Comments 373
This publication could cause conflicting feelings. Be critical of any posted information. Remember the Community Guidelines before posting your comment.
How to write and what to do?
- Don`t write offensive comments or get personal.
- Refrain from obscene language and toxic behavior, even in a veiled form.
- o report comments that violate the rules of the site, click the "Complain" button or fill out the feedback form.
What to do if: karma goes down, the account is blocked.
Мне понравилось, что в этой же методичке по сути указаны и средства обхода.
Ну средства обхода - это секрет Полишинеля.
Забавно другое - это то, что видимо у кого-то настолько сильно горят KPI, что уже полностью отбрасывают всю ранее развешиваемую лапшу и переходят к прямой сути своих хотелок.
Интересно какие из сервисов примут эту методичку в работу. И кого надо будет удалять, или на крайний случай переносить на отдельный телефон.
какие из сервисов примут эту методичку в работу.
Озон уже
Скрытый текст
Это выглядит, как стандартная блокировка трафика от ботов. На публичных впн штука частая.
Пока такого не наблюдал вживую.
Я наблюдал. Не отключил средство борьбы с деградацией серверов случайно и без раздельного туннелирования и озон выдал тоже самое.
Позавчера: ОЗОН, Авито выкинули из аккаунта и заставили заново перелогиниться - сделал раздольнее трафика.
2ГИС прогнулся, правда скрина под рукой нет, вчера случайно с включенным зашёл в 2гис. А там шляпа .
Отключить VPN, если он используется
Не включал я никакого VPN — живу я здесь!
(Зато в радостных корчах 1 апреля отвалилась Российская Государственная Библиотека, и мне теперь приходится использовать VPN в Россию, чтобы просматривать некоторые документы для исследований.)
Вы будете смеяться, но теперь и приложение Ленты работает только через VPN)
Я понимаю, что все ноги разные, но моя вот, честно, не болит: доступ к РГБ у меня есть. (Или вы на какие-то особые внутренние страницы / поддомены в неё заходите?)
С другой стороны, Маяковка, вот, например, не доступна из-за рубежа, но уже давно, более года, как минимум.
На публичом впн блок, на своем пока норм
Они раньше часто активно блокировали по GeoIP. Видимо решили снова включить это уже готовое решение.
Посмотрим, как снизятся продажи в Озоне на столь конкурентном рынке маркетплейсов.
Это потому что ваш ВПН уже спалился.
Вот так выглядит на "приватном" впн =)
А вы попробуйте проверить на этом сервисе https://nodedata.io/whoami Самому интересно, определит или нет.
Самая точная база у IPinfo, но даже там VPN часто путают с хостингом или Residential Proxy.
вово, они проверяют адрес до своего сайта, а их сайт находится за AS13335 Cloudflare Сан Франциско
Там же находится куча недоступных сайтов, соц сетей, айти компаний к которым используют как раз доступ (к пирмеру openai там находится), собственно маршрут у пользователя туда будет и если обратится к их api можно получить "внешний", не ру адрес
Определил =) Интересно каким образом оно проверяет, ибо это впс с личным впн :)
upd Очень подозреваю что оно просто по диапазону адресов палит что это ЦОД а не домашний адрес, ибо рабочий ВПН оно не спалило от слова совсем.
upd Очень подозреваю что оно просто по диапазону адресов палит что это ЦОД а не домашний адрес, ибо рабочий ВПН оно не спалило от слова совсем.
Неа
Да, детекция происходит при сопоставление IP адреса и данных из БД. При этом они эти БД продают. И у них, чуть ли не у единственных, у кого чётка определяется геолокация и провайдер, даже локальный, с минимальным числом абонентов. И да, корпоративный VPN при этом не будет считаться за VPN. Потому что в базе они не числятся как VPN или ЦОД. Ни один российский сервис так не может.
И вот, казалось бы, готовое решение, бери да пользуйся. Но нет, будут выдумывать свои велосипеды с костылями. Зачем-то приплетая сюда бизнес. И я уверяю, что это не какой-то “хитроход”. Просто люди принимающие ключевые технические решения по реализации опущенной на них задачи оказались случайно на своих местах. И им всё равно на то, что будет с переложенной на них задачей. А конечным исполнителем тем более наплевать на это, их вообще "по объявлению" набрали. Вот и решили это всё переложить на бизнес, при этом выдав дополнительный "стимул". На всякий случай уточню, что я это рассматриваю исключительно с технической токи зрения, не касаясь морально-этической стороны. Пожалуйста, не минусуйте карму.
ПС. Прошу прощения, что не совсем по теме комментария, так и не разобрался как спрятать под спойлер. В предпросмотре Markdown показывал как обычный текст. Экспериментировать с отправкой комментария не решился.
Рабочий VPN, на котором сидят сотни людей не видит.
Все примут с окредитаций - у них выхода по сути нет
Интересно какие из сервисов примут эту методичку в работ
Список потенциальных нерукопожатных был чуть ранее:
https://habr.com/ru/news/1018576/
переносить на отдельный телефон
Можно также и просто больше не обновлять эти приложения (шпионский код скорее всего новый), или на пк в веб-версии сайта делать, что требуется, и тоже впрочем аккуратно.
"Можно также и просто больше не обновлять эти приложения"
IP можно и на стороне сервера проверить вполне
А для этого split tunnelling , необязательно даже per-application
Как это реализовать на ios?
Пример. У нас настроен split tunnelling по ip/domain (ru -> direct, other -> proxy). Условные госуслуги на ios посылают запрос с вашим идентификатором к заблокированному РКН бурж айпи/домену. Это идет через правило other -> proxy. Ваша связка идентификатор + выходной айпи утекла. Вы попались.
Разные сервера на входе и на выходе. Тогда “утечет” и будет заблокирован только выходной адрес, а подключаетесь вы к другому - входному. Также можно достаточно точечно настроить split tunneling, чтобы в него не попали всякие checkip.amazonaws.com - тогда и выходная нода останется ниже радаров (и можно будет обойтись одной). Все что сможет определить приложение-стукач - это что заблокированные ресурсы у вас все-таки открываются.
Прямо сейчас, насколько знаю, нет такого кроме кейса "разные вход и выход".
Если прям щас, то лучшее и простое что от Вашего кейса, что от @Aelliari ниже:
1) второй телефон
2) самодисциплина -- выключение обходов перед посещением аккредитованного + да и вообще свайпать из памяти приложение после того, как нужное сделал.
Как это реализовать на ios?
Про будущее: существующим клиентам в бэклог задачу "открыт ли сейчас у пользователя app-стукач". В принципе, можно по анализу того же своего сетевого трафика за последние условно N минут, сделать приближённый per-app, проверить доступность аккредитованного (auth-зоны, например), и, скажем, "other" принудительно переводить в правило ru-direct (то есть фейлить в итоге).
свайпать из памяти приложение после того, как нужное сделал
Кстати, вот тут у меня вопрос. Можно ли отправить на приложение пуш (скрытый, например), который без явного действия пользователя это приложение разбудит и заставит в фоне какое-то действие проделать?
Ага, вчера убил yandex go в списке кешированных процессов, утром он опять там. Или добавлять в список deep sleeping apps, или архивировать и разархивировать, когда нужен.
если это на android то проще запихнуть в рабочий профиль. Янднекс мало того что в рандомный момент себя регулярно вызывает, так еще и подтягивает ВСЕ свои приложения что есть на телефоне, чем очень грузить даже не самые слабые телефоны. у меня например, если открыть любое приложение яндекса то спустя время откроются все остальные и будут висеть в фоне.
рабочий профиль
На моем S24 Ultra work profile - это что-то такое для корпоративного использования, что может администрироваться извне. Вроде, самому туда можно приложения ставить и использовать, но как это поможет от висения в фоне? И какой environment от какого изолируется? Впрочем, такой же вопрос про Knox, По идее снаружи к Knox не должно быть доступа, а наоборот.
"Сказал" утром Yandex Go force stop в настройках. Кнопочка до сих пор серая, в списке кешированных процессов тоже не видно.
Ну и это же нифига не автоматизировать.
Можно Shelter. И замораживать поставленные туда приложения при блокировке телефона. Запуск и авторазморозка когда нужно вручную тапом по иконке
Поможет тем, что есть переключатель, позволяющий остановить все приложения из рабочего профиля. Когда рабочий профиль настроен, можно добавить в quick settings.
Интересно, ShizuWall с автоматизациями тут поможет? Как альтернатива заморозке.
Про iOS.
Если прила не запущена -- то есть в app switcher её нет -- то до её запуска этот silent не будет доставлен, а то и после запуска вообще не будет доставлен.
Apple сами сразу предупреждают, что сайленты максимально ненадёжны: и приоритет низкий (чтоб батарею все не абьюзили где-то помню упоминали) и на обработку успешно доставленного вообще есть всего 30 сек.
Можно пойти дальше и в настройках системы вGeneral -> Background App Refresh запретить сайленты нужным приложениям (да или вообще всем).
Это решит такой параноидальный (ли?) кейс:
1) Юзер открывает "стукача", делает свои дела ;
2) НЕ свайпает из памяти, просто вышел в Home;
3) Спустя время забывает, что стукач-то в бэкграунде;
4) Включает обход, ходит к запрещёнке;
5) Происходит попытка доставить сайлент к всё ещё включенному стукачу ;
6) сама iOS дропает сайлент пуш
Как это реализовать на ios?
