Комментарии 185
Блокировка протоколов VPN
Блокировка вообще всего подряд
--- Вы находитесь здесь ---
Белые списки
Доступ в интернет по спецпропускам
по паспорту же
По талонаи
Куда лезешь к терминалу без очереди, мы тут уже час стоим!
Это вы ещё по спискам в очереди к терминалу не стояли, записываясь в список с 5ти утра))
Мне только спросить!
man command
Неиронично, в августе ходил в военкомат с целью написать заявление на получение военника (после прохождения альтернативной службы), три дня ушло на это:
- В первые день я пришел, после чего мне сказали оставить надежду и приходить завтра пораньше, часиков эдак в 8.
- На следующий день пришел в 8, и как оказалось, я уже ~20 в очереди. Весь день проторчал в военкомате, и все равно не успел. Мы с оставшимися в очереди людьми скооперировались, договорились с сотрудниками военкомата, взяли листок и вписали в него свои фамилии, после чего оставили на проходном посту. В 3 часа ночи я приехал в военкомат, чтобы проверить, что лист не выбросили и не подменили, после чего приехал уже под открытие, встретив знакомых ребят.
- Учитывая, что я был ~3-4 в очереди, ждать пришлось до обеда, после чего мои документы наконец были приняты. Сказали ожидать приглашения забрать билет.
Идет третий месяц, билета до сих пор нет :D
На днях звонил, говорят, мол, люди поувольнялись и теперь заниматься этим некому...
охотно в это верю. я описал то с чем сам столкнулся в 2014-2018, когда проходил круг РВП-ВНЖ-гражданство. Штурм терминала с талончиками вкупе с мигрантами и к кнопочкам допускались по-порядку люди из списка в 60+ человек. И так каждые полгода.
оффтоп - а как должен выглядеть талончик на интернет?) что в нём указывается? )
Что они там такого делали, что 20 человек даже за день не приняли?
Из личного примера - военник не нужен практически нигде, где могут спросить (в нашей стране) - там всегда можно договориться, что у вас его нет, все понимают. Исключение - сбор документов для получения ВНЖ в некоторых странах.
Скрытый текст
Непредставление сведений, необходимых для ведения воинского учета
Руководители и другие должностные лица (работники) организаций, ответственные за военно-учетную работу, обязаны направлять в военкоматы необходимые для ведения воинского учета сведения о гражданах, состоящих на воинском учете, а также не состоящих, но обязанных состоять на воинском учете (п. 1 ст. 4 Закона № 53-ФЗ). Сведения представляются в военкомат по форме, приведенной в Приложении № 6 к Положению о воинском учете, утв. постановлением Правительства России от 27.11.2006 № 719.
О приеме на работу и об увольнении военнообязанных работников организации нужно сообщать в военкомат по форме, приведенной в приложении № 2 Положению о воинском учете.
За непредставление или несвоевременное представление таких сведений установлен штраф для должностных лиц в размере от 40 000 до 50 000 рублей (ст. 21.4 КоАП РФ)
Так и было до определённого момента, но теперь значительно увеличились штрафы.
О приеме на работу и об увольнении военнообязанных работников организации
Если перейти от теории к практике - о том, что вы военнообязанный, кадровик организации может узнать только от вас.
Очередной дебильный закон. Информация о трудоустройстве работодателем и так каждый месяц отправляется государству. Так нет же, вместо того чтобы внутри у себя разобраться, усложняют жизнь бизнесу очередной ненужной бюрократией.
Проходил сверку паспортных и прочих данных - детей, права, регистрация, реальное место проживание меня, жены, родителей, ... в январе, как приходила повестка.
Там реально аврал, народу - море, при том что школьников-студентов ведут по другому военкомату (их при Сердюкове паровали, и один из-них переводился на школьников-студентов-досрочников, второй - работа с отслужившими, контрактниками и прочим контингентом, не попадающим в первую категорию).
А почтой (заказное с описью) им это заявление прислать нельзя?
Стояли... Году в 95м, публичный доступ в интернет был через терминалы в универе, куда надо было записаться недели за две :) Эх, как вспомнишь :)
Пффф, я помню, что интернет по карточкам уже был...:-)
Да мы и так по паспорту, actually. Ты когда с провайдером договор заключаешь, ты ему паспортные данные не передаёшь?
доступ только для касты "свои"
А те у кого паспорта нет запретить
Всё уже украдено до Вас
Давайте не ныть, а объединяться и закрывать контору РКН.
