Как стать автором
Обновить

Комментарии 90

Отличный способ идентификации тех, кто пользуется не "домашними" сервисами, чем ркн и воспользовался.

При чем здесь "коварный запад", при чем здесь "поработить", что за бред промытый?

Если "внезапно" все впн станут в пакетах отправлять is_vpn:1 , Китай не воспользуется случаем и не заблокирует трафик по этому параметру?

При том, что в отсутствие "коварного запада" не видно никакой цели в том, чтобы вообще заморачиваться с "домашнестью" сервисов.

Предлагаю посмотреть на компании, которые предлагают хостинг (сбер, яндекс, вк), потом задуматься над тем, кто является владельцем/основным бенефициаром данных компаний, после чего погуглить "%основной_владелец_акций_компаниянейм% путин".

Цели "одомашнивания" сразу же предстанут перед глазами в поисковой выдаче — передел внутреннего рынка.

К сожалению, лахтаботы уже слишком сильны на хабре, поэтому эта ветка комментариев и лично я погружаемся в минус, но что поделать — народ высказал свое демократическое мнение, соответствующее нынешней политике партии, а я видимо отправляюсь на поиски других площадок для постинга уникального контента.

С каких пор автопостинг мемов уникальный контент?)

С тех пор, как есть 1001 статья про использование апи ботов, но нет статей про использование апи клиентов.

Иногда имеет смысл. Ну там - задержки.

Если конечно эти сервисы в принципе есть (а то - вспоминается например теперь-уже-НФ-трилогия с AT "Ковидники ft. Совки", там у России именно что ситуация что варианта использовать западные интернет-сервисы - просто больше нет, вообще никак, независимо от того кто президент РФ, ах да если что - никаких массированных ракетно-ядерных ударов по территории России не наносилось никем) :)

Если "внезапно" все впн станут в пакетах отправлять is_vpn:1

а не подскажете, как такое произойдет с OpenSource протоколами и их реализациями?

Опенсорс != безопасность, чему liblzma доказательство

Хорошо. А на мой вопрос ответите?

Это был ответ на вопрос, как я его понял. Если это не ответ на вопрос, то просьба объяснить вопрос и какие слова в нем необходимы в дополнительном объяснении.

Как может сложиться такая ситуация, что все доступные OpenSource определения и реализации протоколов VPN будут содержать одну и ту же уязвимость? Какие действия и кем для этого должны быть предприняты?

Тут уже какая-то демагогия начинается.

все доступные OpenSource определения и реализации протоколов

Без понятия, это зависит от количества протоколов, их авторов и организации процесса работы.

Как может сложиться такая ситуация... Какие действия и кем для этого должны быть предприняты?

Бэкдор в ядре линукса вполне может поспособствовать этому.

Как он туда попадет — программируют люди, ревью выполняют люди. Всем людям свойственно делать ошибки.

Тут уже какая-то демагогия начинается.

Это переформулировка вопроса из комментария выше без изменения смысла.

Бэкдор в ядре линукса вполне может поспособствовать этому.

Как бэкдор в ядре линукса может добавить информацию в пакеты VPN, не нарушив при этом их обработку системами, например, на Windows, MacOS или BSD, в которых этого бэкдора нет?

Точно также, как в системах OS/2, Solaris и другом огромном множестве ос — даже если будет ответ на 3/3, обязательно появятся еще. Я не собираюсь участвовать в демагогии.

Я правильно понимаю, что изначальное "если "внезапно" все впн станут в пакетах отправлять..." описывает ситуацию, про которую вы сами утверждаете, что она невозможна?

Не то чтобы я поддерживал его тезис, но огромное количество коммерческих VPN просто брендируют приложение от OpenVPN, например. Так что да, векторы указаной уязвимости вполне правдоподобная штука.

Я хоть и не согласен с товарищем выше, но он пишет про обычное лоббирование со стороны российских хостингов.

Как будто кому-то не пофиг сейчас на их мнение

Реферальная ссылка сводит на нет всю смысловую ценность её содержимого

Ну хочет человек немного заработать, что ж теперь, это запрещено что ли?

Еще потенциальная проблема - на Aeza ссылка.

У меня вот видимо там регнутся даже не факт что получится.

А потому что надоело уже на abuse@ писать с заголовками спама который с их IP валится и в результате на почтовом сервере выставлена блокировка сразу по подсетям их.

Можете почитать мои комменты - я на Хабре один из самых-самых брюззжателей, что Хабр - не торт, и задрали все со своими статейками с припиской "идите ко мне в телеграмчик".

