Пока читал несколько раз перепроверил дату выхода этого поста.
1) Подмена DNS ответов сейчас используется исчезающе редко и как правило только по отношению к ресурсам, заблокированным до примерно 2020-го года и только у небольших провайдеров, у которых сисадмины пальцем пошевелить ленятся. Я проверил у себя на нескольких провайдерах, везде DNS разрешает сайты Телеграма в их настоящие IP корректно. Уже лет 5 как все блокировки вынесены на отдельные железки, которые не являются собственностью провайдеров Интернета, а от провайдеров требуется только не трогать их. 2) DPI лезет внутрь вашего HTTPS и притом очень пристально. В последнее время даже слишком, блокируя доступ к российским сайтам из определённых браузеров определённых версий. "Если бы провайдер фильтровал этот трафик по содержимому, легло бы пол-инета" -- так ведь и ложится. Сам лично на прошлой неделе наблюдал и подпирал костылями с коллегами. Сейчас отпустило, но костыли далеко не убираем, ещё пригодятся. 3) Телеграм блокируется как раз по IP, а не по доменному имени. Многие компоненты инфраструктуры Телеграма в принципе не имеют DNS-записей, но используются для работы сервиса (см. датацентры для мультимедиа).
Либо статья опоздала примерно где-то лет на восемь, либо автору фантастически повезло с локацией. Какой-нибудь мелкий провайдер (или наоборот Ростелеком) в Калининграде или Ленинградской области может быть?
Например, yougile.com -- российский аналог Trello, хостятся на Селектеле в Москве, законы РФ соблюдают. Мы с ребятами перешли на него несколько лет назад ровно чтобы нас случайно не задели веерные блокировки. И сегодня надо же такому случиться! Его заблокировали! Соединение зависает после ClientHello, всё по классике. YouGile респект тоже, они довольно оперативно подняли зеркало в облаке Яндекса, скорее всего им это вышло в копеечку, но доступность частично восстановлена.
Да вроде не особо. Нашёл сейчас декадный счётчик 74HC4017D, соединить две штуки, настроить ресет по достижении 12, добавить таймер 555 и готово. Иронично, что несмотря на упрощение по числу логических элементов в сравнении с микроконтроллером, такая схема получается дороже :) Теперь интересно собрать схему (хотя бы в голове) без использования интегральных схем :)
Перестал пользоваться Мегамаркетом довольно давно. Ругался с их техподдержкой, менял свой IP (год назад я сам себе провайдер был и мог это сделать за 5 минут) -- бес толку. По каким фильтрам я выгляжу как пользователь под VPN -- так и не понял (предположительно, им не нравится браузер Firefox на Linux). Решил, что компания не нуждается в клиентах и закрыл для себя этот магазин навсегда.
У меня несколько месяцев назад было похожее поведение на МТСе по проводу, но не работало вообще ничего. Специально тестировал трассировкой до Яндекса и ВК, 98% потерь на TCP-соединениях. Что послужило триггером -- тоже неясно.
Прежде чем советовать, проверьте, изолирует ли Knox сеть. У меня нет Samsung для проверки, но все мои тесты показывают, что даже виртуальные машины в Андроиде запускаются под chroot и не изолируют сетевые взаимодействия.
Я в свою очередь сегодня развернул третий сервер Synapse с Livekit. Результат не идеален, но созваниваться, чатиться и кидать котиков уже можно. Две недели назад я даже не знал про эти вещи, а про Докер знал только что это такое средство виртуализации.
Не всё нравится, хочется многое изменить, но это всё равно лучше чем делать свой велосипед
Делать это прямо на месте тоже сложно. Скорее всего надо будет оцифровывать сигнал в гигагерцовом диапазоне с точностью до наносекунд. Слишком дорого для каждой антенны делать канал с такой высокой пропускной способностью.
1) Почему в коде бота нельзя сделать банальный if(user_id!=...)return; и наглухо игнорировать запросы от недоверенных юзеров?
2) Если приходится городить костыли с защитой от посторонних, то нельзя ли тогда арендовать VPS, к которой ESP стучится по HTTPS? Доступа к ESP напрямую нет, а VPS защитить уж можно хорошо и относительно легко. На сдачу получаем доступ сразу к куче ESP через единый центр управления. В случае с ботом придётся под каждую ESP своего бота делать.
3) Выше упоминали про модификации роутеров. На роутерах можно настроить VPN в корпоративную сеть и тогда управлять ESP можно через эту виртуальную сеть напрямую. Чтобы сделать всё безопасно, нужно отдельно заморочиться, но всё ещё кажется неплохо.
В текущем виде решение выглядит прямо скажем страшно.