Белые списки
А ты думал https://habr.com/ru/news/856354/ просто так что ли?
--- Вы находитесь здесь ---
Белые списки
не нужон ваш интернет
Не смог устоять.
падение спроса обрушат цены провайдеров!!!
ну значит обяжут платить, как за радиоточку или телеантенну. не все побегут отказываться
как в Великобритании за телевидение, даже если не имеешь телика?
https://www.bbc.com/russian/features-60027642
Да, смешно. Не то, что у нас. Ну тууупыые...
Не совсем так. Если не хочешь смотреть телевидение в прямом эфире, платить сбор не надо, даже если имеется телевизор.
Тут подробно если кому интересно: https://www.transfergo.pl/ru/vazhnoe-o-televizionnyh-licenziyah-v-velikobritanii
хотел почитать. А там 502
Вот тут пишут, что и при отсутствии телевизора придётся платить (и как-то больше доверия, чем к польскому сайту): https://www.tvlicensing.co.uk/languages/LANG9
Вам необходима ТВ-лицензия для:
просмотр или запись программ, транслируемых по телевидению на любом канале;
просмотр или потоковая передача прямых трансляций программ интернет-службами телевидения (например, ITVX, Channel 4, YouTube, Amazon Prime Video, Now, Sky Go и т. д.);
загрузка или просмотр любых программ BBC на BBC iPlayer.
И автобусами людей в интернет привозить будут
Ну или другой вариант - все переходят на VPN и дальше эффективность РКН будет такая же, как если бы он сегодня gopher и FTP протоколы фильтровал.
РКН переходит на китайскую модель блокировок и блокирует вообще всё непонятное. Попутно начинают полностью блокировать трафик на пограничных маршрутизаторах, пропуская только по белым спискам (как в Китае). Китай не получится, получится Северная Корея, но все пофиг, так что добро пожаловать.
Судя по вектору движения всё именно к такому и придёт за пару лет. Попутно могут запретить использование VPN физлицами, так как это более простой путь.
Скорее Туркменистан, где заблокировано 2/3 всех IP-адресов.
блокирует вообще всё непонятное
Разве? Неужели, например, мои VPN соединения или SSH ему понятны? Мне кажется, такого нет, сейчас именно черные списки используются (иногда нарисованные широкими мазками).
могут запретить использование VPN физлицами
Признаю, что я оптимист и может быть верю в то, что мне было бы приятнее верить, но мне очень нравится отрезвляющий довод "если могут сделать завтра, почему не сделали вчера?". Он заставляет взглянуть поглубже в любую ситуацию.
Сейчас, белых списков нет. И медленно варят лягушку - не хотят сорвать резьбу, не хотят резких потрясений. Пока лягушке левую ногу сварили, у нее уже правая охладилась. Proton VPN вновь работает. Носят воду в решете, в общем. То есть, что-то все-таки доносят, прогресс есть, но какой-то незначительный (А сколько времени прошло? А сколько дедушке осталось?). Инстраграмм живой, телеграмм живой, ютуб живой. Эту же госпрограмму можно было бы озаглавить "VPN в каждый дом" - потому как именно этот результат у нее действительно есть.
А вот переход в один момент к белым спискам сделал бы все потрясения единомоментными:
"забанили торренты" (но я через впн)
"забанили инстаграмм" (но я через впн)
"забанили игровой сервер" (но я через впн)
"забанили ютуб" (но я через впн)
"забанили порно" (но я через впн)
"забанили телеграм" (но я через впн)
При переходе к белым спискам, все это случится снова, причем по-настоящему (а не так как раньше - "теперь ютуб через впн") без шанса на впн и все в одну секунду. Это очень высокая цена.
Может люди не выйдут на улицы от этого (а может и выйдут. Рано или поздно соломинка ломает спину верблюду, а тут бревно просто. Зачем лотерея такая?). А сколько ITшников уедет? Их что, слишком много осталось?
У меня сложилось мнение, что тут как с импортозамещением. Оно как бы есть, как процесс, с которого кто-то пилит себе новую квартиру и джип, но каким-то результатом и не пахнет. С блокировками так же. Всерьез блокировать - и технически почти невозможно и стресс будет сильный. Лучше, долгих лет и здоровья дедушке, и все это время за хорошую зарплату делать задачу бесконечной сложности, которая никогда не кончится.
Плевать всем на айтишников. Никто протестовать не будет. При запрете VPN отвалились все терминалы оплаты, удалённые офисы, банкоматы, куча промышленного оборудования. И что? Кто-то выражал недовольство? Нет.
