Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 76
Я видел зареверсинженеренные исходники Телеги, видел что она выключает шифрование телеграмма вообще и что отправляет запросы на сервера vk и думал, ну клиент телеграмма из России как всегда с полным отсутствием конфиденциальности, но так что это дойдёт до Cloudflare и других зарубежных компаний, а уж тем более что удалят из App Store
Куча сайтов работали с Cloudflare без никакого присутствия в магазинах приложений.
Если в России с Cloudflare идет противостояние и очебуречивание то и нет смысла держать там сайт для работы с россиянами.
Оно уже давно не работает из России. ТСПУ заворачивает, отключение в настройках скрытия sni не помогает. Альтернативы удобной и бесплатной, как всегда никто не подумал сделать.
Когда уже у нас запретят запрещать... Эх...
Так ведь идея как раз в том что бы бесплатное сделать платным
Для упырей есть два пути создания денег которые можно было бы присвоить. Это экспорт ресурсов (тут есть естественные и не очень ограничения) и производство конечного продукта. Данное очебуречивание (или очебурачивание, или как там?) ведёт к увеличению издержек при производстве конечного продукта. т.е. конечного продукта и как следствие денег, становится меньше. У нищебродов денег почти не осталось. Доить сами себя они явно не собираются.
Складывается впечатление, что кто-то хочет забрать рф с собой в могилу.
У нищебродов денег почти не осталось. Доить сами себя они явно не собираются.
Складывается впечатление, что кто-то хочет забрать рф с собой в могилу.
Смотря как измерять. Десяток миллиардов в масштабе страны - это мало на фоне общих бюджетных трат, а вот если десяток миллиардов своровать себе в карман - то это уже довольно много.
Классическая трагедия общин, на РФ им глубоко пофиг, и в могилу они не собираются, у них джеты и другие гражданства. В могилу, увы, собираемся мы только.
Бессмертие пока еще не освоили и вряд ли в ближайшие 10-20 лет освоят. Или хотя бы значительное продление жизни. Так что все там будем рано или поздно.
Я к тому, что на разрушениях они теряют больше чем всего есть у нищебродов. По этому сумма в любом случае будет отрицательная.
Если раньше внутри упырей не было разборок и видимо была негласная договоренность доить только нищебродов и средний класс, то сейчас среди упырей идут активные сокращения.
Они не живут от зарплаты до зарплаты и "демпингуют". Когда между друг дружкой идет разборки то выгоднее сейчас убивать рынок и в расчете остаться единственным кто потом сможет подняться, а уж это время они както пересидят на хлебе и воде. Альтернатива - честная конкуренция за в любом случае сдувающийся из-за экономических проблем рынок видимо кажется им еще более дикой.
Альтернативы удобной и бесплатной, как всегда никто не подумал сделать.
На мой взгляд, сам план cloudflare в том, чтобы стать для интернета, как минимум, тем же, чем ютуб стал для видео - монополистом, которого практически невозможно заменить, и так же практически невозможно догнать. Программа максимум - заменить собой значительную часть интернета.
Масштаб развёрнутой ими инфраструктуры уже сейчас достаточно сложно представить. Так же непросто представить откуда у них столько денег на развитие, в т.ч. при нынешних ценах на железо.
Так что появление альтернативы, увы, маловероятно. Даже платные аналоги заметно меньше по масштабу. Не исключаю, что не на один порядок.
Оно уже давно не работает из России
Странно, а я их бесплатным warp'ом до сих пор регулярно пользуюсь...
Причем тут противостояние? Cloudflare радар реагирует на автоматические репорты об угрозах. Спалились на перехвате трафика - получили метку
Cloudflare в РФ заблокирован уже несколько месяцев, о чём вообще речь ? Даже отключение ECH не помогает.
$ curl -s ip-api.com/json/ | jq
{
"status": "success",
"country": "Russia",
"countryCode": "RU",
"region": ...
"regionName": ...
"city": ....
"zip": ...
"lat": ...
"lon": ...
"timezone": ...
"isp": "Cloudflare, Inc.",
"org": "Cloudflare WARP",
"as": ".... Cloudflare, Inc.",
"query": ......
}Деградировал, но не ушел! :-)
Ну да, аж 16кб первые проходят!
ну, во-первых, если бы он ушел - даже байта бы не прошло.
