VPN для обычных пользователей. Реальная необходимость или бесполезная опция?

    На Хабре много статей про виртуальные частные сети (VPN): руководства по самостоятельной настройке, обзор технологии, примеры использования. Все они в той или иной степени рассчитаны на продвинутых пользователей, которые прекрасно осознают угрозы в современном информационном пространстве и целенаправленно выбирают тот или иной способ защиты.

    Как же быть обычным пользователям? Что им угрожает? Нужен ли им вообще VPN?


    image

    Для ответа на эти вопросы достаточно собрать простейший тестовый стенд с точкой доступа Wi-Fi и анализатором трафика. Результат окажется очень занимательным.

    В качестве хакерского оружия берем обычный компьютер со встроенным Wi-Fi адаптером. Включаем точку доступа, я использовал hostapd и dhcp3. Описаний по установке и настройке очень много (раз, два, три). Настраиваем шлюз в интернет. После этого устанавливаем Wireshark, запускаем захват трафика на беспроводном интерфейсе. К точке доступа подключаем мобильное устройство, в моем случае iPad. Эмулируем бесплатную точку доступа в кафе и расслабленного посетителя с мобильным устройством.

    В данной статье мы не будем использовать подмену сертификатов и проксирование HTTPS трафика, а рассмотрим простейшие случаи прослушки HTTP. Все персональные данные в нижеприведенных дампах изменены.

    Начнем со всеми «любимого» ВКонтактика (vk.com). Смотрим трафик пользователя при подключении:

    GET /login?role=fast&to=&s=1&__q_hash=bd8b2282f344a97ebe12b0c485952a6f HTTP/1.1
    Host: m.vk.com
    Connection: keep-alive
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Referer: http://m.vk.com/login?role=fast&to=&s=1&m=1&email=mail%40yandex.ru
    User-Agent: Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) CriOS/26.0.1410.53 Mobile/10B329 Safari/8536.25
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
    Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3
    Cookie: remixlang=0; remixmdevice=768/1024/2/!!!!!!; remixstid=267699470; remixmid=; remixsid=; remixsid6=; remixgid=; remixemail=; remixpass=; remixapi_sid=; remixpermit=; remixsslsid=
    

    JavaScript на клиенте вычисляет хэш от имени и пароля и шлет его в GET запросе. После этого сервер отвечает перенаправлением и устанавливает cookie:

    HTTP/1.1 302 Found
    Server: nginx/1.2.4
    Date: Mon, 03 Jun 2013 16:56:02 GMT
    Content-Type: text/html; charset=windows-1251
    Content-Length: 20
    Connection: keep-alive
    X-Powered-By: PHP/3.332
    Pragma: no-cache
    Cache-control: no-store
    P3P: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
    Set-Cookie: remixsid=c04f7b2295b3b54405205a4306d6511c6cd9857f33249c004121c; expires=Wed, 11-Jun-2014 05:01:34 GMT; path=/; domain=.vk.com
    Set-Cookie: remixtemp_sid=; expires=Sun, 25-May-2014 15:48:33 GMT; path=/; domain=.vk.com
    Location: /
    Content-Encoding: gzip
    

    Затем клиент переходит по указанной в редиректе ссылке с передачей установленных cookies

    GET / HTTP/1.1
    Host: m.vk.com
    Connection: keep-alive
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Referer: http://m.vk.com/login?role=fast&to=&s=1&m=1&email=mail%40yandex.ru
    User-Agent: Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) CriOS/26.0.1410.53 Mobile/10B329 Safari/8536.25
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
    Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3
    Cookie: remixlang=0; remixmdevice=768/1024/2/!!!!!!; remixstid=267699470; remixmid=; remixsid6=; remixgid=; remixemail=; remixpass=; remixapi_sid=; remixpermit=; remixsslsid=; remixsid=c04f7b5995b3b54405205a4306d6511c6cd9558f33249c004121c; remixtemp_sid=
    

    Этого достаточно, чтобы зайти «хакеру» под логином этого пользователя. Берем любой плагин для установки cookie (я использовал Cookies Manager+ для FF), прописываем remixlang, remixstid, remixsid из последнего дампа для сайта vk.com, переходим по ссылке vk.com/login?role=fast&to=&s=1&__q_hash=bd8b2282f344a97ebe12b0c485952a6f и все — вы в ленте пользователя.