Встроенными средствами (Команды->Автоматизация) запускать VPN при открытии конкретного приложения и отключать VPN при его закрытии. В iOS закрытием считается и блокировка экрана, и переход в другое приложение, и VPN сразу отключается, новое приложение уже будет без VPN работать. Нажатие десяти кнопок. Это простой путь.
Но мы же на хабре! Поэтому надо рассказать и про правильный путь. Вы можете спустить любое VPN-приложение самому себе, а так же настроенные правила сплит-туннелирования (per app/per domain) через MDM-конфигурацию. Сам MDM можно завести через Apple Configurator, на Хабре была отличная статья.
У меня в iOS почему-то регулярно надолго залипает как подключение, так и отключение кнопкой в UI самых различных клиентов (а порой еще и игнорит команду, отбрасывая в исходное). В таком случае с автоматизацией полагаю есть риски утечки? Например, если ты быстро переключился в другой апп свайпом или перешел по пушу, а оно задумалось в фоне. Из-за этого автоматизации не пыталась настраивать. Интересно, насколько четко это отрабатывается на практике.
А про Apple Configurator любопытно, жаль желаемое вроде не получить без сброса устройства.
необязательно даже per-application
Почему? Если как раз «не per app» можно детектить через аномалии с IP. Мало кто собирает свои списки на обход, а добавить на сервер невидимый пиксель, который будет тянуться с иного гео - задача не такая уж неразрешимая.
А может просто туннель на девайсе пользователя пускай будет всё ru в блок кидать, а не в direct? Забудешь выключить - никакого тебе ru. Тогда и пикселя никакого не будет (страница с пикселем не загрузится). Иди выйди и зайди как положено. (UPD и плюс на сервере то же самое - на всякий случай)
Похоже это будет самый оптимальный вариант
ого, вот кого, а мультипрограмма в таких событиях в таком профильном месте не ожидал увидеть, даже не поверил сначала. с друзьями с которыми которых по 15 лет знаю, вырос под "мультипрограмм представляет" и "это я, профессор PSY", а так же с бесконечными вариациями фраз "Стёпа, ты всё испортил". и вот до чего мы дожили, если можно так выразиться, в Мор- кхм, в Зазеркалье. ну это, береги себя и все такое и прибольшое спасибо.
Такое ощущение, что это уже не "KPI горят", а "следователь уже вызывал, пока просто на беседу"
KPI - это поручение высокого руководства чуть менее высокому руководству; следователь - это уровень сильно ниже.
Причём это именно KPI Минцифры, а не органов, потому что в основном давят на отлучение от аккредитации и от белого списка, а не на ужесточение юридической ответственности.
У следователя сильно другие задачи. И ему их надо выполнять, а не издеваться над здравым смыслом - вот как раз горящие KPI над здравым смыслом часто издеваются.
Да уж. комментаторы тут правы. Если они прям уже не палятся и публично просят крупные сервисы стучать - они в дальнейшем могут начать и непублично "просить" сервисы помельче. Грубо говоря, они провоцируют пользователей относиться к любому приложению российских фирм и тем более государственно-муниципальных служб (всякие госуслуги\налоги\жкх\почты и т.п.) относиться с политикой "zero trust by default", заводить второй смартфон, (опционально - с LineageOS), получать отдельную сим-карту, отрубать напрочь GPS\WiFi\Bluetooth и ставить всё российское ПО, а также посещать российские сайты служб\крупных компаний исключительно с этого телефона и исключительно через мобильную сеть или сторонние WiFi.
И если для госслужб потеря репутации не так страшна, ибо невысока и была, то для компаний это прям издержки.
Все так. А если нужны сертификаты минцифры, инструменты работы с ЭП и прочая бодяга для взаимодействия с гос. органами, тогда и на десктопе нужно быть очень осторожным.
Госплагин при работе добавляет неотключаемое расширение Rutoken Connect, которое блокирует все прокси в браузере.
Ну на десктопе можно траффик браузера с этими ЭЦП метить DSCP меткой, а на роутере создать правило для такого траффика, чтобы он не совал траффик в туннель независимо от других условий - только в основной шлюз)))
Прекрасная методичка, превращающая отечественные частные платформы в соучастников цензуры и блокировок. Подводят к тому, чтобы появились устройства "для всего русского", а на нормальных на пушечный выстрел не подпускать любое отечественное ПО.
по сути, любое приложение от любого отечественного сервиса будет следить за пользователем как приложение СКАМа
на андроиде реально придётся заводить реально второй телефон для всего этого зоопарка(
А на айос разве не будут следить?
В статье пишут что на iOS средства изоляции приложений друг от друга существенно сильнее, изза чего гораздо сложнее шпионить
Это только от проверки через системные api. При этом системные api позволяют без проблем проверять наличие vpn на уровне включен/выключен без подробностей.
А проверять эффективность блокировок и собирать выходные ip можно и без этого
Состояние вкл-выкл, кмк, слишком грубо определять, ибо это даже может быть локальный впн для фаервола. Все же без указания хотя бы адреса сервера сама инфа о включенном впн соединении бесполезна) А сервер хрен пропалишь на андроиде том же, ибо впн приложение дает app-based-tunneling: включил только необходимые приложения, а остальные пусть звездуют в чебупельнет))) Вот на роутере проще палить, по идее, ибо ему пофигу от кого идет запрос до запрещенки, если настроены правила заталкивать в туннель по dst-address-list а тем более если вообще весь траффик суется)
Хотя и на нем можно дифференцировать траффик. К примеру, подымать локальный прокси и применять dst-правила только к тем кто работает через этот прокси, а их можно вбивать в самих приложениях. Но браузер, к примеру, опять же, может использоваться для посещения любых сайтов, и в нем как-то придется отдельно дифференцировать работу прокси, что уже совсем заморочно.
Предположу, что речь о том, что признак включенного VPN в Андроиде доступен всем приложениям, а в iOS - нет.
Но это не помешает собирать ip-адреса устройств на стороне серверов.
iOS не панацея. Вот способ чекнуть включен ли ВПН на iOS
Тут ещё проблема в том, что вообще любое приложение может следить. Какая-нибудь игрушечка из категории три-в-ряд запросто может стучаться на специальные сервера и палить текущий адрес абонента. Причем эти сервера могут быть и в России, и не в России, чтобы сплит-туннелирование определять.
И как с этим бороться - пока не ясно.
подключать квн только для определенных программ. на ios для этого есть автоматизация. с включением/выключением при сворачивании аппа
Это жуткий костыль, а не автоматизация.
Это не поможет, если юзер не в РФ, а ему в РФ ресурс через РФ сервер нужно зайти.
И VPN на роутере не поможет: чекать-то будут по доменам-определялкам IP, сплит-туннелирование лишь поможет спалить fuck'т использования VPN. Что делать - ну, видимо, подключаться к сети Wi-Fi с "полным" VPN на РФ, будто ты в РФ находишься. Или надеяться, что в бизнесе не дураки сидят, и так сильно рубить себе свой же трафик не будут.
Я последние дни тревожусь, вот на android включен per-app vpn, но приложения, которые не добавлены в список, все равно видят статус включённого vpn.
Значит, условный маркетплейс может сказать, ага, он под vpn и сообщить куда надо мой российский ip мобильного провайдера. Будет ли нормально настроена проверка, что ip российский и его не нужно кидать в бан?
приложение может запросить у операционной системы сам факт того, что в ней включён впн, но при сплит туннелинге "пощупать" параметры этого впн оно не сможет
Как в методичке и сказано, ConnectivityManager.getNetworkCapabilities() приложению условного маркетплейса возвращает тип транспорта — TRANSPORT_VPN, и при этом ему совершенно до лампочки, весь вы трафик заворачиваете, по отдельным приложениям или по подсетям.
По букве методички получается, что вполне могут смотреть на этот ответ про TRANSPORT_VPN и банить IP…
Но так они делать вряд ли решатся, потому что при сплит-туннелировании они не видят IP вашего VPN, а если банить ваш обычный адрес, вот так, "в лоб", то к концу первого дня перебанят всех мобильных операторов.
Напрашивается вывод. Дома сидите через маршрутизатор со сплит туннелированием, а на улице либо надейтесь, что не забанят, либо держите их приложения в песочнице, размораживайте по запросу, после отключения VPN.
Интересно, а можно всё таки какую то обертку над этим ConnecrivityManager сделать под рутом или это прям совсем ядро. Как устроен в КВН раздельное туннелирование? С использованием нативных функций ОС или как-то по другому?
VPN для каждого приложения
VPN-приложения могут фильтровать, каким установленным приложениям разрешено отправлять трафик через VPN-соединение. Вы можете создать либо список разрешенных, либо список запрещенных, но не то и другое. Если вы не создаете списки разрешенных или запрещенных, система передает весь сетевой трафик через VPN.
Ваше VPN-приложение должно настроить списки до того, как будет установлено соединение. Если вам нужно изменить списки, установите новое VPN-соединение. Приложение должно быть установлено на устройстве, когда вы добавляете его в список.
Я исключительно для понимания сетевой лапши Androidа, конечно, спрашиваю, а не для нарушения законодательства РФ.
Gemini говорит, что под рутом что-то можно сделать, но я не проверял, вы лучше сами спросите.
Ещё можно сидеть через браузер или PWA приложения, сайтам таких данных андроид не отдаёт (если раздельное туннелирование корректно настроено, то сами они и не узнают).
Неудобный вариант — shelter плюс заморозка-разморозка по мере надобности. Ну и не панацея, и аккуратности требует.
Ну или можно купить айфон. Он как раз изначально не даёт приложениям ненужной им информации. На что как раз они там жалуются в методичке.
Ещё вам там прямо в методичке подсказывают вариант "прокси-сервера, имеющие IP домашнего провайдера", причём, если ещё на домашнем роутере корректно настроено сплит-туннелирование, то ещё лучше.
если ещё на домашнем роутере корректно настроено сплит-туннелирование
Которое элементарно определяется сервисом даже при доступе к сервису через браузер, а не через приложение. MAX не даст соврать.
IPhone ещё как даёт возможность чекнуть впн
- (BOOL)isVPNConnected
{
NSDictionary *dict = CFBridgingRelease(CFNetworkCopySystemProxySettings());
NSArray *keys = [dict[@"SCOPED"]allKeys];
NSLog(@"keys==>%@",keys);
for (NSString *key in keys) {
if ([key rangeOfString:@"tap"].location != NSNotFound
[key rangeOfString:@"tun"].location != NSNotFound
[key rangeOfString:@"ipsec"].location != NSNotFound ||
[key rangeOfString:@"ppp"].location != NSNotFound){
return YES;
}
}
return NO;
}На SO это не такой уж и редкий вопрос. Так что решения по чеку впн готовы. Ещё и для разных фреймворков.
Под рут есть Lsposed. Нашел это
https://modules.lsposed.org/module/me.hoshino.novpndetect/
Надо попробовать.
Когда-то под Xposed были проекты Xprivacy/XprivacyLua которые позволяли очень тонко модифицировать «ответы» на системные api
Попробовал на приложении мегафон. Работает, оно перестает видеть ВПН. Тут правда вылезает другая засада с банковскими приложениями - мы или скрываем от них рут (а это нужно), или вешаем на них хуки LSPosed...
Вылетает приложения Альфа Банка и ВТБ после применения к ним этого модуля, из того что успел протестировать.
Напрашивается вывод. Дома сидите через маршрутизатор со сплит туннелированием
И тут он оказывается не "per app", в итоге либо сам собираешь список доменов и пускаешь в туннель только их, либо также есть шанс попасться на анализе аномалий с ip при использовании геобаз/листов заблокированного из интернета
Использую вариант с двумя браузерами, один напрямую, другой через прокси. По сути такой вариант с "ручным" раздельным туннелированием. Ну, и десктопный клиент ТГ тоже через прокси.
Самые прошаренные используют вариант с двумя лаптопами.
На десктопах всё-таки попроще - завел виртуалки, и сажай в них хороших отдельно, плохих - отдельно. ;)
«Хороших — в хорошие виртуалки, а плохих — в плохие!» ©
А если домой кинуть тоннель через белый IP провайдера или российский VPS?
Но так они делать вряд ли решатся, потому что при сплит-туннелировании они не видят IP вашего VPN
Видят, если достаточно хорошо пробежаться по всем определялкам айпи-адресов, зарубежным тоже. Против такого меча нужен такой shit: сниффать трафик и добавить все возможные домены определялок на своём VPN (на конечном клиенте) в DIRECT.
Но поможет лишь юзерам внутри РФ, снаружи РФ нужен сервер в РФ, и он по геобазам будет определяться как hosting... вот и флаг для блока. Как я выше писал и как вы писали, остаётся надеяться, что в бизнесе не дураки сидят, и так сильно рубить себе свой же трафик не будут.
Запихивать определялки в директ не поможет просто потому что засунуть вообще все определялки нереально, слишком много. + ко всему ничто не мешает им хоть каждый день создавать/использовать домен с эндпоинтом на зарубежном сервере на проверку ip.
Получается, всё. Дамоклов меч для россиян за рубежом для большинства способа обхода, точнее, захода... Без выхода по российскому резидентному (домашнему) IP тут почти никак.
Но при раздельном туннелировании per-app этой проблемы изначально нет
Если бы еще сплит туннелирование действительно работало.
Я что через tun, что через socks (потому что не запаролен клиентом) смог вытащить ip выходной ноды. Проверил на нескольких клиентах vpn.
Именно "per-app" тут ключевое. Приложения, которым не выбрано vpn-тунеллирование, не вытащат никакого ip выходной ноды, потому что никаких выходных нод, кроме родных от провайдера, у них нет.
Подъехали плохие новости
https://habr.com/ru/articles/1020080/comments/#comment_29790062
Сейчас приложение для заправки Газпромнефть уже ведет себя нагло. Говорит:
- Выключи ВПН иначе не покажу QR код для бонусов.
- Но ведь у меня VPN-per-app и ты не работаешь через VPN
- Ничего не знаю, я вижу, что в системе включен, выключи, тогда покажу.
Возможно скоро так будут делать все приложения и действительно придется заводить отдельный телефон для них.
ждём андроид 17-18-19, где это пофиксят. Осталось дожить
А это все равно покупка нового телефона, ведь производитель телефонов любит нас и позаботится о том, чтобы мы не получили новую ОС не купив у него новый телефон)
Ну тут уж никуда не деться. Раз в 5-7 лет телефон так и так менять приходится.
Сейчас уже на маркетплейсах стоят таблички "Не поставляется в вашу страну". Все телефоны походу будут уже с предустановленным "нужным" отечественным ПО и закладками.
С 1 мая запускают маркировку электроники и купить Google Pixel станет сложнее.
Придётся не просто заводить отдельный телефон, но ещё и ехать за ним в другую страну.
Угу. Проблема в том, что банальная баннерорезка тоже представляется системе, как VPN
Самое безумное, что у меня по разным причинам VPN до внутренней российской локальной сети, и приложению вообще должно быть фиолетово на такое...
У меня некоторые приложения (банки, маркетплейсы и ещё что-то) так ругаются на AdGuar.
Идея, завести портативный роутер со встроенным lte модемом и на нем настроить vpn.
Можно настроить второе пространство, там флаг включенного VPN не определяется (сужу по Xiaomi).
На телефонах Xiaomi есть Второе Пространство. Можно второй набор приложений устрановить, которые не будут знать про первый набор.
Второй телефон или второе пространоство на современном, условно мощном, андройде. Теперь только так.
На Андроид есть эмуляторы Андроид, читай виртуалки. Когда я последний раз смотрел, они все были кривые, будто инопланетянами писанные, но работали.
Можно посмотреть vMOS, Virtual Android, F1VM, вроде еще были. Чисто теоретически, это должно быть решением. VPN изнутри не работает (как я понимаю, там не полноценная виртуальная машина), но, возможно, приложения оттуда не смогут чекать статус VPN на хосте. А значит, должно работать разделение трафика по приложениям. Все в теории.
А если смарт достаточно новый, есть https://github.com/xoureldeen/Vectras-VM-Android тут будет полноценная изоляция.
Про удобство речь не идет, скорее про альтернативу таскать второй телефон.
Уже вышла вот статья про уязвимости VLESS и возможность у других приложений перехвата чувствительной инфы.
https://habr.com/ru/articles/1020080/
Спасибо минцифры, удалил все российские приложения с телефона. Лучше я перестану пользоваться российскими сервисами, чем откажусь от ютуба и телеграма.
А как отличить российские от не российских?
В шапке статьи перечислены потенциальные российские сервисы-стукачи.
Почти все они на ведре имеют префикс .ru. Не все, но многие.
Как раз составлял список для своего клиента:
ru.*
com.kaspersky.*
com.wildberries.*
com.avito.*
com.vkusvill.*
com.apegroup.*
com.platfomni.*
com.idamob.*
kolbassf.*
com.hommyn.*
com.levelkitchen.*
www.metro.*На полноту не претендую.
Возможно, стоит удалить не только приложения, но и учётные записи. Уже несколько лет как отказался от сервисов "VK" и "Яндекса", но к изменениям это пока не привело, /s?
CF, YT, TG, КВН - это инструменты, как лопата, например: можно землю копать, а можно человека оглушить, но последнее - не причина запрещать все лопаты в принципе! Орудие преступления становится таковым только в руках преступника, будучи использованным с преступным умыслом! Зачем ограничивать законопослушных граждан, обычных пользователей?...
Из ВК я удалился еще несколько лет назад, хоть аккаунтом почти и не пользовался.
Почистил все ящики на мылосру и тоже планирую их удалить в ближайшем будущем, как только переведу все аккаунты на гугловскую почту. Я собирался это сделать еще до этой новости о слежке за впн, так как реклама на мылосру изо всех щелей лезет и откровенно мешает.
К сожалению с озона или авито удалиться не так легко, так как только там можно приобрести некоторые нужные вещи, которые в рф купить больше негде.
Министерство экономического развития выпустило методичку по борьбе с деньгами.
Министерство образования выпустило методичку по борьбе с делением в столбик.
Министерство здравоохранения выпустило методичку по борьбе с пациентами на прогиб их ежжи.