а второе - у меня он качает почти на полных на 100мегабит (скорость моего канала), вот выкачиваю ядро линукса, 149Mb$ curl -O https://cdn.kernel.org/pub/linux/kernel/v7.x/linux-7.0.tar.xz % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 149M 100 149M 0 0 9.8M 0 0:00:15 0:00:15 --:–:-- 9622k
$ curl -s https://ipinfo.io|grep org
“org”: “AS.... Cloudflare, Inc.”,
Не в защиту шпионов из вк, но как-то лицемерно со стороны cloudflare кого-то обвинять в шпионаже, когда сами терминируют весь tls трафик, проходящий через них
просто интересно кто эту ложь от бота плюсанул …
Интересно, cloudflare не размещает сертификаты у себя? Размещает, а origin серверу рекомендует использовать их самоподписанный сертификат (режим strict). Не имеет технической возможности подменить как запрос клиента так и ответ (из легитимных usecase'ов капча при открытии сайта)? Имеет, а значит может и слить незашифрованный трафик кому надо. В чем ложь то?
В том, что клиенты буквально приходят к ним за этим. Чтобы cloudflare расшифровал их трафик и закешировал его. Или что-бы какой-нибудь js challenge ботам встроил. Без терминации TLS это попросту невозможно.
Большинство еще и добровольно платит за это, представляете?
Если вам не нужно кеширование/js challenge/waf, а готовы ограничиться только L3/L4 ddos защитой, то вы можете воспользоваться Cloudflare Spectrum. Тогда ничего терминироваться не будет.
То есть они не прячут это где-то в соглашении, они явно и открыто продают именно такую услугу (и весьма успешно, надо сказать)
вы можете воспользоваться Cloudflare Spectrum
Который, внезапно, уже не бесплатный (20 долларов в месяц + доллар за ГБ, при превышении лимита в 5 ГБ). За хоть сколько-нибудь серьезный продукт выйдет внушительная сумма.
То есть оттуда достаточно прямо намекают – хочешь жить без ddos и чтобы ещё и трафик третья сторона не читала (ну или хотя бы читало на одну третью сторону меньше) – отдавай круглую сумму.
Если бы стандартной опцией был sni based routing без терминирования, а кэширование и прочее включалось бы отдельно с предупреждением о mitm – вопросов было бы 0
кто эту ложь от бота
То, что Teleg-ой пользоваться не стоит, по-моему на хабре понятно уже всем.
Вот только из-за этого MiTM от cloudflare отнюдь не становится чем-то другим, прекрасным и радужным.
Вот размышления на этот счёт от человека, который ни про какую телегу ни сном, ни духом:
(по ссылкам один и тот же текст; три штуки по принципу "пробуйте какая откроется")
Да в общем-то MitM есть не только у Cloudflare. Он как таковой в легальных приложениях не является в глазах индустрии чем-то недопустимым и тем более наказуемым. Возьмем для примера Outlook Mobile - кто-то мог подумать, что это просто почтовый клиент, но нет - это облачный сервис, де-факто работающий по той же самой схеме, что и Телега (засасывает к себе учетные данные пользователя и со своих серверов уже лезет на почтовики). А ToS MS при этом содержит примерно те же положения о возможной модерации и ограничении контента, что и соглашение Телеги. Но... "он же памятник, кто ж его посадит".
И, при всех возможных претензиях к Телеге, ситуация, когда какой-то частный сервис по сути своей волей решает, кому в интернете можно существовать без проблем, а кому нельзя (причем эти кто-то к нему вообще не имеют никакого отношения), выглядит даже более нездоровой, чем сегментация со стороны государств. И если MS, Телега и черт лысый вообще прямо, ничего не скрывая, говорят, что могут мониторить контент, то какого, простите, фига не пользователь должен для себя решать, кто из них "шпион", а кто - "разведчик", а какая-то совершенно посторонняя частная лавочка?
А ToS MS при этом содержит примерно те же положения о возможной модерации и ограничении контента, что и соглашение Телеги. Но... "он же памятник, кто ж его посадит".
Это неправда. Вот ToS MS:
В степени, необходимой для предоставления Служб вам и другим лицам, защиты вас и Служб, а также для усовершенствования продуктов и услуг Microsoft вы предоставляете Microsoft всемирную безвозмездную лицензию на использование интеллектуальной собственности, связанной с Вашим содержимым, например на копирование, сохранение, передачу, переформатирование, отображение и распространение Вашего содержимого в Службах при помощи средств коммуникации.