    Может быть приложение «ВКонтакте» для iPhone/iPad использует защищенное соединение? Нет, это не так. Анализатор трафика показывает HTTP POST запросы к API:

    POST /method/execute HTTP/1.1
    Host: api.vk.com
    Accept-Encoding: gzip
    Content-Type: application/x-www-form-urlencoded; charset=utf-8
    Content-Length: 266
    Connection: keep-alive
    Cookie: remixdt=-10800; remixrt=1; remixlang=3
    User-Agent:  2.3.11 rv:10037 (iPad; iPhone OS 6.1.3; nb_NO)
    
    code=var%20messages%20%3D%20API.messages.get%28%7Bfilters%3A1%7D%29%3B%20return%20%7Bunread%3Amessages%5B0%5D%7D%3B&api_id=2753915&access_token=ac43d874bd29351e2e2b20b0c671029edc84a48a715f97721111568443b5ba42f00a349b95f692e5727ec&sig=cb7ac6c6346bd26b762929efe0f711d1

    Параметр access_token – это то, что можно использовать для авторизации под чужим именем.

    Получается, что поклонникам «ВКонтакте» разумно подключаться только по HTTPS, но принудительное перенаправление с HTTP на HTTPS на серверах «ВКонтакте» не активировано. Так же приложение для Apple iOS использует HTTP, тут угроза постоянна. Без VPN подключаться к неизвестным сетям очень рискованно.

    Смотрим дальше. «Живой Журнал» (livejournal.com) очень популярен среди творческой интеллигенции, дизайнеров и оппозиционеров. Для некоторых ведение блога в ЖЖ является основным средством заработка. Заходим на сайт ЖЖ с мобильного устройства под своим аккаунтом, смотрим трафик на нашем «хакерском» шлюзе.

    GET / HTTP/1.1
    Host: www.livejournal.com
    Connection: keep-alive
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    User-Agent: Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) CriOS/26.0.1410.53 Mobile/10B329 Safari/8536.25
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
    Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3
    Cookie: ljuniq=EQwqgJzEJVk0mqr%3A1370276381%3Apgstats0; ljmastersession=v2:u12213803:s119:a68UFciy4PP:g398155211a6adc80bc47746a28dbcb9146b6a257//1; ljloggedin=v2:u12213003:s119:t1370286730:gb4fd54e13950d47f0940aa78f3de73582ebd4c64; BMLschemepref=horizon; langpref=ru/1370272950; ljsession=v1:u12213803:s119:t1370275200:gf1c7f737342bcb5759c70a257cbf97acc9512731//1; PRUM_EPISODES=s=1370747384764&r=http%3A//www.livejournal.com/; __utma=48425145.515596637.1370276682.1370276682.1370281850.2; __utmb=48425145.1.10.1370281850; __utmc=48425145; __utmz=48425145.1370276682.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
    

    Вот и все, все данные для несанкционированного подключения у нас есть. Достаточно прописать в браузере cookies для ljuniq, ljmastersession, ljloggedin и ljsession. После этого смело заходим на livejournal.com и пишем пост от имени жертвы.

    И так практически для всех сервисов, использующих HTTP во время процесса авторизации пользователя.

    Facebook, Twitter, Github, LinkedIn – молодцы, на их ресурсах авторизация только через HTTPS. То же самое касается почтовых систем Gmail и Yandex. Серьезные компании начинают всерьез задумываться о безопасности данных своих пользователей.