осенью пойдёт внедрение цифрорубля, будет вам и методичка по борьбе с деньгами (наличными)
Альфа уже анонсировала "добровольный" перевод 30% суммы на счетах в цифрорубль))) (если сам не откажешься, банк "позаботится" о тебе.)
Не могли бы вы поделиться ссылкой на источник информации об этом? Спасибо.
Докопался до первоисточника и я походу повелся на фейк, прошу прощения.
https://infoalfa.org/ Creation Date: 2026-03-24T13:53:00Z
#Нострадамус - посмотрим 30.11.2026, что там с цифрорублём ;)
Я на андроиде просто останавливаю приложения яндекса, vk, озон и всем запрещаю открывать приложения по ссылкам.
Web-версии сервисов гораздо более лучшая альтернатива, но придётся немного пожертвовать удобством.
Web-версии сервисов гораздо более лучшая альтернатива
c навигационными сервисами только засада получится...
К сожалению, этого не достаточно. Процесс приложения на Андроиде может быть неявно запущен через ВоркМенеджер, отложенный аларм, полученное пуш-сообщение, или бродкаст и т.д. После чего оно может спокойно сходить в сеть, не стартуя экран, не показывая уведомления, и т.д. Самое печальное - никаких нормальных способов гарантировано предотвратить это не существует.
Я пробовал экспериментировать с тем чтобы через настройки разработчика ограничить количество фоновых процессов в 0, и вроде бы оно даже работает, но нет гарантии, что оно будет единообразно работать у всех вендоров, к тому же лимит, насколько я помню, поставить можно только на всю систему сразу, а не на выбранные приложения, и это создаёт неудобства.
Ещё можно disable-ить приложения через pm, и активировать только когда потребуется, но это необходимо делать через adb, не знаю возможно ли подобное удобно сделать в рамках фреймворка без какой-то local adb прослойки. И опять же - неудобно, т.к. приложение полностью визуально пропадёт из лаунчера.
Даже в кастомных прошивках эту задачу решить не так просто, ну или может быть это я отстал от новинок прошивкостроения
есть решения по типу IceBox https://4pda.to/forum/index.php?showtopic=733657, который, в том числе и без root будет работать - один раз через adb запускается скрипт, и дальше можно замораживать/размораживать приложения спокойно, до перезагрузки системы будет работать. Возможно, есть open-source аналоги, не искал. В целом, наверное и навайбкодить самому при желании возможно
Интересно, с технической точки зрения, установленный, но ещё не открытый после старта Windows Яндекс-браузер сразу же становится стукачом? Допустим, если через него или web-версию почты определяется доступность Ютуба, но при этом используется "Запрет", то что в итоге планируется блокировать?
Методичка вроде не про десктопные системы, а про Android и iOS.
Установщик вполне может прописать компонент "ревизор lite" в службы windows и запустить его.
Вообще да, яндекс браузер на windows агрессивно прописывается в автозапуск куда можно. Создает множество точек автозапуска, точки автозапуска для восстановления удаленных предыдущих точек и т.д.
Пришлось день потратить, чтобы запретить ему деятельность когда браузер якобы выключен. Отказаться увы никак, для бизнеса вариантов на сколько я знаю, уже нет.
https://github.com/sandboxie-plus/Sandboxie
Для блокирования чтения файлов вне песочницы нужно зайти в опции песочницы и на самом первом экране выбрать "Песочница с защитой данных"
И в разделе доступ к ресурсам дать доступ "Открытый для всех" для папки Downloads, тогда и программу можно установить, и сохранять можно будет в эту папку.
Продукты Yandex очень сильно соединениями сорят. На одном из FW просто заблокировав несколько FQDN вычистили в районе гига оперативки.
Да. Программа и обновлятор прописываются в автозапуск и постоянно висят запущенными. Видно через диспетчер задач.
Поставь wireshark и посмотри куда он будет лезть. На всякий случай фаерволом все лишнее ему запрети.
Ну значит все заказы со всяких Озонов только с ПК, а все россервисы, включая всякие ЯндексКарты и прочие удалять с телефона.
P.S. И получается, что, как обычно, в МАХе соврали, когда говорили "мы на другие IP стучимся только для улучшения качества чего-то там". Вот, теперь официально это для проверки наличия КВН.
На андроиде все "подозрительное" можно в shelter закинуть, но это тоже не панацея.
На андроиде все "подозрительное" можно в shelter закинуть, но это тоже не панацея.
Можете пояснить, почему нет?
Как я понимаю, можно легко забыть выключить квн, перед запуском этих приложений.
лучше использовать второе пространоство для этого, как буд-то второй телефон получается
Хорошо это реализуется только с наличием двух телефонов. Один для скрепо-сервисов, второй для нормальных сервисов. Без карт, озонов и им подобных в РФ трудновато будет жить.
Похоже, правда придётся иметь 2 телефона. Проблема только что российская часть интернета при отключении VPN работает уже хуже забугорной.
Если маркетплейс попадётся на сливе данных в ркн получит cancel culture
Если маркетплейс попадётся на сливе данных в ркн получит cancel culture
Нет у нас такой опции. Был уже прецедент с Лукойл.
Интересно, как политики сторов (gplay, apple store) относятся к сбору подобной телеметрии...
Ну Apple вообще помогает РКН с удалением приложений, так что тут, думаю, нормально относится. А у Android это же вообще не бага, а фича.
А ещё приложение может запретить снимать скриншофты. Это вообще зашкваар
На Windows тоже. Например, приложение Unigram.
Эппл не только РКН помогает) https://reportaproblem.apple.com
Делов буквально около минуты, нужно только:
1) скачать приложение в сторе. Даже запускать не надо ни разу
2) в этой форме авторизоваться под AppleID
3) выбрать прилу и описать что не так
А что лукой? Заправляться-то больше негде, так что это монополия
Ну озон, вб и яндекс-маркет, в общем, тоже можно отнести к монополиям. Даже если их не отнести к ним, Минцифры пригрозил отлучением их от белого списка, если они не будут помогать в борьбе со злоумышленниками, которые хотят посмотреть youtube или пообщаться в телеграме.
И что? Заправляться на заправках, где льют ослиную мочу? У лукойлы нет конкурентов по качеству топлива. У кого дорогие машины, все льются на лучке
Вы ответили на комментарий про мертвый институт репутации в РФ, я вам привел причины.
Дальше каждый решает для себя сам.
У лукойлы нет конкурентов по качеству топлива. У кого дорогие машины, все льются на лучке
вот спорно, нет никаких объективных обоснований что у лукойла какойто особо хороший бензин, а у условного газпрема и т.п. моча
я могу лишь личные умозаключения (основанные лишь на ощущениях) привести
1) у лукойла всегда дороже, если брать заправки топовых компаний (это наверное единственное объективное утверждение)
2) все мои авто начинают жрать чуть больше, если я заправляюсь там, сразу скажу что не мерил, но замечал что если вдруг чуть чаще начинаю заезжать на заправку - значит прошлый раз был там
3) это совсем уже магия - но кажется что хуже тянет, когда кстати была заправка BP там был тотже эффект
Заправил газпрём, сразу расход с 6 до 7 оста литров повысился
Показометр 5й точки тут вообще штука сложная, она что угодно может показывать
Если вы давно ездите на авто, то могли бы заметить что вообще сам по себе факт смены заправки - влияет на поведение авто (вплоть до того что после какогонить тебойла заправится на ноунейм заправке у черта на рогах, авто может неожиданно лучше поехать)
сразу расход с 6 до 7 оста литров повысился
там сильно больше разница, 1л. он незаметен на "У кого дорогие машины"
у меня второе авто с расходом 14-16л на 100 по городу, эти 14-16 укладываются в погрешность измерений и зависят от настроения если тапку давишь или нет. а вот разница "чот не едет" и "два раза на полном баке в центр Мск сгонял и лампочка горит, а обычно на 4 раза хватает" - это далеко не 2 литра на 100
но опять, не мерил специально, сугубо по ощущениям, меня больше напрягает то что там тупо дороже, у лукойла
Надо понимать что у ВИНК далеко не один НПЗ. А логистика - НПЗ - Нефтебаза - АЗС. Могут те же вагоны от мазута плохо промыть и плеснуть туда бензичика. И всё, по сути испортили продукт. Лично я заправляюсь на любой АЗС ВИНК, потому что они сами по полному циклу производят и доставляют до АЗС свою продукцию.
Могут те же вагоны от мазута плохо промыть и плеснуть туда бензичика.
Как бывший железнодорожник, смогу сказать что это крайне маловероятно
Лично я заправляюсь на любой АЗС ВИНК
я тоже так делаю, АЗС всяких ноунейм брендов и непоймикакие, учитывая маржинальность (не особую) у этого бизнеса, начинают странные вещи делать
у меня в городе где я вырос есть АЗС где бензин всегда дешевле на 2-3 рубля чем на любой другой адекватной заправке, и собственно бензин там неплохой...в чем фокус? а в том что в бак 65 литров у них влезает 68 литров бензина
Я когда-то (году в 12-14) пробовал различные компании раз 5 каждую и в разных манерах (город-трасса). Смотрел не по расходу/стоимости, а по деньгам на километр. Самое дешёвое было у БП и Шелла (хотя у них литр стоил дороже других), потом у лукойла, потом у газпрома. Самый аутсайдер был ТНК. С учётом копящейся скидки у шелла, они получались чуть дешевле чем с БП, но за год разница одной заправки (12-15литров)
БиПи покупал топливо у Роснефти, Шелл покупал у Лукойла. ТНК это по сути дочка Роснефти и топливо было с одних и тех же региональных НПЗ. В последние пару лет перед тем как уйти из РФ - Шелл стал покупать топливо у ГПН. Все паспорта качества были либо на кассе либо висели на стене рядом с кассой.