Запрет YouTube вообще каждого второго зацепил в стране. И что?
Айтишники сейчас не могут работать с западными сервисами, покупать лицензионный софт, найти работу за границей, иметь доступ к облакам и прочее. И даже если удалось зарегистрироваться, то ещё нужно это всё суметь оплатить. Все эти рассказы про VPN это временное - пожизненные баны прилетают только так. И даже если всё прошло хорошо, то очень велика вероятность, что в какой-то момент прилетит проверка KYC и забанят аккаунт.
Интернет, в регионах, что вы знали, раза в два ухудшился за последние пару лет. До Москвы не докатилось, но я уверен, что в течение года и там ждите. Пинги за рубеж в полтора-два раза выросли и канал режут до 50 МБит по направлению в ЕС. Причём практически по всем провайдера и именно на пограпничных шлюзах из РФ. Уж не знаю, деградация оборудования это, нагрузка выросла или результат блокировок. Это не интернет, это боль сплошная. И становится всё хуже и хуже.
И, вы не поверите, но в некоторых регионах уже блокируют гуглосервисы, включая Play Market. И что? В Москве пьют смузи, а остальные рыдают, но едят кактус.
Все, кто мог и хотел, уехали. Средний уровень специалистов упал катастрофически. Были так себе мидлы, а теперь супер-звёзды сеньоры всё при том же уровне знаний и опыта. Это даже по Хабру видно.
Остались только те, кто не уедет, даже если интернет полностью обрубят. Будут рыдать и работать на Сбербанк. Уровень IT в РФ упал катастрофически.
Поэтому в течение года-двух будут постепенно блокировать всё больше основных сервисов интернета. Сначала TLS ECH, котом DoH, потом тоннели от Cloudlare. Потом (я думаю в течение следующего года) порежут скорость за рубеж. И будет у всех 1Mbit за рубеж. Остальное по заявке для юрлиц - как чейчас с VPN. А потом можно уже белые списки.
У вас изначально неверный посыл, смысл этих репрессий не в том, что бы ограничить доступ к "опасным для власти ресурсам в сети интернет". Таких ресурсов просто не существует. Ни одного. И уж тем более к ним не относятся ни сайты с аниме, ни инстраграм, ни ютуб. Вот вообще никак.
Смысл этих действий - пытка - создание постоянного состояния стресса в обществе, тревоги, непонятности ситуации. Вся вот эта "нелогичность действий власти" и "ну тупые" - это намеренная политика не дающая человеку точки опереться и оглядеться. Так действуют бандиты, вокзальные цыгане, так действуют спецслужбы. К кому из них относится ОПГ РФ решайте сами.
В Китае нет белых списков. Есть черные, в которых Google, Facebook и прочие западные соцсети и мессенджеры. Домашняя страница никому неизвестного Васи Пупкина прекрасно откроется, как и любой другой сайт, который специально не внесли в список блокировки.
все переходят на впн и забивают магистраль)
Доступ к Госуслугам на скорости 500 мбит/с за N руб/мес.
Лечение: cloudflare.com / SSL/TLS / Edge Certificates / TLS 1.3 (выключить)
Это не лечение, а купирование симптомов.
Ну если Вы такой умный, сидите с неработающим сайтом.
Сайт-то работает, почему же. То, что для доступа к нему требуются дополнительные технические средства - это уже второй вопрос.
Будете «в пятницу очередь пораньше занимать»?
Сайт то таки работает дальше и даже ничего и не заметил.
Продолжая ваше "лечение" можно предложить сразу отключить SSL… Только стоит ли оно того?
Этого Роскомнадзор и добивается. Пошли они в жопу.
Это не лечение. Так и SSL можно выключить. А то мало ли.
Достаточно выключить ECH. Не нужно tls выключать.
Как хорошо что есть пункт Data minimization в GDPR. Очень просто отследить сайты на Cloudflare, которые руководствуясь желанием передать информацию о гражданах Евросоюза третьей стороне, намеренно ослабят механизм шифрования. Далее автоматически по каждой компании генерируется письмо в Data Protection Authority, компании выписывается штраф в размере max(€20kk, 4% мирового годового оборота), и это уже лечит в обратную сторону.
Зарубежные ресурсы не будут выключать.
Не работали мои сайты. Только через квн.
Установил в настройках Minimum TLS Version 1.2 ( было Minimum TLS Version 1.0 (default)) и норм заработало.