    Хотя с Яндексом есть проблема. Заходим на partner.yandex.ru с мобильного устройства. Смотрим трафик на шлюзе. В процессе логина происходит переход на passport.yandex.ru, авторизация идет через HTTPS, устанавливаются cookie, но потом происходит перенаправление на partner.yandex.ru/registered с уже установленными cookie.

    GET /registered HTTP/1.1
    Host: partner.yandex.ru
    Connection: keep-alive
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    User-Agent: Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) CriOS/26.0.1410.53 Mobile/10B329 Safari/8536.25
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
    Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3
    Cookie: yandexuid=9257588111370282489; _ym_visorc=b; ys=udn.bXRzLZ1heA%3D%3D; yp=1685643738.udn.bXRzLW1heA%3D%3D; yandex_login=mail; my=YzYBSQA=; L=X3MKVQFiRwt/Ql9afF5hfnZBbwBCeHkXUypkHiQcHkwyOwFcRjh9JnMzKT0GXD0NSDVcdEMCUUB4XyEDqhpbNQ==.1620283888.9752.254668.6b58de4c285c135c1273a411170dba5c; Session_id=2:1685643738.-875.0.1121887.8:1370283888922:1422936785:15.0.1.1.0.73736.1393.a9075755a24d0d44ef3f216256625665
    

    Ну и далее все печально, прописываем yandexuid, ys, yp,yandex_login, my, L, Session_id, заходим на partner.yandex.ru/registered и видим консоль администратора партнерской программы. Все остальные сервисы Яндекса тоже доступны, включая почту.

    Для таких случаев оптимальным вариантом является использование VPN на мобильных устройствах. Крайне желательно выбирать решения с автоматическим подключением к VPN при любом исходящем трафике. Для iOS устройств такая технология называется VPN-on-Demand, для Android устройств – Always-on VPN.

    image

    Для «хакера» весь VPN трафик выглядит очень скучно и однообразно, примерно вот так:

    No.     Time        Source                Destination           Protocol Info
         95 7.372487    10.0.1.200            109.233.59.108        ESP      ESP (SPI=0xc6ed086f)
    
    Frame 95 (126 bytes on wire, 126 bytes captured)
    Ethernet II, Src: 7c:fa:df:cb:d3:89 (7c:fa:df:cb:d3:89), Dst: HonHaiPr_23:f0:9a (0c:60:76:23:f0:9a)
    Internet Protocol, Src: 10.0.1.200 (10.0.1.200), Dst: 109.233.59.108 (109.233.59.108)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 112
        Identification: 0x38cd (14541)
        Flags: 0x00
        Fragment offset: 0
        Time to live: 64
        Protocol: UDP (0x11)
        Header checksum: 0x8c93 [correct]
            [Good: True]
            [Bad : False]
        Source: 10.0.1.200 (10.0.1.200)
        Destination: 109.233.59.108 (109.233.59.108)
    User Datagram Protocol, Src Port: ipsec-nat-t (4500), Dst Port: ipsec-nat-t (4500)
        Source port: ipsec-nat-t (4500)
        Destination port: ipsec-nat-t (4500)
        Length: 92
        Checksum: 0x0000 (none)
            Good Checksum: False
            Bad Checksum: False
    UDP Encapsulation of IPsec Packets
    Encapsulating Security Payload
        ESP SPI: 0xc6ed086f
        ESP Sequence: 54
    

    Дополнительным преимуществом VPN является сокрытие адресов, которые посещал пользователь. Для прослушивающей стороны любая информация, даже просто история посещений, может быть полезна для дальнейшей атаки на пользователя. Если соединение идет через VPN, то подобная информация недоступна.

    Администраторам серверов желательно все формы авторизации размещать на HTTPS страницах. Дополнительно рекомендуется добавлять заголовок Strict-Transport-Security с длительным сроком действия в ответы сервера. Это позволит избежать ситуации, описанной выше для partner.yandex.ru.

    Получается, что самым обычным пользователям совершенно необходимы решения на базе VPN.

