertvoprog
()
Ответ на: комментарий от mertvoprog

Пускай пихает

Пускай пихает вам, а мне пусть не пихает. Мне не надо.

имеет право.

Возможность — да. Сомневаюсь на счёт права.

sinaps
()
Ответ на: комментарий от sinaps

Пускай пихает вам, а мне пусть не пихает. Мне не надо.

Вас никто не спрашивает. Сайты, на которые Вы ходите — не Ваши.

Сомневаюсь на счёт права

На каком основании? Реклама — не цопэ, не оружие и не наркотики, законом не запрещена.

mertvoprog
()
Ответ на: комментарий от mertvoprog

Сайты, на которые Вы ходите — не Ваши.

Провайдерские? :)

Реклама — не…

«Не…» конечно, но это был пример. Мало ли что туда можно засунуть, или наоборот вытащить.

sinaps
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.