Я тоже немного опешил от такого резкого перехода. Чтобы его пояснить, нужно пройти через основы дифференциальной геометрии, ОТО и космологии. После этого мы оказываемся перед метрикой Фридмана, которая способна описать расширяющуюся Вселенную, связать параметры метрики с постоянной Хаббла и которая всем своим видом показывает, что время неоднородно, а длина волны фотонов со временем увеличивается и древние фотоны должны краснеть
Силикат неважно чего звучит очень безобидно на фоне многих других добавок. Скорее всего он просто пройдёт через организм насквозь как песок :)
Я вас удивлю: хлорид олова (II) тоже является допустимой во многих странах добавкой и я человека, который пробовал его на вкус в чистом виде. Говорит, что "вяжет". Ничего, жив, здоров, пару часов назад общался с ним
По 5 пункту: насколько мне известно, некоторые производители (Keenetic, Xiaomi, Huawei?) предоставляют приложения, позволяющие частично получить доступ к настройкам роутера отовсюду, используя облако производителя, но это не доступ к локальной сети. Именно к локальной сети доступ надо через VPN настраивать хоть в каком-то виде. Также возможно вас устроят некоторые решения удалённого рабочего стола типа Anydesk, которые не дают доступа к локальной сети, но позволяют удалённо управлять ПК и обмениваться файлами
Все роутеры подключены к ВПН и вообще имеют модификации сторонним человеком, поэтому удалённый доступ к ним есть и автор статьи на это явно доказал. NAT провайдера и динамичность IP тут роли не играет. Чтобы воспользоваться уязвимостью в первых двух случаях достаточно купить роутер у того же продавца и выполнить сканирование сети VPN, после чего вломиться на чужой роутер с парой admin:admin (но автор этого не делал, это незаконно)
По 4 пункту: такие сети раньше были, но с развитием Интернета такую возможность прикрывают в целях безопасности. Любой уважающий себя провайдер включает изоляцию клиентов, чтобы нельзя было сделать с соседом нехороших вещей (см. https://habr.com/ru/articles/510292/)
Интересующие частоты можно отфильтровать всего двумя RC-цепочками, обрезав верхние и нижние частоты. В любом случае ОУ кажется заметно удобнее для таких задач
Пока читал несколько раз перепроверил дату выхода этого поста.
1) Подмена DNS ответов сейчас используется исчезающе редко и как правило только по отношению к ресурсам, заблокированным до примерно 2020-го года и только у небольших провайдеров, у которых сисадмины пальцем пошевелить ленятся. Я проверил у себя на нескольких провайдерах, везде DNS разрешает сайты Телеграма в их настоящие IP корректно. Уже лет 5 как все блокировки вынесены на отдельные железки, которые не являются собственностью провайдеров Интернета, а от провайдеров требуется только не трогать их.
2) DPI лезет внутрь вашего HTTPS и притом очень пристально. В последнее время даже слишком, блокируя доступ к российским сайтам из определённых браузеров определённых версий. "Если бы провайдер фильтровал этот трафик по содержимому, легло бы пол-инета" -- так ведь и ложится. Сам лично на прошлой неделе наблюдал и подпирал костылями с коллегами. Сейчас отпустило, но костыли далеко не убираем, ещё пригодятся.
3) Телеграм блокируется как раз по IP, а не по доменному имени. Многие компоненты инфраструктуры Телеграма в принципе не имеют DNS-записей, но используются для работы сервиса (см. датацентры для мультимедиа).
Либо статья опоздала примерно где-то лет на восемь, либо автору фантастически повезло с локацией. Какой-нибудь мелкий провайдер (или наоборот Ростелеком) в Калининграде или Ленинградской области может быть?
Например, yougile.com -- российский аналог Trello, хостятся на Селектеле в Москве, законы РФ соблюдают. Мы с ребятами перешли на него несколько лет назад ровно чтобы нас случайно не задели веерные блокировки. И сегодня надо же такому случиться! Его заблокировали! Соединение зависает после ClientHello, всё по классике. YouGile респект тоже, они довольно оперативно подняли зеркало в облаке Яндекса, скорее всего им это вышло в копеечку, но доступность частично восстановлена.
Ага, тоже уже нашёл)
Да вроде не особо. Нашёл сейчас декадный счётчик 74HC4017D, соединить две штуки, настроить ресет по достижении 12, добавить таймер 555 и готово. Иронично, что несмотря на упрощение по числу логических элементов в сравнении с микроконтроллером, такая схема получается дороже :)
Теперь интересно собрать схему (хотя бы в голове) без использования интегральных схем :)
Какая прелесть!