    С моей точки зрения, наиболее удобно и оправдано использование решений на базе OpenVPN или IPSec. OpenVPN работает практически на всех платформах, но требует установки стороннего приложения на мобильное устройство. Поддержка IPSec встроена в базовую функциональность наиболее популярных мобильных платформ. В Apple iOS есть поддержка конфигурационных профилей, настройка VPN сводится к установке профиля на устройство. Об этом я писал в предыдущей статье.

    Мой проект ruVPN.net был специально создан для защиты от описанных выше угроз. С июня началась коммерческая эксплуатация инфраструктуры VPN для Apple iOS устройств (iPhone, iPad) с поддержкой автоматического подключения (VPN-on-Demand). Подключайтесь, приглашайте друзей. Не пренебрегайте безопасностью ваших данных!
    ruVPN.net
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 86

      +4
      В настройках приложения ВКонтакте под IOS есть пункт: «Использовать HTTPS», вот только не могу сказать какие настройки у него по умолчанию.
      • UFO just landed and posted this here
          +1
          Включить постоянное HTTPS уже можно вроде как около полугода в вконтакте. А по умолчанию, кстати говоря, они не хотят включать по причине замедления соединения (это написано в пункте настроек вконтакта).
          Ну и к слову сказать, твиттер самый первый перешел на HTTPS, правда слово «первый» не значит, что он молодец- они дошли до этого, после того, как участились случаи краж кукисов.
          Да и вообще многие веб-ресурсы придерживаются мнения (до сих пор), что HTTPS- это крайне медленно, что, конечно же, печально.
            0
            > они не хотят включать по причине замедления соединения

            Раздавать статику по HTTPS это очень не экономно. Да и на других простых запросах установка SSL-соединения будет съедать больше половины ресурсов, необходимых для обработки запроса. Кое-как спасает использование keep-alive для HTTP соединений, но всё равно для таких сайтов, как ВКонтакте, переводить всех пользователей на HTTPS это очень дорого. Они молодцы что дали возможность включить SSL тем, кому нужно.

            В принципе, проблему со статикой можно решить переносом её на отдельный cookie-less домен, но тут тоже есть ньюансы, например — во ВКонтакте большая часть трафика это фотки, и пользователям будет неприятно что при использовании HTTPS фоточки из их закрытых альбомов гуляют по сети в открытом виде. Хотя возможно это и не критично, ведь такие фоточки, которые не хочется передавать в открытом виде, во ВКонтакте и не выкладывают… Ну и браузер будет ругаться что часть контента по HTTP ходит.
          0
          По умолчанию галочка не стоит, как и в Android.
          +15
          Получается, что самым обычным пользователям совершенно необходимы решения на базе VPN.

          Не получается. Почитайте что-нибудь из доказательств школьной геометрии. Там действительно все получается.
          Из всего, что вы написали следует только, что http в общественных сетях лучше не использовать.
          • UFO just landed and posted this here
              +4
              Вот так вот безапелляционно? «https — слишком сложно», а «vpn совершенно необходимо».

              • UFO just landed and posted this here
                  0
                  Я исключительно против категоричных высказываний используемых в вашей статье. У вас столько логов, скриптов и другой технической информации. Но это никак не подтверждает ваше заключение.
                  • UFO just landed and posted this here
                      +1
                      Не ваших лично. Наоборот ваш проект мне нравится. Ну как минимум мысль о том, что данные должны быть защищены. И от того обидно, видеть эту притянутую за уши аргументацию. И… я бы все же разделял технические статьи от маркетинговых. А у меня такое ощущение, что мне тут пытаются что-то конкретное продать.
                      0
                      Собственно еще один момент. В зоне действия враждебных точек доступа, ваш ipsec вероятно просто заблокируют. Хакеры то ведь не обычные пользователи.
                      • UFO just landed and posted this here
                          0
                          Вам это просто необходимо ибо есть free wi-fi сети, в которых открыты ТОЛЬКО для порта 80 и 443 и протокол TCP.
                          • UFO just landed and posted this here
                              0
                              И сколько вы получите негативных отзывов от разочарованных клиентов? вопрос риторический
                                0
                                Нисколько. Если не забудут помимо преимуществ рассказать о технических особенностях работы своего решения.