И, далее, они открыто пишут, что принеобходимости могут модерировать человеком всё что получится:
Там, где это применимо, мы можем использовать автоматизированные системы и сотрудников для проверки содержимого с целью выявления предполагаемого спама, вирусов, мошенничества, фишинга, вредоносных программ, взлома или другого незаконного или вредоносного контента или действий.
В ToS Telega ничего подобного нет.
Ого! Т.е. CF читают все мои письма? Хрена-се! Мда... существует достаточно распространённое мнение, что Cloudflare - это рак интернета, его потенциальный убийца, и я эту точку зрения разделяю. Но вот то, что он мою переписку всю читает... это уже за гранью.
Спасибо за ссылку на статью. Возможно, для кого-то такие техн. подробности были и ранее известны - но не мне.
Открыли для себя, как работает любой reverse proxy? Поздравляю!
А еще подменять понятия не хорошо, в отличие от "шпионов из вк", с cloudflare вы сами даете согласие на использование именно этой архитектуры с терминированием TLS.
Так и в случае со шпионским клиентом уверен был пункт в соглашении что используется подменный сервер
А шпионский клиент об этом открыто заявляет? Может быть есть возможность отказаться от раскрытия своей переписки? В cloudflare, например, есть возможность не терминировать TLS (в контексте защиты от DDOS).
об этом открыто заявляет?
Вообще-то да. Просто прочитайте пользовательское соглашение.
Где именно вы там это прочитали? Ни одного упоминания слова "сервер" там нет.
Конечно, это же пользовательское соглашение, а не архитектурное описание. Но в контексте разговора "гонять трафик через свой сервер" - это не самоцель, а инструмент, позволяющий читать трафик клиента и вмешиваться в него. А в соглашении есть прямое указание, что владельцы могут мониторить и модерировать пользовательский контент. То есть ключевой фактор, из-за которого весь сыр-бор - честно озвучен и не скрывается.
А в соглашении есть прямое указание, что владельцы могут мониторить и модерировать пользовательский контент.
8.1.1 Сервис отображает доступные Пользователю функции Telegram по созданию и направлению Контента в личных чатах и приватных каналах (далее — «Приватный контент»), размещению Контента в форме, доступной неограниченному кругу лиц, включая публикации в каналах и размещение комментариев (далее — «Публичный контент»).
8.2.1 Администрация Сервиса имеет право, но не обязана, осуществлять мониторинг Публичного контента Пользователя для выявления несоответствия условиям Правил модерации и требованиям законодательства Российской Федерации.
Про приватный контент (личная переписка), его мониторинг и модерацию ничего не сказано. Наоборот, сформулировано так, что якобы модерируется только публичный контент.
А про то, что приватный контент (видеозвонки) тоже идёт через их сервера, и что в переписку они могут залезть, ничего не сказано.
И про собственные прокси, и про задействование собственных серверов для звонков у них написано.
При этом в соседнем комментарии я уже писал , что это не единственное приложение в мире, использующее похожую схему работы и имеющее в пользовательском соглашении схожие пункты.
и что в переписку они могут залезть, ничего не сказано
Вообще-то это прямо следует уже из того факта, что они делают клиентское приложение. Прямой функционал любого клиентского приложения - работа с расшифрованным контентом, из чего прямо следует потенциальная возможность чтения и потенциальной модификации этого контента владельцем приложения. Как именно такие механизмы для этого могут быть реализованы - это уже детали. Но "прибор имеется" в любом случае. Удивительно, что это вообще надо отдельно озвучивать.
И про собственные прокси, и про задействование собственных серверов для звонков у них написано.
Где? Цитату, пожалуйста.
Вообще-то это прямо следует уже из того факта, что они делают клиентское приложение.
Нет, не следует. Клиент, которое сливает переписку своим разработчикам - это не норма, это дичь.
Где? Цитату, пожалуйста.
А вы не пробовали перед началом дискуссии хотя бы на самом базовом уровне с предметом обсуждения ознакомиться? Попробуйте в этот раз так сделать, а не привлекать собеседника в качестве гугла и парсера веб-сайтов, благо информация открыта, общедоступна и не требует специальных навыков для получения. Если же вам нужен диалог в стиле "темой не владею, принесите мне все в клювике, а я, так уж и быть, с вами поспорю" - поищите других собеседников, пожалуйста.