Вполне может быть и так, я говорю со своего опыта из реального “нагрузочного” тестирования. Можно сколько угодно соответствовать гостам, но у одних это будет финский сервелат а у других советская варёная докторская. Возвращаясь к сказанному выше, я не знаю почему в те года получилось как получилось, но с тех пор заправлялся на шелле. В какие-то моменты мне казалось что с ними произошло что-то, но в такие моменты помогало с БП как с контрольной группой сравнивать. Заправлялся последний раз наверное году в 20, для меня даже сюрприз, что шелл ушёл из России.
для меня даже сюрприз, что шелл ушёл из России.
почему сюрприз то? Шелл гигантская мировая корпорация, РФ для неё далеко не основной рынок, а конкретно в рамках АЗС так вообще довольно нишевая марка
Ну я могу примерно также сказать, например, про райффайзен, бургер кинг и ещё несколько мест. Понятно, что юрика сделали российского и работают дальше. Не слежу особо за новостями, но видать уход шелла прошёл мимо меня, потому и удивился, как одна из компаний которыми пользуюсь, потому про себя отмечаешь новости.
БиПи и Шелл всегда покупали топливо тут в РФ.
Я лично на Лукойле заправился ровно 1 раз за 30 лет, только потому что вообще не было других вариантов.
Заходит интернет трафик в мобильное приложение и спрашивает, а что у вас тут происходит? Других слов у меня просто нет!
Ну, т.е. приехал я в отпуск, в Египет допустим.
Попытался заказать, что-то с Ozon, к своему возвращению.
В итоге внешний IP отеля забанит РКН.
Они там совсем ку-ку?
ну ладно мы... ну есть же много россиян - небожителей, которых такая херь просто унижает и опускает до уровня простых смертных. Как они такое терпят то. Я помню в теме с Ковидом это помогло. Ему было пофигу на то, небожитель ты или простой смертный. Надеюсь что и с трафиком такое тоже будет и так - победим
Ничего страшного. Кадыров, к примеру, уже решил для себя этот вопрос.
Почему-то ссылка не приложилась.
Не будет, у небожителей интернет без фильтрации) и впн им соответственно не нужен.
А каким образом у них без фильтрации?
По определенным симкам, видимо.
Роуминговые симки за счёт бюджета (от 100 рублей за ГБ до безлимита за 30 евро) - весь трафик туннелируется к родному оператору и уже оттуда выходит в интернет.
Например, отдельный VPN-сервис без ограничений, который банить не будут
Как правило отдельная вип группа которая ходит мимо фильтров в принципе.
Звонишь из Египта жене в Россию и через нее заказываешь. На ее вопрос, почему ты сам, находясь в командировке в Воркуте, не можешь сделать заказ, отвечаешь, что здесь дорогой интернет.
Сомневаюсь, что будут банить из-за одного инцидента. Задача "забанить 100% VPN" нереальна, так что полагаю, что по каждому IP будет счётчик инцидентов, при превышении которого этот IP будет баниться.
не так все. они не банят если ты зашел с зарубежного сайта. банят если ты заходишь в свою учетку то с зарубежного айпи то с российского
Десять ВПН (по мотивам Агаты Кристи)
Я выбрал десять ВПН, чтоб доступ в сеть проверить
Один вдруг удалил аппстор и их осталось девять.
Чтоб оплатить все ВПН я перевёл бабосы,
Но в банке сбой, платёж завис — и их осталось восемь.
Под ВПНом на ВБ купил на лето крем
ВБ айпишник сразу слил — и вот их только семь.
(продолжение следует)
Во вкусно с точкой я решил купить себе поесть ... И их осталось шесть
Зашёл на Яндекс, чтоб такси для мамы заказать ... и их осталось пять
...
Десять ВПН (по мотивам Агаты Кристи)
Владимир Высоцкий - Зонг о десяти ворчунах
...
Рунет на это посмотрел устало,
Повесился, и никого не стало.
Забыв про впн, зашел с утра я поглядеть на жесть
И новости здесь нет, и их осталось шесть
Подпив с коллегой в баре, спорил я опять
Открыл авито для пруфца - и снова их тут пять
Пять толстых ВПН себе пакетов чуть налили
Один вдруг поперхнулся - они его добили
Вконтактик гнусмас сам залил на мой смартфон
Туннель спас остальных, героем помер он
Три сетевых братишки шептали тихо в сеть
Но в максе позвонила мама - и одного уж неть
И одного из них сожрал железный конь -
И бонусом была того бензина шмонь
Жена из рук в лабазе ловко выхватила телефон
Один лишь шанс остался, один остался он!
Зашел тайком в даркнет, смартфон боясь повесить
И снова их купил - и снова их тут десять
----
#ОбедТворческий
Ну то, что Минцифры борется с доступностью защищённых сетей - это может нормально.
Но когда это делает Министерство цифрового развития, связи и массовых коммуникаций РФ, то уже странно. Борьба со связью и развитием как будто противоречит названию.
В США например переименовали "Министерство обороны" в "Министерство войны". Звучит вроде дико, но ведь сейчас в США это министерство занимается именно войной.
Может имело бы смысл назвать "Министерство цифрового развития, связи и массовых коммуникаций" какой-то вроде "Министерства ограничения цифрового развития, блокировки связи и контроля за массовыми коммуникациями", чтобы по названию было более понятно направление деятельности. Судя по методическим указаниям, которое выпускает министерство - деятельность связана с блокировкой и контролем.
А то что такое Минцифры - непонятно. Цифрами занимается? Возможно это от "МинЦифРа" - "Министерство Цифрового Развития". Но тогда склонять не нужно.
Получается, что и knox/shelter не панацея... На VPN, включенный в knox, банковское приложение, запущенное в основном профиле, ругается
del
Если у ВПН различаются IP адреса входа и выхода трафика, то обнаружить входной IP будет затруднительно.
Видимо придется либо покупать у хостера второй IP или настраивать warp и прогонять трафик через него, в целом настройка warp не очень затруднительна, надеюсь amnezia добавят в свой скрипт его настройку, было бы очень кстати.
Мне одну мою VDS заблочили гады, причем даже SSH блокнули, не знаю уж, то ли какой-нибудь MAX слил, то ли слишком много людей стало пользоваться.
Да вот здесь основная проблема, раздаешь всем родственникам, split tunneling можешь настроить себе и наиболее близким, остальные "продолжат стучать".
Решается "не раздаешь родственникам".
Я своим честно сказал, что новые VPS им доступны не будут, когда старые отлетят в бан, если у них на телефонах продолжат стоять МАКСы и прочий malware софт.
Видимо теперь проще держать "окно в Европу" исключительно для себя.
Настраивайте split tunneling с сервера, чтобы клиенты сами подтягивали новые настройки. Только так это сработает в реальной жизни.
спасибо за предупреждение. на всякий случай закрыл все .ru на своих squid'ах.
Пока не понял, что именно они имеют в виду, когда говорят, что на iOS сложнее определять VPN. На iOS же приложение тоже видит, что включен VPN. И у меня не вышло те же парковки России заставить работать при включённом даже тогда, когда все домены, которые оно использует, идут в обход прокси (на Android проблем нет).
Плюс на iOS нет возможности делать split tunneling по приложениям, когда ты выбираешь какие приложения всегда идут напрямую без VPN. На андроид такое есть. На iOS можно только по доменам и IP правила маршрутизации писать.
технически это можно решить другим путем, заворачивать в прокси только то что заблокировано, есть такие геобазы, но все равно шпионаж приложений это не отменит на 100%
На ios приложение толком ничего не видит. В первую очередь оно не видит, что vpn установлен и что хоть какой-то траффик, не относящийся к нему, идёт через vpn.
И там есть split tunneling, при желании
Может через getifaddrs() — системный вызов, который отдаёт список сетевых интерфейсов. Если среди них есть utun, ipsec или ppp — значит VPN поднят.
И? Ну вот увидит он, что есть VPN - дальше что?
Не знаю. Я как раз и начал эту ветку с того, что непонятно почему начали форсить, что iOS безопаснее в плане обхода блокировок. Уже со всех сторон эта информация летит. Понять включен или нет можно везде (iOS, Android). А вот раздельного туннелирования по приложениям на iOS нет, что в данном случае важнее.
Не спалит адрес сервера, но работать откажется.
А всё, блок. Или часть фич отключат. Так сказали сверху, им виднее, а вам не положено, там разберутся, а ваша участь - терпеть.
Бизнес за эту возможность присутствовать на белых списках будет цепляться как за ветку в море - до конца.
И? Я просто проголосую ногами. Дальше что?
Куда?
Я просто проголосую ногами
куда? в другую страну?