                                  0
                                  Один мой знакомый, который тоже сервис предоставляет, говорит так: тысяча благодарных пользователей не напишут ни одной благодарности, но один неблагодарный заполонит весь Интернет.
                                  Разве у вашего решения, нет возможности сразу работать с 443/tcp?
                                  И, кстати, я так понимаю вы переопределяете dafault gateway, а DNS вы присылаете пользователям?
                                  Я почему спрашиваю, столкнулся настраивая свой openvVPN с тем что, DNS сервер на клиенте остается локальным (если его например прислали по DHCP ) и соответственно на клиенте «не работает» Интернет.
                                  А опция сервера openvpт
                                  "push "dhcp-option DNS x.x.x.x""
                                  
                                  в iOS клиенте не работает.
                                  • UFO just landed and posted this here
                                +1
                                Это общая проблема якиторий в Москве и области, кстати.
                +4
                Мы сохраняем лог-файлы историй соединений пользователей в течение 6 месяцев, с целью предотвращения пользователями нарушений пользовательского соглашения, после чего файлы удаляются.


                И какой формат логов?
                Дайте кусок.
                • UFO just landed and posted this here
                    0
                    http лог дайте, с гет и пост параметрами.
                    • UFO just landed and posted this here
                        0
                        Этого я не пишу. Только соединения на IP адреса.


                        >" stream_0073.domain.html 480 bytes

                        А это не в логах?
                        • UFO just landed and posted this here
                  0
                  Странная логика. Обычному пользователю не ясна разница между http и https и поэтому ему (пользователю) просто необходимо использовать не менее непонятный для него VPN, так что ли?
                  • UFO just landed and posted this here
                    0
                    какой vpn используется? openvpn? pptp?
                    • UFO just landed and posted this here
                      +7
                      $10 за vpn? до 2 МБит/сек? Дороговато как-то, по-моему.
                      • UFO just landed and posted this here
                          0
                          Чем Ваш сервис лучше hotspotshield.com который так же имеет on demand на iPhone, предоставляет профили не имеет ограничений по скорости и существует в бесплатной версии?
                          • UFO just landed and posted this here
                        0
                        Сказать честно, когда прочитал про on demand я думал буду платить только за использование впн, а не выкупать его на месяц.
                        • UFO just landed and posted this here
                            0
                            Ну как в облаках оплата идет, включил сервер, поработал час выключил, заплатил за час.
                            • UFO just landed and posted this here
                          0
                          Зашёл на сайт, прочитал ЧаВо:. Там написано:

                          Как работает услуга?

                          Принцип действия услуги ruVPN очень прост — когда вы соединяетесь с Интернет, ваш персональный компьютер или мобильное устройство шифрует данные и передает их в зашифрованном виде на сервер расположенный в Норвегии, который дальше загружает страницы и файлы из сети Интернет по вашему запросу и передает их вам по зашифрованному каналу.


                          Вопрос № раз: где гарантии, что этот сервер не сохраняет авторизационные данные пользователей услуги для чёрных мыслей хозяина сервиса (автора статьи, как я понимаю)? Ответ: таких гарантий нет. Ибо техническая возможность для этого присутствует. А что творится в голове хозяина сервиса? Какие у него мотивы помимо платного использования ресурса? И как он будет распоряжаться данными, которые проходят через его аппаратуру? Этого никто не знает.

                          Идём далее:

                          Такой подход полностью исключает доступ провайдера, злоумышленников или даже доступ «по звонку» российских правоохранительных органов и других заинтересованных сторон к данным, которые вы передаете. Только решение норвежского суда может предоставить доступ к данным пользователя.