Теперь хочу повторить такое без микроконтроллера :)
По поводу спама правда. Мы сдались и просто сделали правило, что никакие письма не должны попадать в спам кроме тех, которые мы сами помечаем таковыми
Перестал пользоваться Мегамаркетом довольно давно. Ругался с их техподдержкой, менял свой IP (год назад я сам себе провайдер был и мог это сделать за 5 минут) -- бес толку. По каким фильтрам я выгляжу как пользователь под VPN -- так и не понял (предположительно, им не нравится браузер Firefox на Linux). Решил, что компания не нуждается в клиентах и закрыл для себя этот магазин навсегда.
ECH заблокировали ещё несколько лет назад. Нет разве?
У меня несколько месяцев назад было похожее поведение на МТСе по проводу, но не работало вообще ничего. Специально тестировал трассировкой до Яндекса и ВК, 98% потерь на TCP-соединениях. Что послужило триггером -- тоже неясно.
Прежде чем советовать, проверьте, изолирует ли Knox сеть. У меня нет Samsung для проверки, но все мои тесты показывают, что даже виртуальные машины в Андроиде запускаются под chroot и не изолируют сетевые взаимодействия.
Я в свою очередь сегодня развернул третий сервер Synapse с Livekit. Результат не идеален, но созваниваться, чатиться и кидать котиков уже можно. Две недели назад я даже не знал про эти вещи, а про Докер знал только что это такое средство виртуализации.
Не всё нравится, хочется многое изменить, но это всё равно лучше чем делать свой велосипед
Был опыт взаимодействия с BBB как клиента. Негативный. Невероятно лагающая вещь, хотя аналогов куча и все они лагают намного меньше.
Делать это прямо на месте тоже сложно. Скорее всего надо будет оцифровывать сигнал в гигагерцовом диапазоне с точностью до наносекунд. Слишком дорого для каждой антенны делать канал с такой высокой пропускной способностью.
Три вопроса:
1) Почему в коде бота нельзя сделать банальный
if(user_id!=...)return;и наглухо игнорировать запросы от недоверенных юзеров?2) Если приходится городить костыли с защитой от посторонних, то нельзя ли тогда арендовать VPS, к которой ESP стучится по HTTPS? Доступа к ESP напрямую нет, а VPS защитить уж можно хорошо и относительно легко. На сдачу получаем доступ сразу к куче ESP через единый центр управления. В случае с ботом придётся под каждую ESP своего бота делать.
3) Выше упоминали про модификации роутеров. На роутерах можно настроить VPN в корпоративную сеть и тогда управлять ESP можно через эту виртуальную сеть напрямую. Чтобы сделать всё безопасно, нужно отдельно заморочиться, но всё ещё кажется неплохо.
В текущем виде решение выглядит прямо скажем страшно.
Я тоже немного опешил от такого резкого перехода. Чтобы его пояснить, нужно пройти через основы дифференциальной геометрии, ОТО и космологии. После этого мы оказываемся перед метрикой Фридмана, которая способна описать расширяющуюся Вселенную, связать параметры метрики с постоянной Хаббла и которая всем своим видом показывает, что время неоднородно, а длина волны фотонов со временем увеличивается и древние фотоны должны краснеть
Силикат неважно чего звучит очень безобидно на фоне многих других добавок. Скорее всего он просто пройдёт через организм насквозь как песок :)
Я вас удивлю: хлорид олова (II) тоже является допустимой во многих странах добавкой и я человека, который пробовал его на вкус в чистом виде. Говорит, что "вяжет". Ничего, жив, здоров, пару часов назад общался с ним
По 5 пункту: насколько мне известно, некоторые производители (Keenetic, Xiaomi, Huawei?) предоставляют приложения, позволяющие частично получить доступ к настройкам роутера отовсюду, используя облако производителя, но это не доступ к локальной сети. Именно к локальной сети доступ надо через VPN настраивать хоть в каком-то виде. Также возможно вас устроят некоторые решения удалённого рабочего стола типа Anydesk, которые не дают доступа к локальной сети, но позволяют удалённо управлять ПК и обмениваться файлами
Все роутеры подключены к ВПН и вообще имеют модификации сторонним человеком, поэтому удалённый доступ к ним есть и автор статьи на это явно доказал. NAT провайдера и динамичность IP тут роли не играет. Чтобы воспользоваться уязвимостью в первых двух случаях достаточно купить роутер у того же продавца и выполнить сканирование сети VPN, после чего вломиться на чужой роутер с парой admin:admin (но автор этого не делал, это незаконно)
По 4 пункту: такие сети раньше были, но с развитием Интернета такую возможность прикрывают в целях безопасности. Любой уважающий себя провайдер включает изоляцию клиентов, чтобы нельзя было сделать с соседом нехороших вещей (см. https://habr.com/ru/articles/510292/)
Настолько краткий, что стало длиннее
Интересующие частоты можно отфильтровать всего двумя RC-цепочками, обрезав верхние и нижние частоты. В любом случае ОУ кажется заметно удобнее для таких задач