Зачем? Просто не буду пользоваться этими сервисами без крайней нужды. Что там - Яндекс, Озон, ВБ?
вы серьезно считаете что яндекс, озон и ягодки не присоединятся в едином порыве в помощи государству?
они вообще все в АКИТ входят, а это прям реестр всяких ...эээ... редисок.
они никогда не будут делать чтото по одиночке чтобы смогло их выделить существенно друг от друга.
вы же помните всякие акции типа "найдете дешевле - компенсируем разницу?*" (а по звездочке ссылка что искать можно только среди партнеров которые тоже все в акит входят)
они никогда не сделают единолично демарш против просьбы минцифры, даже если оно миллионы принесет потенциально в моменте
Я считаю, что вполне в состоянии не пользоваться ни озоном, ни ягодками, ни платными сервисами яндекса.
вы, да, а 95% тех кто пользуется ими - от них не откажется
вот мне яндекс нафиг не сдался, хотя за алису я плачу..но это далеко не критический для меня сервис
а вот озон с ягодками, довольно сильно мне жизнь облегчают, я не готов заказывать в старомодных интернет магазинах товары которые отправляют через условный сдэк вещи с задержкой в неделю, да еще и дороже, а некоторые конторы только почтой россии...молчу вообще про жену для которой ягодки заменили многочасовые походы по ТЦ
и вот отказаться от этого просто потому что я высказываю ФИ компании которая не хочет идти против решений нашего дорогого государства? формально я только себе жизнь испорчу.
и это я вам это вот всё описал, а оставшиеся люди вообще не в состоянии этого сформулировать, для них РКН единолично решил затроллить страну, а правительство и солнцеликий не в курсе просто
можно лишь покачать головой что люди у нас туповатые и не понимают причиноследственных связей - вот да, так и есть
Остальными тоже? Гражданин, сдайте все ваши средства связи.
Гражданин, сдайте все ваши средства связи.
«Ну, положим, бороду средства связи я сдам...» ©
Запишет его параметры и будет блокировать прицельно
Именно по приложениям на iOS раздельного туннелирования нет, а на Android есть. Если вы пустите домены телеграм через прокси, то любое приложение или сайт будет идти к телеграм через прокси, а не только сам телеграм.
Приложение 100% видит, включен VPN или нет. Какой, его адрес и прочее - да, не видит. Но флаг, что "VPN включен" есть как и в Андроид.
Сделано это в первую очередь, что бы приложения не ломились через "корпоративные сети" куда то там. Ведь 10-15 лет назад подразумевалось, что VPN это корпоративная рабочая сеть, а не способ обхода государственной цензуры и частных блокировок, поэтому девайсы охотно делятся со своим окружением это информацией.
Скорее всего, вопрос времени, когда это отменят, ибо логика использования VPN во всем мире (привет Великобритания, чего уж говорить о нашей любимой РФ) меняется быстрее, чем протоколы.
Пока не понял, что именно они имеют в виду, когда говорят, что на iOS сложнее определять VPN.
Они имеют ввиду, что надо пойти и купить Айфон. Кто-то попросил помочь с продажами.
Для упрощения, видимо, с телефонов удалить все ВПН, прокси, и перехватывать всё на роутере, подменяя IP в ответе. А моб. интернет, видимо, использовать только по российским делам. Или удалить всех шпионов, используя веб-версии, настроив браузер на использование нашего КВН-прокси. Это все, если отталкиваться от невозможности app-based проксирования
Типичный подход еще из методичек столетней давности: замазать в своём злодеянии всех.
С нетерпением жду методичку по выявлению кухонных ножей на кухнях. Страшный же предмет! Сколько ими было порезано народу - жуть!
И топоры на дачах не забыть. Тоже весьма опасная штука.
С топором ты опасен только для соседей, с vpn у тебя есть доступ к информации извне и по мнению товарищей из власти, можешь сделать неправильные выводы и тебя могут завербовать.
вилы тоже... разрешат только скрепоносные грабли
Все просто, существует две силы, одна - та чье имя нельзя произносить имеет функцию запрещать и разрушать, другая "минцифры" имеет функцию плодиться и размножаться.
Есть третья сила с root правами... она занимается тем что дрючит первую на предмет, а что это терроризируют граждан и рушат инфраструктуру, а вторую пинает на предмет, а что это все "падает" и не работает.
Вроде идеальная схема, но на самом деле наихудшая. Все по схеме "хотели как лучше, а получилось как всегда"...
Что происходит: тайная сила говорит "ниизяяя" рожает предписание, и с чувством выполненного долга идет кушать шашлык с пивасиком... другая сила "минцифры" говорит "беееее" мене сказали "нииизяя" и от отчаянья и без исходности начинает условно "вынимать" блоки и чистить контакты.
root спрашивает первых , ну что тама, "ща всех победят, молвят они"... спрашивает вторых "ну тут, эта,того, хрен его знает короч, молвят другие". Одни пытаются все делать чужими руками, другие просто не знают как это сотворить, не их это профиль.
Здается здесь законодательный пробел просматривается, по типу, как в старые "не очень добрые" времена прокуратура рулила судами (да да, и такое было).
И где кстати наши депутаты, хватит "думать про народ", пора поработать... Пусть каждый занимается своим делом, кто не умеет пусть меняют работу или учатся.
А в принципе, друзья мои, мы здесь наблюдаем процесс, называемый "ЭВОЛЮЦИЯ", и таки да, деградация это тоже кусочек эволюции. Как правило этот процесс заканчивается тем что кто нибудь или что нибудь "сдохнет", и народится что нибудь изящное, а может и монстр.
Самое занятное, что это наверно эволюционный заворот, бедной "лысой прямоходячей обезьяне" гулять по граблям, постоянно выбирая эволюционный путь (делать ниче не будем, само рассосется) , вместо управляемого и грамотного пути развития.
А пока (еще маркетплейсы работают), запасаемся попкорном (ну или сухариками), и не торпливо наблюдаем величественную картину грандиозного капеца.
Чо-то устал я от всего этого... :((
Чо-то устал я от всего этого... :((
Ночь темней всего перед рассветом, крепитесь.
Когда наступает, вампирьё от солнца горит, визжит напоследок и дохнет.
Будем надеяться, что с третьим компонентом фольклор тоже не обманул :)
Ночь темней всего перед рассветом, крепитесь.
Читаю это с улыбкой. Я даже не могу точно вспомнить год, когда первый раз это услышал.
Почему вы решили что уже ночь? Может это только вечер начался?
Резко повышенная концентрация непрекращающегося инфо-бреда и ухудшения условий всем прослойкам населения длится >= 6 лет (с начала ковида считаю, когда цак заставляли надевать).
Долго для "только наступившего" вечера, не находите?
Публичные признания в неэффективности крайне несвойственны нашим деятелям, за то и цепляюсь.
Ещё более резко всё пошло где-то с середины февраля.
Полагаю, чьи-то отчёты о KPI не устраивают его начальника, поэтому горение пятой точки стараются передать ниже по пищевой цепочке.
Когда "Мистера X" заменят, другой следующий будет как минимум онбордиться, что даст время для отдыха :)
Всё сугубо имхо и да, больше личного желания сохранять позитивный настрой.
Резко повышенная концентрация непрекращающегося инфо-бреда и ухудшения условий всем прослойкам населения длится >= 6 лет
Это каждый раз так казалось и задолго до этого всего, что мы на пике. Просто потом нас выводили на новый уровень пика и старые кажутся уже так, детскими горками.
Стабильно бесконечного подъёма чего-либо тоже не бывает ("развитие по спирали").
До 2020-го такого сопоставимого ухудшения жизни всем не было, не считая разве что попытку-1 заблочить телегу (с блоком всего остального вокруг), но и это недолго продлилось.
Посему также считаю (во многом "хочу считать", да), что находимся очень близко / на дне очередного витка спирали, а "оттепель" близко
Спираль может разворачиваться медленнее, чем длится одна человеческая жизнь.
До 2020-го такого сопоставимого ухудшения жизни всем не было, не считая разве что попытку-1 заблочить телегу
Жизнь не ограничивается интернетом.
Резко повышенная концентрация непрекращающегося инфо-бреда и ухудшения условий всем прослойкам населения длится >= 6 лет
В Китае же айти как-то работает и никто не ноет , хоть и живут со строжайшей цензурой... А царь батюшка думает о народе, чтоб никакой вор не украл его пенсию...
Любопытно если завтра кто-то придумает квн-коин какой-то, который будет майнится за предоставление p2p vpn доступа...
Хотя я бы конечно не рискнул, взломают с моего айпи Пентагон, а мне из-за этих хацкеров в тюрьму.. да и потом закон ещё напишут мол майнинг квнов незаконен...
Но вообще всегда можно сказать "раньше было лучше (с)", и это касается не только квнов...
сравни плотность населения, так сказать общую информационную емкость, они практически самодостаточны и генерируют и потребляют информации в соответсвии с количеством народа... а у нас к сожалению народу пшик, а в айти и того меньше... как то выкладывалась информация по распределению бюджета в разных странах-государствах, лет так 3 того назад, так там в науку у китая впереди планеты всей, чуть ли не четверть(но это не точно, давно было, не помню), так что если прорыв и случится, то именно там... как бы китайский учить не пришлось...