Клиент, которое сливает переписку своим разработчикам - это не норма, это дичь.
А заодно неплохо бы перестать вольно жонглировать двумя совершенно разными вещами - "может сливать" (именно это вы утверждали изначально и именно на это я отвечал) и "сливает". Первое - "может" любой клиент, для этого необходимо и достаточно просто желания разработчика внедрить подобный функционал. Второе - нуждается в отдельных доказательствах, ибо факт хождения даже расшифрованного чужого трафика через свои сервера сам по себе не является никаким "сливом" и является вполне себе обычным для индустрии, о чем собственно и идет весь разговор.
А вы не пробовали перед началом дискуссии хотя бы на самом базовом уровне с предметом обсуждения ознакомиться?
Пробовал. Если вы вдруг не заметили - ToS Телеги я вам цитировал. Но ни про прокси, ни про собственные серверы я там ничего не нашёл. Ни слово "сервер", ни слово "прокси" там не упоминается, это легко проверить через Ctrl+F.
Отсюда и вопрос к вам. Вот вы утверждаете, что там это есть. Сможете привести пункт ToS, который вы интерпретируете как "про собственные прокси, и про задействование собственных серверов для звонков у них написано".
факт хождения даже расшифрованного чужого трафика через свои сервера сам по себе не является никаким "сливом"
Если вы делаете сервис - не является, потому что сервис без этого работать не может. Если же вы делаете клиент - то является, потому что клиент может шифровать локально и отправлять на сервера владельца сервиса (в данном случае Телеграм) шифрованный контент, а на сервера разработчика клиента (Телега) не отправлять ничего или также отправлять шифрованный трафик. С точки зрения функционирования альтернативного клиента никакого смысла гонять нешифрованный трафик через сервера его разработчиков нет - и, соответственно, такой трафик вызывает вопрос, зачем это сделано.
с cloudflare вы сами даете согласие
Видите ли, никакого такого согласия я лично не давал и не даю: сервисы, которыми я пользуюсь, не извещали меня о том, что мои критичные приватные данные (переписка, КК, пароли) доступны какой-то третьей стороне.
Это как если бы вы пришли в банк, прочитали договоры, отдали им в сейф деньги, создали пароли - а потом бы оказалось, что у внешней конторы "Пупкин и сыновья", о которой вы слыхом не слыхивали, имеются копии ключей от вашей банковской ячейки и вашего пароля от онлайн-кабинета.
Так что ваше "согласие на использование" - это передёргивание, извините.
которыми я пользуюсь, не извещали меня о том, что мои критичные приватные данные (переписка, КК, пароли) доступны какой-то третьей стороне.
Ты их доверил сервису, с тем же успехом это сделать может и он напрямую. В общем тут все равно у тебя права голоса нет. Ты либо доверяешь сервису и тем кому он доверяет, либо нет и отказываешься от него
Долго аккаунт грелся на хабре. С 2023 года 0 комментариев и постов. А тут, внезапно, аж 3 комментария и все - по делу
Обожаю хабр. Написал все по делу, в результате слили карму и записали в сотрудники ркп. Посоветуйте англоязычные аналоги хабра, что-ли
% host news.ycombinator.com
news.ycombinator.com has address 209.216.230.207
news.ycombinator.com has IPv6 address 2606:7100:1:67::26— даже не за Cloudflare. ;)
Обожаю хабр.
массы-с, сэр. :)
В тексте так расставлены акценты, что у кого-то невнимательного может сложиться впечатление, что телегу (не телеграм) грохнули за возможность обхода блокировок без vpn. А на самом деле, телега стала вторгаться в пепеписку пользователей и по этому её грохнули. Короче, всё нормально, злодеи наказаны.
Учитывая требования к разработчикам ПО крупных российских сервисов ..как бы впору сносить и отзывать у них у всех сертификаты ..)