                          А вот и не факт. Тут роль ещё играет кто является провайдером этого компа в Норвегии. Если российский хостер — то решения норвежского суда и не потребуется
                          • UFO just landed and posted this here
                          • UFO just landed and posted this here
                              +1
                              1. Получается, что нужно надеяться на Ваше честное-пречестное слово и более ни на что. Насчёт Ваших контактов — увы, их не так легко проверить. Так что это лишь слова

                              2. Правда? А это что? Там внизу написано: «Также можем предложить сервера в России, Голландии, Швейцарии, Норвегии на любой вкус, под любые проекты». А контакты у них российские.

                              Насчёт того, что у Вас ЦОД, а не сервер — опять же, только слова. И проверить их не так-то просто.
                              • UFO just landed and posted this here
                                  +1
                                  1. Спасибо за интересную ссылку. Но, к сожалению, она в данной ситуации бессильна. Давайте подойдём к ситуации с другого бока: откуда нам знать, что Вы — это тот самый человек, за которого Вы себя выдаёте в интернете? Вы просто некая виртуальная личность, за которой может скрываться кто угодно. Даже скан Вашего паспорта ничего не доказывает. Их можно в инете найти навалом (если правильно Гуглом пользоваться)
                                  Хотя, это проблема любого провайдера VPN. И пользователи сервисов сами должны понимать на что они подписываются: любой провайдер VPN имеет доступ к данным, которые через него проходят. Вопрос: воспользуется ли он этим или нет — можно отнести к философским

                                  2.
                                  Если такие данные предоставляют без решения норвежских органов, то это инициатива исключительно владельцев серверов.
                                  Дык ведь в том-то и дело, что такая их «инициатива» вполне возможна

                                  P.S. В общем, я тут в комментах поднял непростые вопросы. Пусть каждый сам для себя ответит на них
                                  • UFO just landed and posted this here
                                      0
                                      Нет, не так. Наверное, Вы меня не совсем верно поняли. Или я не совсем верно выражал свою мысль. Попробую переформулировать.

                                      Находим скан паспорта в интернете (не конкретного человека — это почти невозможно, а кого удастся найти, первого попавшегося, кого Гугл выдаст), оформляем на него сервер, и используем как захотим. В случае, если начинаются разборки с сервером и поиском арендатора\владельца сервера — всё что есть — это данные чужого паспорта. К реальному владельцу паспорта не имеющему отношения.

                                      Вот я о том и говорю. Так что выяснить кто владелец\арендатор (реальное физ лицо) сервера очень непросто.
                                      • UFO just landed and posted this here
                                          0
                                          При чём тут организация? Регаем у провайдера выделенный сервак (на физ лицо или даже на юридическое). Некоторые провайдеры эту информацию даже не проверяют.
                                          Регаем домен таким же образом + инфа из этого ответа насчёт левых данных при оформлении домена.