Подскажите, пожалуйста, зайти на отечественный ресурс через Safari - тоже не безопасно для впн? Удалить приложения - понятно, по вебу - нет.
Ну, теперь всей родне, друзьям и т.д надо настроить split tunneling, чтобы не палить IP VPN-ов.
Интересно, а как Минцифра выяснит, что площадка соблюдает или нет эти правила?
Сами проверят. Включат vpn и запустят приложение.
Согласно источникам СМИ, выявлять нарушения в сетевой работе сервисов компаний и направлять запрос в Минцифры будет эксперты из ФСБ РФ. В ведомстве будут выдавать предложения по лишению аккредитации IT-компаний, являющихся операторами цифровых платформ, «в случае выявления нарушений требований по обеспечению информационной безопасности доступа к таким платформам».
Заставят поставить очередной "ревизор" и\или сами будут пинговать со спец выделенного зарубежного IP - кто отозвался нарушитель и штраф.
Минцифры Минцифры ... так я не в силах понять статус этого ведомства..НКВД я понимаю , КГБ тоже и даже ЦРУ и "По охране короны , что -то там было у Руматы.."..может поясните кто умный.
Почитали, записали, запомнили, подумаем. Жаль конечно, некоторые приложения удобные были
Все по классику "Верхи не могут, низы не хотят"...
Администрирую серверы, VPN для меня рабочий инструмент - корпоративный до офиса, WireGuard до мониторинга, SSH-туннели. Без этого работа просто встаёт. Интересно как на практике будут отличать «плохой» VPN от рабочего.
Что делать господам с андройдами? Переходить на айфон? Удалять все российские приложения и заходить в них с браузера?
Используйте второй телефон / второе пространство.Почитайте выше телефон от яблока тоже не спасет.
На iOS ситуация еще хуже, так как нет раздельного туннелирования приложений. Банально, приложение Макс, ОЗОН, ВБ, ВК и т.д. могут просто отправлять запрос к запрещенному ресурсу (например к whatsapp или telegram), если доступен, то у вас vpn.
Включать split tunneling - этого уже достаточно, чтобы лишние приложения не видели IP VPN. После этого они могут только кулачками махать слезно просить его выключить, что не проблема - главное, что не сольют адрес вашего сервера. А вот господам с iOS придется пересаживаться на ведра.
И в чём смысл, кроме как банально поднас*ать пользователям впна? Ну выключу я впн перед тем, как зайти в госуслуги, а потом включу заново. А скорее, я просто максимально сокращу пользование российскими сервисами в принципе, там где это возможно. Или заведу отдельную мобилу для российских приложений, если уж припрёт.
Я всё больше утверждаюсь в мысли, что нынешнее запретобесие - это натуральная диверсия против целой отрасли страны. Рынки наши сервисы теряют, в конкуренции зарубежным сервисам в чистую проигрывают, развитие по факту сведено на нет. Специалисты разбегаются, уезжают вообще из страны, а дальше что? Потерять компетенции не просто легко, а очень легко, а вернуть их потом порой бывает в принципе не возможно. У меня нет другого логичного объяснения, кроме заговора.
У меня нет другого логичного объяснения, кроме заговора.
забавно, но я както чем дальше тем больше к этому склоняюсь, там если еще анализировать всякие метрики..то оно действительно начинает обретать такие признаки
не думаю что ктото такой бред тут готов обсуждать..но логических обоснований реально тупо нет
кроме разве того что ктото грезит возвращением крестьянства, крепостничества и феодализма...помню какойто деятель-философ близкий к верхам это озвучивал
не думаю что ктото такой бред тут готов обсуждать..но логических обоснований реально тупо нет
Да взять тот же ковид. Почти все безумные теории заговора, связанные с ним, буквально оказались правдой. И про утечку, и про рукотворность, и про всё прочее. Мы живем в настолько удивительное время, когда возможно буквально всё.
А тут мы имеем государство, с сильной IT-отраслью, вполне себе конкурирующую с зарубежными "партнерами". Задача: утопить эту отрасль или сделать её настолько токсичной, что она умрёт сама. На ум сразу приходит пример Нокии. Компанию утопил буквально свой же гендиректор, задачей которого было как раз таки спасать компанию.
Как говорится: выводы делайте сами...
Почти все безумные теории заговора, связанные с ним, буквально оказались правдой. И про утечку, и про рукотворность, и про всё прочее.
Так и сколько там заговоров было? Ноль? Утекло потому что долбоящеры. Замалчивали потому что долбоящеры и "не потерять лицо" свое долбоящерское. Экономику раком ставили потому что долбоящеры. Маскобесие устроили потому что долбоящеры. Так вот вышло, что и ученые и медики и политики бывают некомпенетнтыми и паранояльными долбоящерами.
Кто с кем сговаривался-то?
Так и сколько там заговоров было? Ноль? Утекло потому что долбоящеры.
Так в том то и дело, что утечку признали официально только после рассекречивания документов. До этого, при Бидоне, официальная позиция была такая: вирус природный, какой-то китаец съел летучую мышь и заразился, а все, кто говорят про рукотворность вируса - конспирологи и мракобесы. Упс, как говорится...
Загуглите про доктора Фаучи. При Бидоне его пиариили как очень умного учёного, который за пояс затыкает всяких там конспирологов. А потом вяснилось, что этот Фаучи - обычный шарплатан и говорил то, за что ему платили.
Почти все безумные теории заговора, связанные с ним, буквально оказались правдой. И про утечку, и про рукотворность, и про всё прочее.
Пруфов, конечно же, не будет.
Если что-то выглядит как утка, крякает как утка и ведет себя как утка, то это ... утка!
К вам гопники никогда не подкатывали? И что, вот так вы не верили что это гопники и вас ограбили среди бела дня? Наверное вы думали что это "скрытая камера" или "проверка" какая нибудь с работы или шутка от близких или друзей? Да?
(ответ не автору поста, а в сообщество — точнее "в никуда" ибо сообщества-то судя по каким-то "логичным" выводам в камментах и нет вовсе.)
Тут проблема вот такая, что это Вы такой сознательный и не ленивый, а другие уже макс установили и живут себе дальше.
А вот нифига. Если людей достать прям основательно, они мигом умнеют и прекрасно осваивают все технологии обхода. Моя мама в пример. Человек пару лет только осваивал, как пользоваться банкоматом. Ещё пару лет осваивал новый смартфон на андроиде. Но стоило человеку запретить ютуб с любимыми каналами по вязанию - человек так поумнел, что мигом сообразил про прокси, впны и прочее.
Лишение бытового комфорта, внезапно, является мощным мотиватором.
Ну выключу я впн перед тем, как зайти в госуслуги, а потом включу заново.
На 10-й или 100-й раз забудете сменить и зайдете под VPN на Госуслуги или какой либо сайт или сервис "аккредитированной" компании.
Естественно при этом уже давно будет принят закон о ЛИКВИДАЦИИ Вашего аккаунта (которому лет 20-25 уже и пофиг всем) при заходе под VPN. Конечно без возможности экспорта данных за эти 25 лет. Аккаунт тю-тю.
Про срок по уголовной статье за VPN - это по умолчанию и не обсуждается.
Я про аккаунт и данные. Жалко будет после отбытия срока и периода запрещения пользоваться инетом еще и такую подлость получить с аккаунтом :(
Ну тогда вариант Б - отдельная мобила исключительно под российские банки и госуслуги. Остальными российскими сервисами (музыка, стриминги и прочее) пользоваться прекращаю. Поднимаю весёлого Роджера и иду на абордаж!
Сегодня отдельную мобилу, а завтра — отдельную (консперативную) квартиру нужно будет заводить... Нехорошая тенденция. :((
Ну так всё новое - это хорошо забытое старое.
Вместо спотифая будут "буги на костях". Вместо концертов будут квартирники. Вместо кинотеатров будут подпольные видеосалоны. И конспиративные квартиры тоже будут. Будем там флешками обмениваться.
Будем там флешками обмениваться.
Да не, какие флешки? Шепотком на ушко, причем иносказательно и "прикровенно". Вот...только как они это записывать будут для доказательств нарушений — портативными диктофонами на пленке? Хотя о чем это я действительно, о доказательствах каких то... Достаточно же будет просто или письменного или устного свидетельства нарушения.
Кажется весь ру софт, улетит в отдельное изолированное пространство
а что помешает изолированному сервису с доступом к интернету пинговать заблокированные сервисы, и по возможности доступа к таким детектировать использование средств обхода? и стучать сообщать, куда следует? для этого они могут даже не прописывть проверяемые адреса в коде, а брать их прямо из списка блокировок ркн. даже будучи полностью изолированными от всей остальной системы.
фантазия разыгралась. ркн пожет сделать api, который будут обязаны имплементировать все приложения из реестра. с регистрацией ключей приложения и автоматической блокировкой тспу, если их нет. и набором действий, которые приложение обязано выполнять (например, проверку доступности заблокированного) и сообщать назад о результатах. удобно. такой ботнет на защите граждан от мошенников и лживой пропаганды.
В Island есть функция заморозки. Т.е. возможен сценарий: выключили VPN зашли в Island, вышли-заморозили, включили VPN.