Указанные выше сайты раьотают через квн только .
Ну что, доигрались, доломались? Может, уже пора начать чинить? Это уже невыносимо. Вы прежде чем блокировать Cloudflare дайте аналог, не за 100500 денег и не за 8000 в месяц, в бесплатно, как у них, чтобы можно было включить защиту от атак, от ботов и прочее, чтобы кэшировалась статика и не раскрывались исходные адреса серверов при запросе DNS, потому что бить смогут напрямую. Блокировать любой сможет - дай ему инструмент и приказ. А сделать что-то своё, отечественное, что то хорошее для людей, не в поисках наживы, слабо?
"Покажи ему свой чёртов значок!"
Ну Cloudflare тоже в поисках наживы, просто пока видимо модель маркетинга позволяет представлять услуги большому количеству клиентов условно бесплатно, но в будущем это будет монетизироваться, переводя бесплатно в платно.
Вероятно, они так же торгуют данными как и все остальные бесплатные. Только представьте, сколько трафика через них проходит, какую аналитику можно с него собирать.
Может это не связано вообще, но США выделяет под проекты проксирования трафика в 2024-2025 году сколько-то миллиардов долларов из бюджета, для третьих стран, предоставлять прокси бесплатно, вот только я VPN бесплатных так и не увидел, может это связано с Cloudflare как-то?
Деньги выделили, а VPN бесплатных нет. Ну и ясное дело для чего это делается, информация и данные сегодня это четвертая власть.
Вы прежде чем блокировать Cloudflare дайте аналог
Иностранных аналогов тоже не то чтобы дофига (я честно говоря с ходу и не назову). Соответственно, напрашивается вывод что монетизировать такой "бесплатный" сервис проблематично, раз уж на глобальном рынке не могут - чего уж говорить про небольшой, отечественный
Ну так это же классика жанра - демпингом выбить конкурентов, стать монополией и потом поднять цены.
Пока рынок бурно растет можно держать низкие или нулевые цены на деньги инвесторов.
По мере стабилизации и тем более падения начнется переход к выжиманию прибыли - это на куче компаний отражается в том числе на борьбе с блокировщиками рекламы и увеличением ее количества на ютьюбе например. Ну и в сокращениях.
Вот только пользователи уже привыкли к бесплатному и называют процесс словами вроде enshittification.
Для выжимания прибыли нужен какой-то рычаг через который можно повышать цены, а пользователи не разбегуться.
Вот у яндекс.такси такой рычаг (небольшой) есть, и мы видим - такси, на мой взгляд, стало дороже (даже с учетом инфляции). Но слишком дорогим оно не станет. Всегда есть предел, после которого и люди начнут просто у обочины голосовать и мелкие фирмы начнут заниматься извозом и крупные конкуренты вновь начнут появляться.
У всяких гугл-яндекс дисков есть мощный рычаг (фиг съедешь с него, когда у тебя поклажи сотни мегабайт. Но и то: прижмет - съедешь). С почты тоже не съедешь, когда диск забился - по работе ведь все ее знают.
А какой рычаг получает cloudflare за много лет бесплатного сервиса? (сейчас у меня на нем статический сайт крутится и DNS). Что помешает мне перейти на любой другой сервис?
Как я вижу, единственное, что он реально получает - что я вижу, как он работает, вижу высокую стабильность, надежность, мне это удобно и привычно. Но ничего сверх этого. Ну 5-10 долларов я может быть согласился бы платить в месяц, но больше... просто один раз за полчаса настрою вариант на другом сервисе и все.
Честно говоря конкретно в эту тему не погружался, но комментатор выше пишет
>Иностранных аналогов тоже не то чтобы дофига (я честно говоря с ходу и не назову).
Насчет других сервисов вы сильно недооцениваете сетевой эффект - вся мощь Google например ничего не смогла сделать с Facebook например, а я хорошо помню как они прям очень сильно старались со своей соцсетью.
Понятное дело что это работает в каких-то ограниченных пределах и вот прямо вообще все что угодно сделать не получится. Но пределы достаточно широкие. Опять же по мере охлаждения рынка и сокращение предложения инвестиционных денег желающий беспатно предоставлять аналогичный сервис с рассчетом когда-то в будущем начать его монетизировать сильно поменьше станет.
По такси уже началось. По некоторым данным, до 70% водителей свалили, и начал разививаться рынок "помощи с поездкой" от частных лиц и компаний, которые не имеют лицензии такси, маршрутных листов, и отчислений в 50% агрегатору.