Но вот в данном конкретном случае - это нормальная новость для Хабра. Реальные данные, с проблемой и даже - решением. Статья техническая, но не слишком замудрёная. Написана человеком, и читается легко. ИнфоСлужбе у таких статей есть чему поучиться.

Так что хрен с ним, впилил он сюда свою рефералку, но в данном конкретном случае - ему простительно, потому что в общем потоке шлака внезапно - хорошая статья.

НЛО прилетело и опубликовало эту надпись здесь

Ну, вы можете прикинуть, как низко опустился Хабр, что даже за такую, не особо длинную и замудрёную статью, я готов простить человеку реферальную ссылку.

да где вы все видите рефералку? ткните скриншотом :)

Сдается мне, ссылку из статьи удалили.

О, кстати, он её удалил. Там в конце статьи была рефералка на его какой-то edgefront, собственно говоря, из за этого весь сыр-бор. Но, и тут даже автор решил, что нахрен всё это, и удалил рефералку. Шеффс кисс.

Реальные данные, с проблемой и даже - решением.

это не решение а подорожник на открытом переломе. решением здесь может быть только открытие уголовного дела на всех участников роскомпозора с последующей посадкой на пожизненное.

Так что хрен с ним, впилил он сюда свою рефералку, но в данном конкретном случае - ему простительно

было бы простительно если бы он пометил что ссылка реферальная, это элементарные правила хорошего тона которые не так сложно запомнить.

Туннели Cloudflare кстати тоже отвалились вчера вечером.

Мои работают (если cloudflared имеется ввиду).

Интересно насколько реально на хосте использовать что-то вроде zapret чтобы модифицировать пакеты туннеля, чтобы не отключать tls 1.3?

Сейчас активно смотрю в сторону cloudflare pages (edges ssr) + serverless технологии (yandex cloud). Это какая-то революция, по крайней мере для меня. Чистая бизнес-логика.

Но если прикроют cloudflare, есть какие-то альтернативы например от того же яндекса? В смысле, не защита от ддос, а именно как хостинг с nodejs

Облачные функции на nodejs

Это просто облачные функции, это не то... Это для бекенда как бы. А фронт который не просто статик, а может выполнятьcя на node для ssr, такое есть? Я смотрел, не нашел. Но думаю, если бы появилось, то яндекс бы закрыл практически все потребности, так сказать, импортозаместил бы фуллстек.

Облачные функции

Только лучше не функции, а всё же контейнеры, на самом деле

Для начала хватит и обычной функции в предзагружаемой nodejs среде

Нет. Если вы ими пользовались, то знаете, что не хватит. А я пользовался и решал подобную задачу.

Проблема номер раз в том, что последняя доступная среда это node 18. Ни 20 ни 22 нет.

Проблема номер 2 - вы можете подгрузить package json, но лить вам его надо или ручками или на бакет. Если у вас есть ассеты - на бакет. Билдить и запускать что-то типа нитро или другого app сервера...

Короче, если делаь очень сильно нечего и стек не очень свежий, можно попробовать и придти к контейнерам. Я бы не рекомендовал

И как это мешает запустить nodejs приложение? как это мешает сделать ssr? И да, nodejs 18 все еще поддерживается официально.

Дьявол кроется в деталях. Я не эксперт в node js, но готов подтвердить, что чрезмерное завязывание на cloud functions - это попа-боль в перспективе

чрезмерное употребление микросервисной архитектурой вызывает рак

С функциями немного замаятесь. Напишите простенький контейнер, который будет брать ноду, ваш код, делать билд сервака, ну и торчать в мир. И в общем-то да, всё. Дальше настраиваете время жизни, количество подключений, ресурсы на контейнер, количество горячих, ну всё такое и вот у вас готов фронт с SSR и автомасштабированием. Перед ним цепляете CDN, корректно настраиваете заголовки cache-control и в общем всё.

Плюс с serverless container в целом будет жить попроще. Увы, но платформы не могут тянуть контейнеры из другого реджистри, кроме своего, так что надо будет подгружать, но это уже не такой гемор, у яндекса есть инструкция, как сделать логин через ycli. Остальное ничем не отличается от пуша в другой реджистри

Тогда весь смысл от использования ssr теряется из-за неэффективности старта самих контейнеров (cold start). мы банально очень сильно увеличим латенси.

Мне в свою очередь нравится готовое и прогретое окружение nodejs, но не нравится, что нет свежих версий.