                                          В итоге: сервер и домен зарегистрированы на некую виртуальную личность или виртуальную фирму.
                                          Опять же, я не знаю как в Норвегии происходит процедура регистрации домена. Но сервак в Норвегии можно купить у российских реселлеров (как говорилось выше). С доменом — не знаю, не готов ответить. Но в некоторых странах это возможно. Там интернет-продавцы готовы работать с клиентами любых городов стран и прекрасно понимают, что клиент для регистрации домена у них не полетит к ним, дабы заплатить эти несчастные 10-30$ и оформить домен. Ему легче найти тех, кто сделает это за скан паспорта, который он им перешлёт по интернету.
                                          • UFO just landed and posted this here
                                    • UFO just landed and posted this here
                                        0
                                        1. Думаете, невозможно зарегать домен и в Technical Contact вбить левые данные? Я не знаю как с этим в Норвегии, ни разу не пробовал, а на Украине, например, это вполне возможно. И в России тоже. И в некоторых других странах. Телефон в некоторых странах можно купить без паспорта (не знаю как с этим Норвегии). Вот и будет у нас домен зареган на неизвестно кого, с левым адресом, но действующим телефоном… опять-таки неизвестно чьим
                                        2. Мы ж в России живём. Тут и не такое возможно.
                                        • UFO just landed and posted this here
                                            +1
                                            Рука дрогнула. Прошу считать мой минус к комменту за плюс.
                                  • UFO just landed and posted this here
                                      +2
                                      По п.1. Верить нельзя никому. Пользуйтесь либо своим VPN-сервером, либо цепочкой из N чужих. Но я на 100% уверен, что причин слить мои данные органам у какого-нибудь Ростелекома, которому я ничего не сделаю в любом случае, намного больше, чем у норвежца Максима, к которому, если что можно приехать домой и сказать «большое спасибо» за слив приватных данных.
                                        –2
                                        Согласен. Но проблема в том, что: «Если на клетке с тигром написано „страус“ — не верьте».
                                        Так что, кто скрывается за именем Максима — он или ещё кто-то, и каковы его истинные мотивы — можно только фантазировать.
                                          +1
                                          Так что, кто скрывается за именем Максима — он или ещё кто-то, и каковы его истинные мотивы — можно только фантазировать.


                                          Поэтому даже через свой VPN я хожу через https, внимательно проверяя сертификаты.

                                          Вам же никто не говорит «Отключайте все шифрование! VPN ruVPN панацея от всего!», Вам предлагают решение (кусочек решения?) проблемы интернета в РФ. Сколько еще кусочков будет в Вашем решении — сугубо Ваше дело.

                                          Мое мнение, что ruVPN вообще предназначен не для гиков, если честно. Ну собственно они себя так и позиционируют вроде.

                                          И как проверить Максим это или не Максим и он ли Владелец ruVPN — Вам уже написали выше. Хотя я упорно не вижу в этом смысла.
                                            0
                                            Всё что я хотел сказать: если пользователь переживает за сохранность своих данных, которые могут быть отснифаны — зачем ему пользоваться VPN -сервисом, который также может быть отснифан? Только за это он ещё и раскошелиться должен. Автор начал утверждать, что его помыслы чисты как слеза младенца, указав некие факты. На что я нашёл контр аргументы и предостерёг пользователей. Даже если автор прав, и в конкретно его случае есть неопровержимые доказательства принадлежности сервиса конкретной конторе, за которой стоит конкретное лицо, которое можно взять за конкретную жпопу — нужно для этого не хилыми знаниями обладать. Я же исхожу из своих знаний (участвовал в расследовании промышленного шпионажа, проводимого посредством вирусной атаки и ещё много из какого опыта личного) и утверждаю, что в очень многих случаях найти человека, который держит сервер и использует его в грязных помыслах, очень непросто. Иначе бы давно уже пересажали всех причастных к бот сетям и не было бы у нас продолжения StuxNet о котором так любят рассказывать представители Лаборатории Касперского.

                                            В общем-то я призываю пользователей не принимать всё на чистую воду и не забывать думать — это лишним не бывает
                                            • UFO just landed and posted this here
                                                0
                                                Кстати ssl сертификат для вашего сайта вас не идентифицирует. Думаю если занимаетесь обработкой чужих чувствительных данных, то хорошо бы пройти как можно более полную валидацию, а не только домен и мыло подтвердить.
                                                • UFO just landed and posted this here
                                    +1
                                    Наши хостеры раскрывают данные по любой записке от правоохранительных органов (обоснование простое — оперативно-розыскные мероприятия), решения суда не требуется. И я уверен, что в Европе работают по такой же схеме.
                                    В качестве недавнего примера — один регистратор доменов тоже обещал, что закрытие домена .cd возможно только по решению суда Конго. Итог — домен был моментально закрыт по первой же абузе.