а что помешает изолированному сервису с доступом к интернету пинговать заблокированные сервисы, и по возможности доступа к таким детектировать использование средств обхода?
split-tunneling на уровне приложений
...изолированное air gap-ом
Окей, гугол: может ли приложение Android без рута делать трассировку?
упд: может (
Пф-ф-ф, отослать запросы в определялки IP. При любом несоответствии без суда и следствия - блок. При соответсвии - проверить по геобазам, чтобы IP входил в geoip:ru и type у него не был hosting. Или ещё что-то такое... Это я не говорю про системные API для определения fuck'та включенного VPN.
При выборочном роутинге по домену определялки IP ничего не дадут.
Как правило, при выборочном роутинге российский трафик идёт напрямую по правилу geosite:category-ru, а всё остальное - по прокси. И - бац! - у вас разные IP. Факт использования VPN налицо.
Настроить это всё так, чтобы определялки IP тоже шли мимо, и постоянно это поддерживать на всех устройствах, всех типах клиентов для всех серверов - ну, вот ни разу не тривиальная задача.
Просто используйте клиенты со split tunneling по приложениям, пусть хоть обтрассируются.
Неудобно это, на каждом устройстве ставить клиента.
Не везде андроид, да и вон пишут, там есть системное API для детекта.
Почему неудобно? Вам же не каждый день его переставлять. Поставили и забыли.
там есть системное API для детекта.
Для детекта вкл\выкл, адрес оно не отдает.
Неудобно это, на каждом устройстве ставить клиента.
«„Неудобно“ — это трахаться в гамаке. Стоя. На лыжах!» ©
Так для смартфонов вариантов особо и нет: им коннект нужен везде, а не только под родным вайфаем.
Можно, конечно, сотовый автономный роутер с собой таскать...
Это не поможет. Это тем более детектируется, выше писал. Пока что, вроде, только в теории, но детект настолько лёгкий, что реализовать его можно за час. А вот противостоять такому пока что тяжело.
Вы, наверное, путаете с чем-то split tunneling? Он пускает через VPN только отмеченные галочкой приложения. Если приложение не отмечено галочкой, оно может хоть обослаться запросами в определялки - ни один запрос этого приложения никогда не попадет в тоннель и не получит IP VPN-а. Такой подход принципиально отличается от дырявых правил роутинга через geoip и домены. Приложение просто никогда не попадет в VPN.
Скрытый текст
Вот только оно может внутри себя открыть вкладку хрома через стандартный механизм встроенных вкладок. Или открыть браузер по умолчанию со ссылкой. Например, при входе в аккаунт с быстрым редиректом.
На 99% уверен, что все вебвью, открытые внутри приложения, идут через тот же интерфейс, что и оно само. Это слишком очевидная дыра была бы.
Или открыть браузер по умолчанию со ссылкой.
А в чем смысл всех этих телодвижений? Подразумевается, что браузер завернут в VPN? Даже если завернут, то что тогда? Можете порядок действий накидать?
Спросил искусственного идиота, не проверял:
✅ Typical case (what happens most of the time)
On Android 14:
WebView(Chromium-based) runs under the same app UIDEven if it uses multiple processes internally, they are still tied to the app UID
➡️ Therefore:
WebView traffic follows the same VPN routing decision as the parent app
✔ If the app is routed through VPN → WebView goes through VPN
✔ If the app is excluded → WebView bypasses VPN
Да, перепутал. Однако в вашем случае у нас есть ещё более очевидный детекту по флагу включенного VPN через системный API. VPN включён? Э-э-э, брат, выключи, родные же друг другу люди, чо ты. Детект флага VPN фиксится в некоторых случаях через функцию Второе пространство, но это не точно, надо проверять...
P. S. Я в основном имею в виду россиян за рубежом, ибо внутренным россиянам чуть легче в плане обхода этих проверок.
Не могу никак понять-а чем Минцифры это обосновывает? Вот "чтобы что"? зачем нужно выслеживать впн? Я условно могу поверить в "мошеннические мессенджеры", деградацию оборудования и прочую лабуду. Но сейчас? Просто-мы будем блокировать. Без объяснений. Покровы сорваны. Я думаю, скоро придёт время штрафов, а там и до реальных сроков не далеко.
"на iOS это сделать нельзя, потому что «на iOS доступ к системным параметрам существенно ограничен»"
ага, ограничен. писали, что одно из усиленно вводимых российских приложений на iOS для чего-то проверяет доступность адресов телеграма. прямо из своей песочницы и без всякого перехвата трафика системы и соседних приложений.
Вайб 100%: :(((((
В марте 1937 г. простая русская женщина Анна Алексеевна Павлова, 1894 г. рождения, портниха из Санкт-Петербурга, получившая образование до 1917 г. в сиротском приюте, направила письма одинакового содержания Иосифу Сталину, в НКВД Ленинградской области и в германское консульство в Ленинграде.
В результате последовал скорый арест, судебное разбирательство, закончившееся вынесением приговора, осудившего А. Павлову на десять лет лагерей. В декабре 1937 г. новое судебное разбирательство изменило приговор на смертную казнь. Приговор был приведен в исполнение 21 февраля 1938 г. Письмо Анны Павловой Сталину было обнаружено А.Я. Разумовым в архиве КГБ и опубликовано в 9-м томе «Ленинградского мартиролога» в 2008 г.
Текст письма (осторожно! - концентрированная ненависть и сквернословие):
https://rusistka.livejournal.com/761717.html
https://ru.wikisource.org/wiki/Письмо_И._В._Сталину_(Павлова)
"Нам остались только сны и разговоры..."
(с) Янка, "Я стервенею" (1988)
Письмо Анны Павловой Сталину
«Родился на улице Герцена, в гастрономе номер двадцать два. Известный экономист, по призванию своему — библиотекарь. В народе — колхозник. В магазине — продавец. В экономике, так сказать, необходим. Это, так сказать, система… э‑э‑э… в составе ста двадцати единиц. Фотографируете Мурманский полуостров и получаете „Те‑ле‑фун‑кен“. И бухгалтер работает по другой линии — по линии библиотекаря. Потому что не воздух будет, академик будет! Ну вот можно сфотографировать Мурманский полуостров. Можно стать воздушным асом. Можно стать воздушной планетой. И будешь уверен, что эту планету примут по учебнику.» ©
в случае устройств на Android, там работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идёт через VPN.
Без root, как понимаю, нельзя ограничить?
Министерство [отрицательного] цифрового развития - так вижу.
А почему разгоняют новости, типа таких?
Ведь на iPhone наоборот, активным впн можно даже воспользоваться, нет split tunneling по приложениям. Это какой-то honeypot, чтобы все побежали за айфонами, и слили адреса серверов? Звучит бредово. Просто ученый изнасиловал журналиста? Тоже как-то странно.
Да, я тоже не понимаю, у меня есть VDS с VPN, когда я включаю app-bases split-tunneling на Samsung Galaxy S23U+AmneziaVPN клиент, vless+reality, Сбербанк и РХСБ перестают предупреждать о VPN, в браузере IP-адрес соединения, а не VPN, когда-же в IOS любое приложение сообщает о VPN и IP-адрес всегда VPN-соединения.
Это уже заговор второго порядка ;) Мы думаем, что они думают, что мы подумаем... .и побежим за айфонами.
На мой взгляд - айфон лучше в качестве "белого гуся". Хорошая защищенность в случае кражи, длительный цикл обновлений, не вызывает лишних вопросов использование в качестве основного устройства.
В ведомстве пояснили:
перед Минцифры поставили задачу снизить использование VPN;
причина — российские пользователи всё ещё продолжают заходить на заблокированные иностранные площадки, которые нарушают закон РФ;
---
Мысли вслух.
Есть Вася, который бьёт жену, паркуется где попало, ворует из магазинов и даже гопстопит прохожих (нарушает законы РФ). Полиция об этом знает, но ничего сделать не может.
А я к Васе иногда захожу на рюмку чая. Я не полиция, я могу максимум морально осудить Васю.
Приходит участковый и перед моим приходом запирает на ключ подъезд Васиного дома, перевешивает бирки с номером квартиры, спрашивает у вахтерши в моём доме куда это я собрался - не к Васе ли? И если да - пытается и меня не выпустить из дома.
Вот вопрос - а какого фига?
---
https://rtvi.com/news/v-gosdume-potrebovali-ot-roskomnadzora-obosnovat-blokirovku-telegram/
Обновите это для новых андроид пожалуйста 😁
https://github.com/Xposed-Modules-Repo/me.hoshino.novpndetect
Вопрос к тем кто знает. Да это может звучать как конспирология, но все же.
Может ли этот публичный жест быть нацелен на то чтобы стимулировать пользователей разделить трафик самостоятельно для последующего его анализа так как за последние годы большинство людей его перестало выключать и при анализе гистограммы распределение стало тупо нормальным и шейпить стало очень долго и ресурсозатрано?
"Любимый" хх при очередном входе, через браузер, вначале задрочил меня своей капчей и таки добился, чтоб я зашёл с подтверждением кода по смс. Так и в очередной раз запросил доступ к приложениям на моем устройстве. Итог - полностью удалил свой аккаунт навсегда. Ибо ещё и толку с него как с козла молока.
Я немного проспал, у Яндекса же есть аудитория в СНГ странах, что будет с ними?
РБК: Минцифры выпустило методичку по борьбе с VPN