Частично медленный старт можно уменьшить на только стороне контейнера . например, использовать скомпилированные в бинарное представление файл-бандл (нужно собрать бандл в строго один файл, а потом его в бинарное представление). можно рассмотреть bun single executable

https://webcontainers.io не знаю то ли что нужно, но тут "серверная" часть выполняется внутри контейнера в браузере.

Vercel является прямой альтернативой cloudflare pages. Но Vercel по сравнению с cloudflare чрезвычайно дорогая платформа.

Cloudflare действительно позволяет отключить ECH через панель управления, но только на платных тарифах. Стоит ли оно того?

Нет, конечно. Владельцам сайтов следует информировать своих пользователей о причинах перебоев с доступом и способах их преодоления. Надо продвигать в массы идею об априорном использовании инструментов преодоления цензуры (прокси, VPN и прочие анти-DPI).

Понятно, что всяким коммерческим и зависимым от гос.бюджета сайтам сподручнее прогибаться под ркн и занимать очередь с вечера, со своим вазелином. Но хочется верить, что таких - меньшинство.

Так а в чем смысл, если без впна на такие сайты с включенным ЕСН теперь обычным юзерам не войти, а юзеры, которые могут войти и прочитать про "инструменты преодоления цензуры", и так используют эти инструменты.

Не находите противоречие?

Во-первых, информировать о рисках можно заранее. Во-вторых, можно использовать альтернативные каналы доставки информации (например, соц.сети, email-рассылки и т.д.).

Вы какой-то "всёпропальщик", чесслово. Статей про "инструменты преодоления цензуры" в свободном доступе пруд пруди, и они резво плодятся и копипастятся. Их не банит в секунду какой-то волшебный автоматический фильтр, многие висят годами.

У меня есть сайт о формальных науках. Самый безобидный, ничего о способах обхода блокировок там нет. Но я люблю шифрование и хочу, чтобы его было как можно больше, поэтому использую ECH. Однако теперь ECH запретили и передо мной встал выбор:

1. Прогнуться и выключить ECH. Для этого ещё придётся откатиться до TLS 1.2.

2. Сразу сказать пользователям моего сайта, что теперь он будет работать только через VPN, ведь в России запретили ECH.

Что бы выбрали вы? Пожалуй, я выберу второй вариант, ведь если постоянно прогибаться, то уже нужно отказаться от ECH и TLS 1.3, а потом могут запретить и нормальные сертификаты и заставить всех пользоваться только сертификатами от Минцифры. Запрещать будут всё больше и больше, прогибаться придётся всё сильнее и сильнее. Вместо это можно просто сразу признать, что в России без VPN ничего нормально не работает.

"У меня есть сайт о формальных науках" -Поделитесь, плиз..

sci.volozhaninov.art. Ничего интересного: просто несколько заметок о математике, статистике, каузальном анализе и теории игр. Пишу для себя и иногда хвастаюсь перед друзьями, какой я «математик».

Не работает ваш сайт уже.

а как вы предлагаете в целом осуществлять безопасность граждан в интернете?
дело в том что такую упрощённую принципиальную позицию занять легко, но сложно реализовать на практике безопасность, поэтому интересно услышать ваши предложения как должно действовать гос-во

Когда говорят о безопасности, всегда следует начинать с модели угроз.

как должно действовать гос-во

Как насчёт вообще не соваться в Интернет?

Все правильно. Принцип "безопасность через изоляцию" в действии. Гражданам соваться в Интернет за пределами социально значимых сайтов небезопасно.

Эх, первый раз я интернет в универе увидел, мне мой одоноклассник, работавший там оператором на "шкафах", какой-то шведский gopher показывал и объяснял, чё там. Потом dial-up и жужжание модемов. Потом интернет в каждом доме. Сейчас - в каждом кармане. Завтра, походу, будут выдавать по талонам.

Есть в этом какая-то странная логика: пока никто не знает, для чего это - навязывают, как все разобрались - запрещают. С тревогой смотрю в сторону ИИ.

Пофантазирую.

Интернет все больше делится на острова. Будут ли между ними мостики - большой вопрос. А на каждом "острове" усиление контроля. Об анонимности можно забыть. Общие пространства интернета будут между союзниками, которые находятся в составе крупных надгосударственных образований (экономические союзы).

А ИИ, как технология, на данном этапе будет развиваться. Потому что имеет стратегическое значение для крупных игроков. Недавно была новость, что Fb работает с оборонкой штатов по внедрению ИИ. Зеркальные процессы будут по всему миру.