Интересно.
Если DNS сервер сообщает о поддержке ECH, то почему DPI не может пропатчить DNS ответ, чтобы "дать понять" устройству пользователя что ECH не поддерживается.
Спасибо РКН. Благодаря его "заботе" у меня теперь обход всех его блокировок прямо в роутере. Не нужно парится с обходом на разных устройствах и объяснять гостям, как получить доступ к нужному им ресурсу. А дети родственников теперь когда приходят, намертво прилипают к телевизору, потому что там работает ютуб. Все его аналоги они уже перепробовали и начали подозревать что их @#$%&№.
"А дети родственников теперь когда приходят, намертво прилипают к телевизору, потому что там работает ютуб."
Может быть, стоит им подарить такую же "волшебную коробочку", чтобы ютуб работал и у них?
К сожалению нет такой коробочки, которую подключил и забыл. И такой подарок, сядет дарящему на шею, придётся периодически ходить и настраивать его, т.к. РКН совершенно не устраивает ситуации, когда его блокировки обходят все кому не лень.
Да и меня эта ситуация устраивает. Дети не носятся по всему дому, не орут как резанные и не катаются на моём горбу, а тихонько сидят и залипают в чёрное зеркало.
Усыновите меня. У меня уже нервы сдают каждый раз решать проблемы с обходом.
Думаю, такой коробочкой может быть что-нибудь самопрошивающееся на raspberry pi или другом похожем железе. Например, предоставляющее wireguard тоннель. А завтра wireguard заблокируют, устройство само достучится (любыми обходными способами) до серверов, скачает прошивку с другим типом VPNа и снова будет работать.
Человек создан для движения. Наша внутренняя эволюционная обезьяна с ровной осанкой и отсутствием шерсти нуждается в активности. А дети — тем более. Носиться и орать — норм. (забыл, как зовут эту ведущую.png). И ещё момент. Суетное, шебутное поведение детей — это плюс к нейрогенезу и профилактика деменции. Да, да, та самая, которая лет через 60 шестьдесят может возникнуть. Если у кого на примете есть ссылки на исследования, приложите в комментариях, пожалуйста. Мне лень искать. Если вы настроили свой роутер и в целом разбираетесь в компьютерных науках, то предполагаю, что с интеллектом всё в порядке. А теперь скажите, каким было ваше детство. Вы сидели днями у телевизора ? Нем, мы все смотрели Диснея. Но и гуляли. Как по мне, комп+интернет есть какой-то феномен. Потому что в соло играх мы знали меру.
Скрытый текст
Хочу оставить здесь свои субъективные мысли о жизни. Брал кошку из приюта. Там заполняешь анкету. И многие вопросы/утверждения мне показались логичными. Животное в доме не всегда будет делать то, что вы хотите. Они могут испортить вещи. И это в порядке... вещей. И сюда же: недавно у знал про одного поляка, который пошёл с детьми в газовую камеру. Он при жизни оставил "заповеди" взаимоотношений с ними. Как это связано с тематикой Хабра ? Ну.... если вы это читаете, значит, вы человек. И были ребёнком. И у вас есть интеллект. А хотите, чтоб дети росли здоровыми ? Ум свзян с психикой. А что из этого следует, думайте сами.
Ну так они и не сидят у меня целый день. Их скидывают на пару часиков и то не каждый день. Так что никакого вреда нет. Перерыв и физический отдых тоже важен.
В общем, вы сделали папа-заменитель.
Хорошо, обращусь тогда за советом. Может, повезло, но с ютубом (тьфу-тьфу) минимальные сложности испытываем. Хоть раздача с простого мобильника.
Смотри, есть реальный и животрепещущий "кейс": магнитола в машине использует буржуйские сервисы, которые с какого-то перепуга теперь отвергают наши, „пАнимаиш“, православные, IP. (В геополитику не лезем, это лишнее, всё равно вряд ли что-либо решим). Карта электрических заправок тоже не работает.
Если конкретно, то вопросы больше наверное такие:
Твоя коробка / прошивка умеет справляться с проксированием (наверное, лучше определённых whitelisted списков) групп сайтов / их групп IP, чем всех подряд)
Что за коробка? Умеет ли она питание по PD, 5 В или 12...15В?
Что кушает на входе? Только стандартное rj-45 /оптику, или симку (в каком-нибудь виде (i.g. usb-модем, с антенной внешней или нет)) — „скушать“ тоже может?