                                    Второй пример — когда выложили фотошоп на Матвиенко на сайте Зенита, информация из Нидерландов была получена в тот же вечер. Суд бы просто физически не успел бы состояться так быстро.
                                    • UFO just landed and posted this here
                                        +1
                                        Я уже написал о ситуации с Зенитом — суда там точно не было.
                                        До тех пор пока у вас не было ни одного конфликта с правоохранительными органами и прочими организациями, вы не имеете права утверждать, что «только по решению суда».

                                        Кстати, так и не ответили на мой вопрос по поводу детализации логов.
                                        • UFO just landed and posted this here
                                            0
                                            Максим, но ведь закон «Об оперативно-розыскной деятельности» тоже закон.
                                            • UFO just landed and posted this here
                                                0
                                                да, конечно.
                                                • UFO just landed and posted this here
                                      0
                                      Для пользователей Yota (по крайней мере в СПб) VPN реально помогает, причем не только открывает торренты и т.п., но и в целом стабилизирует коннект, а иногда даже уменьшает пинг в играх. Как у Вас с этим? Есть смысл?
                                      • UFO just landed and posted this here
                                        0
                                        > Хотя с Яндексом есть проблема.

                                        Оу, а остальные сервисы после авторизации куки вообще значит не передают? Если ты такие крутые технологии знаешь, то я конечно выберу твой VPN.

                                        Btw, попробуй прийти в партнерку по partner.yandex.ru и при авторизации всё будет ок.
                                        • UFO just landed and posted this here
                                            0
                                            Facebook, Twitter и Github вообще HTTPS-Only. Независимо от авторизации. А про LinkedIn ты ошибся — он отправляет куки по HTTP так же, как и Яндекс.
                                              0
                                              > Про partner.yandex.ru я в курсе.

                                              А в чем тогда проблема? Если пользователь изначально пришел по HTTP, то будет это неправильным, перенаправлять его на HTTPS при пользовании сервисом (но пароль, естественно надо по HTTPS передавать).
                                              • UFO just landed and posted this here
                                                  0
                                                  При заходе на partner по https и последующей авторизации засвечиваются куки? 0_o
                                                  • UFO just landed and posted this here
                                                      0
                                                      А вот и нет :-P
                                            +1
                                            А где гарантия, что вы не собираете куки из впн-трафика?

                                            • UFO just landed and posted this here
                                              0
                                              Facebook, Twitter, Github, LinkedIn – молодцы, на их ресурсах авторизация только через HTTPS.


                                              Ровным счетом ни от чего не страхует. При возможности слушать такой трафик ровно также оттуда вынимаются кукисы. Facebook преспокойно открывают подменой кукисов типа: datr=

                                              У Твиттера точно такой же куки использован. Следовательно, подменяется в два счета. Остальные столь же «устойчивы» при использовании HTTPS.
                                              • UFO just landed and posted this here
                                                  –1
                                                  Да в том то и дело, что при доступе к маршрутизатору того же хотспота (а речь идет ведь в т.ч. о ситуации с работой в рамках скомпрометированного хотспота, не так ли?) и возможности сниффить все пакеты, никакое проксирование HTTPS трафика и подмена сертификатов не требуется, чтобы увидеть и такие кукисы. Проверено, к сожалению :(

                                                  Потому, ваше упоминание о некоторой безопасности в ситуации с HTTPS-трафиком, в отличие от «не безопасного» HTTP-трафика — неверно. В ситуации с перехватом и дальнейшей подменой кукисов такой трафик ничуть не отличается от HTTP.

                                                  VPN-туннель, по сути, является единственным доступным путем защиты своего трафика в условиях публичных или скомпрометированных хотспотов, необходимости спрятать трафик от анализа или слежки на уровне маршрутизаторов провайдера и т.п. Вобщем, рекламируя свое VPN-решение, зря вы HTTPS приплели :)
                                                  • UFO just landed and posted this here

                                              Only users with full accounts can post comments. Log in, please.