емнип давно уже отозвали и у сайтов в тч
Скрытый текст
Сертификат валидный для nalog.gov.ru вот тест:
https://www.ssllabs.com/ssltest/analyze.html?d=www.nalog.gov.ru
https://www.sslshopper.com/SSL-CHECKER.HTML#hostname=www.nalog.gov.ru
Так я про частный бизнес) у них то еще работает )
И sber.ru даже:
$ showcert sber.ru
IP: 84.252.149.198
Names: sber.ru sber.ru www.sber.ru
notBefore: 2026-02-13 10:03:11 (55 days old)
notAfter: 2026-05-14 10:03:10 (34 days left)
Issuer: C=US O=Let's Encrypt CN=R12
Tags: [CHAIN-VERIFIED] [digitalSignature]
Но интереснее всего складываются отношения с сертификатами у kremlin.ru, он долгое время вообще только по HTTP работал, потом вот Let's Encrypt, немного DigiCert и снова Let's Encrypt https://crt.sh/?q=kremlin.ru
Почему они не перенесли сразу проект на самоподписанный сертификат и в другой DNS сервис? Это жк быстро делается. Вроде все сайты, проксируемые сейчас через cloudflare, недоступны в России
Ребята думали, что можно просто проксировать чужой защищенный трафик через свои сервера и никто этого не заметит. Успех)
Чего-то не пойму, а зачем они мучаются? Пусть используют на сайте и в клиенте отечественный корневой сертификат Минцифры (или собственный сертификат, удостоверенный корневым сертификатом Минцифры - насколько понимаю, в этом случае сработает "цепочка доверия" в браузерах, и их сертификат также будет считаться доверенным). Это будет намного прозрачнее и честнее по отношению к конечным пользователям Telega. А то удумали использовать западные CloudFlare да GlobalSign'ы...
Тем у кого отечественный сертификат не установлен (первый раз заходят на сайт) - подсовывать LetsEncrypt.
Но это ведь как прямым текстом кричать даже самому рядовому пользователю: "Эгегей! Я - госуха!"
Какой тогда смысл в этой "телеге"? Не проще ли сразу пользователя просить скачать наш любимый парковочный мессенджер?
Сейчас они хотя бы вид делают, что они просто честный сторонний клиент
Смысл простой: приземлить TG в РФ чтобы популярным мессенджером можно было пользоваться и дальше - в соответствии с российскими законами, с хранением персональных данных и переписки в границах страны. Что касается вида, после этой статьи нет смысла притворяться.
Большинство людей спокойно относится к "госухам": сообщения есть? Есть. Видеозвонки? Тоже есть. Они будут общаться через "Telega", "MAX" и любой мессенджер, потому что не являются подозреваемыми и никого не интересуют. TG давно и упорно напрашивался на блокировку, служил "точкой входа" в преступный мир (наркотики и т. п.), не надо строить из него невинную жертву: проблема вышла на уровнь ООН давно.
Вы действительно считаете, что государство блокирует телеграм для защиты граждан?
Уважаемый @xirustam, что я действительно считаю - то оставлю при себе. Но это не делает из TG и П. Дурова ангелочков, которые совсем не способствовали росту киберпреступности.
Если вы имеете ввиду другие причины блокировок, то для них прикрыть один TG - явно недостаточно.
У меня есть знакомые, которые пользуются телегой задолго до их совершеннолетия. Лобные доли там несформированы и прочее. 0 из них "вошли" в преступный мир (наркотики и т. п.).
Заблокируют телегу — перейдут в matrix или еще куда-нибудь. Либо просто ускоритель интернета включат, как сейчас)
слабоумным разработчкам, решившим внедрить в свои приложухи реализацию методички от минцифры приготовиться)) будете потом тоже бегать кругами и рассказывать, почему шпионское сканирование в приложении это ок. 2гис за меньшее с маркета снесли в свое время
Не понял, на каком основании CA отозвал сертификат.
Как минимум 1 серт от .info в публичном доступе, и это именно факап телеги, они его в докер-контейнере залили на публичный аккаунт в докерхаб. Как минимум для этого сертификата основание кажется достаточное. При чем контейнеры они спрятали, но серт сразу не отозвали
Про остальные сертификаты не знаю.
P.S. Интернет все помнит, следы искать по «telega-haproxy-lb». Хотя с окоукливанием интернета внутри мессенджеров, где нет нормального поиска это может доставить проблем
Max на минималках
Там это, снятую метку снова вернули
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Код Дурова»: в Cloudflare пометили рабочие домены Telega как шпионские, после чего у клиента отозвали TLS-сертификат