ИИ тоже будут ограничивать. Сейчас началась страшная тенденция - внедрение ИИ на устройства пользователей. В десктопные ОС и телефоны. Интеллект посмотрит фотки, документы, контакты, будет советовать как правильно работать и жить. Такие ИИ, которые будут отправлять информацию за рубеж, будут также запрещены.

Всё уже в Cyberpunk 2077 нафантазировали - местячковый типа безопасный интернет и великий файрволл, за которым дикие ИИ живут.

будет советовать как правильно работать и жить

Не просто советовать, а требовать и проверять исполнение требований. Ложные срабатывания будут не просто проигнорированы ("понять и простить"), а являться поводом для дополнительной проверки ("что это вы такое наделали, что вызвали ложное срабатывание, а?").

Жду когда Google врубит 😈

Если подключить Advanced Sertiphicate Manager (платный) то никакой настройки Encrypted ClientHello (ECH) там нет. Это какой план должен быть?

Пишут просто «other plan», мне казалось что это любой платный

Разобрался, нужный пункт называется "TLS 1.3". Платный аккаунт не подключен (который от 20 долларов), Advanced Sertiphicate Manager подключен (который 10)

Тут подсказывают, для бесплатных через api

curl -X PATCH "https://api.cloudflare.com/client/v4/zones/{ID_ZONE}/settings/ech" \
     -H "Authorization: Bearer {API_KEY}" \
     -H "Content-Type:application/json" --data '{"id":"ech","value":"off"}'

API_KEY и ID_ZONE заменить на нужную.

Вариант с глобал ключем если лень генерить апи кей

curl -X PATCH "https://api.cloudflare.com/client/v4/zones/{ID_ZONE}/settings/ech" \
     -H "X-Auth-Email: {ACCOUNT_EMAIL}" \
     -H "X-Auth-Key: {GLOBAL_API_KEY}" \
     -H "Content-Type:application/json" --data '{"id":"ech","value":"off"}'

Тоже не очень понял тряску автора на статье.

Если без использования DNS через HTTPS (DoH) использование Encrypted ClientHello (ECH) бесполезно с точки зрения блокировки , т.к. в 99.99% случаях эти минимальное окно между DNS запросом и началом http сессии , обрубать таких клиентов хоть с ECH хоть без элементарно.

Так провайдеры же ещё N лет назад баловались подменой DNS-ответов (сперва в рекламных целях, затем в целях блокировок) 👀

Кажется, кому нужно, все уже обложились DoH или DNSCrypt ещё тогда. В Chrome теперь свой DoH, который напрочь игнорирует системные настройки DNS и его самостоятельно приходится блокировать, чтобы запросы шли через свой DNS-proxy 😄

Открытых DNS-запросов постепенно становится всё меньше :)

При этом, бесполезно шифровать DNS, если потом можно просто прочитать Hello 🤷‍♂️

"Как отключить Encrypted SNI (ECH) на Cloudflare?"

Пожалуйста, не надо ничего отключать. Пусть будет "чем хуже, тем лучше", а средство обхода вообще никогда не выключается.
Потому что РКН не успокоится, пока все тут не переблокирует. Нет смысла играть с ним в поддавки.
Мое личное мнение, которое может быть ошибочным. Но зато искренне.

Ага, так клиенту и скажу, в попу ваших клиентов. На своих проектах - пожалуйста

Ага, так клиенту и скажу, в попу ваших клиентов.

Для начала надо бы спросить заказчика, точно ли он хочет использовать Cloudflare, а то вдруг РКН заблокирует Cloudflare?

(нет оснований полагать, что он этого не сделает, благо Cloudflare неоднократно проходил ответчиком по делам в российских судах о блокировке какой-либо информации - это вообще стало стандартной схемой, предъявлять иск Cloudflare - всё равно он ни на суд не приходит, ни ответа не пишет - очень "удобно для всех", кроме клиентов Cloudflare, по претензиям к сайтам которых и подают иск к Cloudflare, а не к владельцам сайтов).

Потом надо бы спросить клиента, точно ли он хочет разместить сайт не на территории РФ, а то вдруг РКН тоже его заблокирует?

(например, потому, что он оказался на одном IP-адресе с другим сайтом, или попал под ошибочный regexp, или оказался на заблокированном РКН иностранном хостинге, или еще какая напасть с трансграничным трафиком случится).

А потом спросить, точно ли он хочет один сайт использовать и для российской, и для иностранной аудитории, а то в какой-то момент может оказаться, что для одной из двух аудиторий он стал недоступен? А то может лучше завести зеркала по разную сторону границы для конечников, также находящихся по разную сторону от неё?