Насколько геморно/муторно/часто в ней добавлять новые сайты, менять прокси (ещё же платные, поди?))), обновлять прошивки?
Если вдруг твоя чего-то из п.2—3 не умеет, знаешь ли, что можно взять более подходящего?
Конечно, душой всё же чувствую, что какой-нибудь "LTE<->wi-fi модем-box" больше подходит для моей задачи, но пока не видел ничего с проксированием диапазонов. Но, если видели, подскажите плз.
Не знаю, с чего вы взяли, что я специалист в этом. Мне просто попалась публикация на Хабре(ныне заблокированная), по которой я установил решение на роутер кинетик.
Как оно там внутри работает, для меня чёрная магия. Есть и списки и автоматическое определение заблокированных сайтов, плюс простой механизм обновления версии, благодаря чему я отключил все альтернативные механизмы обхода блокировок и всё работает.
Ссылки давать не буду. С нынешними законами, это чревато блокировкой не только инструкции, т.к. на этом сайте госструктуры внимательно читают и публикации и комменты.
И читают очень активно.
Это они тонко, учитывая, что CF с неизбежным ECH используют и сами госы на своих сайтах. Ждем-с волны визгов: хацкеры поломали госсайты!
Это какие, например? Звучит как повод для официального обращения.
Никакие. Я скачал список из нескольких тысяч госсайтов и ни один из них не использует ECH.
Сохраню для истории, как госорганы использовали и ECH, и IPv6: https://dns.google/resolve?type=HTTPS&name=omsk-parlament.ru
В Brave все отлично открывается без всякого обхода.
Блин. Всем провайдерам и операторам связи, пора объединиться, и росскомнадзоровцам, преднамеренно обрубить доступ к интернету. Создать псевдо интернет. Где будут работать только госсайты. А все остальное при попытке открыть. Будет с надписью - заблокированно роскомнадзором.
Пусть сидят и думают что они все заблокировали.
Да и собственно всему госсектору тоже блок надо бы поставить. С той же надписью. Там через пол часа, все сотрудники роскомнадзора будут признаны пособниками врага и поставленны к стенке!
непонятно. РКН блокирует доступ до сайта, проксируемого через Cloudflare, отключая возможность работы по TLS 1.3 с таким сайтом? Или как-то мешая работе расширения ECH этого протокола? Сайт проверки статуса https://www.cloudflare.com/ssl/encrypted-sni показывает крестики и на TLS 1.3, и на Secure SNI, доступ к сайту cloudflare-ech.com закрыт.
Defo продолжает исправно показывать включенным статус ECH
С полуночи сразу в нескольких российских локациях наблюдается следующая ситуация
У особо "продвинутых" провайдеров таких, как КВАНТ-ТЕЛЕКОМ (Джастлан/Justlan) это еще с вчерашнего вечера. Но есть надежда, что, как обычно, через пару дней запустят очередной эксперимент и это выключат.
Подскажите список затронутых URL
openstreetmap.org
opensource.org
wpguardian.com
doxygen.org
cpanel.com
bitcoin.org
gitlab.io
И еще пара миллионов сайтов попроще.
И еще пара миллионов сайтов попроще.
Интересно, и что в РКН с этим будут делать? Или как с замедлением YouTube - просто забьют? Мол, никаких официальных заявлений не было ("да, мы блокируем, а по-другому никак"), то можно и не париться за последствия, всё равно спрашивать неизвестно с кого?
Не все крупные сайты включили ECH. Например, vimeo.com и w3.org без него (предположу, что они отключили это вручную).
Вот накатал небольшой чекер, может кому пригодится:
#!/bin/bash
IN="domains.txt" # читаем домены из файла
OUT="affected.txt" # записываем в
PROCESSES=10 # "многопоточность"
check_domain() {
local domain="$1"
if [[ -z "$domain" ]]; then
return
fi
# Получаем DNS запись HTTPS используя DIG
response=$(dig +short "$domain" HTTPS)
# или через Google
#response=$(curl -s "https://dns.google/resolve?name=$domain&type=HTTPS")
# Проверяем наличие "ech=" в ответе
if echo "$response" | grep -q "ech="; then
echo "+ $domain"
echo "$domain" >> "$OUT"
else
echo "- $domain"
fi
}
export -f check_domain
export OUT
> "$OUT"
cat "$IN" | xargs -P "$PROCESSES" -I {} bash -c 'check_domain "$@"' _ {}Ну или так:
https://dns.google/resolve?name=radio-t.com&type=HTTPS
Всё открывается в последнем Хроме (win64). ЧЯДНТ?
Т.е. добавить в белый список <запрещённое слово из трёх букв> какой-нибудь cdn.cloudflare.com не получится?
Ещё и aur.archlinux.org подвергся тому же. Недоступен без обхода.
Ещё практически любой мелкий статический сайт, задеплоенный на бесплатный тариф, например, с документацией. Я сейчас столкнулся с недоступностью docusaurus.io. Очевидно, что авторы этих сайтов ничего с этим делать не будут.
Как уже задрал (извиняюсь за эмоции товарищ модератор) этот РКН если честно. Использую cloudflare в своём проекте для кэширования и уменьшения нагрузки на сервер. Надо бы посмотреть настройки, насколько помню там как раз указан TLS 1.3.
Нашёл решение как отключить на бесплатном тарифе:curl -X PATCH "https://api.cloudflare.com/client/v4/zones/ID_ZONE/settings/ech" -H "X-Auth-Key: YOUR_GLOBAL_API_KEY" -H "X-Auth-Email: YOUR_EMAIL" -H "Content-Type: application/json" --data '{"id":"ech","value":"off"}'
ID_ZONE - выбираете ваш сайт в дашборде и на первой же вкладке Overview он будет справа.
YOUR_GLOBAL_API_KEY - Переходим в My Profile > Api Tokens > Global API Key жмете View
YOUR_EMAIL - соответственно ваш email от дашборда
Можно сделать по вашему запросу и оставить включенным TLS 1.3?
{"success":false,"errors":[{"code":6007,"message":"Malformed JSON in request body"}],"messages":[],"result":null}
Что я делаю не так?
Нормально работает https://kopilkaurokov.ru
Тыдыщ!
./ciadpi-x86_64 -F --split 1 -i 127.0.0.1 -p 10801 --disorder -1
/usr/bin/chromium --proxy-server="socks5://127.0.0.1:10801" https://kopilkaurokov.ru/
Мне вот каждый раз интересно - а на каком основании? Ведь РКН - исполнители, они не имеют права принимать решения, только им подчиняться. Так вот - а кто, собственно, поручил РКН заблокировать работу ECH?
То, что РКН заблокировал ECH - это с его стороны "детали имплементации". Суд постановил заблокировать evil-example.org, РКН видит что блокировку по домену обходят с помощью ECH, РКН блокирует ECH.
to @Fahrain: Чтобы говорить "превышение полномочий" нужно знать, какие именно полномочия у РКН, или у ЦБ. По бытовому пониманию, у РКН есть право "блокировать штуки в интернете" и обязанность "блокировать запрещённые материалы". Соответственно, право "блокировать Cloudflare" у него тоже есть. Аналогично и VPN за границу РКН блокирует, несмотря на то, что пользователь VPN может не заходить на запрещённые сайты. Но ведь может и заходить!
А "борьба с мошенниками путём отключения онлайн-платежей" - теоретически до этого можно дойти, да. Но до этого ЦБ говорит банкам "тоже боритесь с мошенниками, иначе". Аналогично РКН говорит сайтам - убирайте запрещённый в России контент из доступа, иначе мы вас целиком заблокируем. Разница в том, что сайты не в юрисдикции (и особенно Cloudflare) могут и не удалить, и ничего им РКН не сделает кроме собственно блокировки.
Но это же фактическое превышение полномочий, не? Так и ЦБ может с мошенниками бороться отключением онлайн-платежей - а че, по другому-то не получается же до сих пор.
Нет. Средства обходов блокировок запрещены (ну точнее разрешена борьба с ними путем блокировки). Раз ECH позволяет блокировку обходить - нучтож((( По крайней мере я так это понимаю.
Ну допустим. А что делать будете? Суд с государством в суде этого же государства - уже непросто, а у вас еще и полномочий на проведение оперативно-розыскных мероприятий нет, чтобы доказать, что именно оно нанесло вам ущерб.
Отлично, ещё чуть-чуть и интернет полностью перестанет работать.
Cloudflare было прекрасным решением для проксирования ipv6 only сайтов с того же немецкого провайдера, чтобы и локацию не светить, и дорогой ipv4 для кучи мелких проектов не покупать. Что теперь делать ?
Очевидно же - делать сайты в двух адресных пространствах - одно для России, другое для остального мира. Или решить, чья аудитория приоритетнее (российская или не-российская) - и размещать сайт там, заранее приготовясь в случае чего на неопределённое время пожертвовать остальной аудиторией.
Это если вам надо, чтобы оно работало. Удобно, хорошо, недорого - выберите любые два из трёх.
А если просто что-то сделать - можете в РКН запрос написать.
Т.е. РКН воспользовался уязвимостью, наклепал оборудование, и теперь запрещает всем закрывать эту уязвимость? Интересно получается. В принципе изначально было странно, если трафик шифруются сертификатом, то почему какие то запросы не шифруются.
Это печально. Потому что с одной стороны, не хочется отключать tls1.3 (да и не всегда получится, могут быть проприетарные устройства и программы в которые не залезть) и хочется роутить трафик до "не тормозящих серверов" через локальное подключение к интернету. Сейчас роучу по sni_name получаемый с помощью ngx_stream_ssl_preread модуля в nginx на который прозрачно поворачиваю трафик фаерволом. Увы, глубоко не разбирался как работает ech, и не знаю можно ли как-то повторить подобную же схему?
Например:
Через кастомный dns подкидывать в dns ответ про ech свой открытый ключ.
Через какого-то посредника (какого?, nginx вроде не поддерживает) расшифровывать "Client hello" (имея закрытый ключ) идущее от клиента, принимать решение о маршрутизации, переделывать "Client hello" под правильный закрытый ключ сервера и отправлять через хост в стране где "сервера обновляются и не тормозят".
Кажется мне, что если ech проектировали люди фанатики (в хорошем смысле) криптографии, то клиент в ответ на "Client hello" будет ожидать от сервера какой-то информации подверждающей, что сервер получил именно то сообщение которое клиент отправил (например хешь первоначального сообщения), и схема в таком случае развалится.
Алсо: То что можно роутить по ip адресам это я знаю. Не нравится сама идея неконсистентности в такой конфигурации. Что списки доменов преобразуются в адреса с заметным лагом и могут не отражать реальных ip адресов серверов (а списки sni_names, которые я вбил руками, всегда актуальны). Но если ничего не останется придется делать именно так.
отключать tls1.3
Пока на бесплатных аккаунтах ещё можно через api отключить ech на без выключения tls1.3.
А вообще странное, что оно там приколочено к SNI cloudflare-ech.com. Было бы неплохо чтобы в этом поле мог быть произвольный сайт, все равно дальнейший роутинг можно направлять по зашифрованной части
Спасибо РКНу, как меня задолбал этот cloudflare на сайтах, зайдешь и надо мышкой водить, ждать пару секунд, чтобы тебя анти-ддос пустил. Ставят cloudflare на любой хоум пейдж, идите сайты научитесь нормально делать, чтобы не надо было "уменьшать нагрузку на сервер", тьфу.
Наконец-то скоро все сайты снова будут на http как 2007 году. Так же проще, никакие ключи не нужны) сразу читаются все данные в трафике, и пароли в том числе и тексты комментов под всякими постами. Это же все во благо, ркн не вредители ни в коем случае!
Чтобы открывались сайты и вам нечего скрывать - то в FF заходим в about:config и выставляем max-tls-version = 3
Спасибо за инструкцию, сегодня и меня защитил РКН, два раза.
Заработало через минуту.
А подскажите, люди добрые!
Отключил этот TLS вражеский и какие теперь благодати прольются на мои сайтики скрепоносные? Сайтики чисто информационные, одна статика, ни админки, ни личных кабинетов, ни соответственно паролей и прочих СМС там нет.
Нужен общий механизм отслеживания лиц, посещающих сайты по созданию ВзрВ-в, договаривающихся о проносе оружия в школы и т.д. Ваши действия? Администрации ресурсов достаточно одну галку переключить и никто ничего не заметит. Да, лениво заходить в настройки CF, но ничего, все после этого работает. Для пользователей из РФ сегмента можно и потратить 5 минут времени.
Мы отнеслись к этому с пониманием и выставили нужный флаг во всех наших ресурсах без детских соплей.
Самое поразительное, вчера когда был сбой у мтс, ни один из вышеперечисленных сайтов не открывался без VPN, остальные сайты работали. Сегодня, когда сбой мтс починил - данные сайты заработали без vpn. Похоже все же сбой у магистрального провайдера - это утка.
Тестируют. Ростелеком уже включил и теперь любые запросы к github через git блокируются или проходят через раз с ошибкой о TLS.
Роскомнадзор, вероятно, начал блокировать подключение к CloudFlare с использованием TLS ECH (Encrypted Client Hello)