После этого проблема ECH окажется не самой большой из головных болей клиента... (

Есть логика в ваших слова. Согласен. Но только аналоги все стоят больших денег, поэтому и идем по наименьшему сопротивлению

Ну тогда или выбирать приоритетную аудиторию и размещать сайт с той стороны, с которой более приоритетная аудитория и, соответственно, быть готовым пожертвовать менее приоритетной аудиторией "в случае чего".

Или быть готовыми к тому, что после очередного обновления браузера-ТСПУ-выявления уязвимости протокола-фазы Деймоса-и т.п. может перестать работать вообще всё и "быстро на отвяжись" это не исправите.

Если несколько дней укладываются в допустимое время простоя - то сойдёт, иначе - дёшево не получится, и чем дальше - тем более не будет дешевле.

Да никто вас не станет слушать. Все хотят сейчас "покушать" и плевать хотели, что позже "кушать" уже нечего будет.

Валар моргулис. (ЕВПОЧЯ).

Пусть будет "чем хуже, тем лучше",

ECH. емнип, работает лишь если DNS-сервер поддерживает HTTPS RR (это обязательное условие для Chromium, а для Firefox есть ещё обязательное условие в виде DoH, в то время, как Chromium согласен и на plain-text DNS).

То есть, пользователям достаточно просто выключить DoH в браузере (для этого даже не надо лезть в тонкие настройки, эта опция у всех выведена в обычный интерфейс настроек), после чего в 99% случаев начнут использоваться провайдерские DNS, которые максимально тупые и ничего, что противоречит линии партии, не умеют.

Поэтому "хуже" для большинства особо не будет.

РЕШЕНИЕ

Временно отключаем TLS 1.3.

Он доступен в Cloudflare -> Проект -> SSL/TLS -> Edge Certificates -> TLS 1.3. -> Выключить

Временно

До каких пор?

Добро. Так же, как добро - кафешка, где дорого и невкусно. Все равно, это добро. Все претензии которые предьявляют к ним - так же можно предьявить к любой другой IT компании. Что их отличает - что они очень крупные, а это не просто так - людям нравятся их сервисы (при всех плюсах/минусах). Cloudflare - именно та кафешка, которая вам не нравится, вы туда никогда не пойдете, но вам же самому она нужна, чтобы через дорогу открылась бы другая кафешка, где будет будет вкуснее и дешевле. Потому что без конкуренции - в другой кафешке будет еще хуже и дороже.

Очень активно движемся в сторону Китая, только я не вижу у нас аналогов достойных.

Для хрома можно сделать --ssl-version-max=tls1.2 сайты заработают но ECH, естественно, больше не будет. Можно добавить cloudflare-ech.com в russia-blacklist.txt в ваших любимых программах, все тут же раскукожится обратно.

А вы уверены, что проблема в этом? Что если проблема в том, что у вас Windows 10, операционная система, где изначально отключен TLS 1.3, и логично, что на сайты выше 1.2 версии, вас просто не пустят, ведь протокол не распознается. Попробуйте включить TLS 1.3 через реестр, есть гайды в сети, и попробуйте снова зайти на сайты. Почему я так думаю? У меня виндовс 11, у меня ненавистный всеми Ростелеком и все сайты, которые судя по другим статьям не открывают, исправно работают.

Что если проблема в том, что у вас Windows 10, операционная система, где изначально отключен TLS 1.3

Что не мешает браузерам использовать TLS 1.3 даже на Windows 7.

А потому правильный вопрос

- РКН вообще ECH вырезал?

- или только для "Клаудфлёра"?

- или РКН считает, что ECH, кроме "Клаудфлёра", больше никто в мире не использует?

Автору спасибо.С сайтами на про версиях проблем не возникло, а вот для сайтов с бесплатной версией, через командную строку в Windows не получилось, но через PowerShell все получилось немного изменив запрос.

PowerShell в Windows обрабатывает команду curl иначе, чем традиционные терминалы, так как curl в PowerShell выполняется как Invoke-WebRequest. Чтобы команда сработала корректно, нужно немного изменить синтаксис.

Invoke-RestMethod -Uri "https://api.cloudflare.com/client/v4/zones/id_zone/settings/ech" -Method Patch -Headers @{ "X-Auth-Email"="Почта аккаунта"; "X-Auth-Key"="Global API Key"; "Content-Type"="application/json" } ` -Body '{"id":"ech","value":"off"}'

После чего будут сообщение:

result success errors messages

@{id=ech; value=off; modified_on=; editable=True} True {} {}

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости