Комментарии 16
Непонятно, я пока так и не понял, откуда соль берётся: https://shadowsocks5.github.io/en/spec/AEAD-Ciphers.html
И за это они получили финансирование
Приложение продвигалось на страницах Радио Свободы и Голоса Америки как средство обхода блокировок. При этом указанный функционал оно вполне реализует, то есть зайти на сайт РС или рутрекер получится.
Насколько опасно, что некий майор может узнать, на какой вы сайт заходили? При этом шифрование https есть почти везде, то есть что именно вы там смотрели-писали-не ясно. За само посещение заблокированных сайтов статьи нет и не будет (если верить обещаниям, впрочем, тогда самих депутатов пришлось бы сажать). Но даже если такая статья и появится, то сажать могут начать просто за использование VPN (ну если вы не в том списке, который собирали с банков), при этом расшифровывать его совершенно точно в масштабах страны дорого
При этом возникает вопрос, на что они получили финансирование? Видимо, основной критерий финансирования-противодействие блокировкам. Большая часть бесплатных сервисов с фиксированными ip уже давно в списке кого надо. Данное приложение и Псион (тоже, кстати, рекомендован РС и ГА и тоже получил финансирование) работают успешно. Кстати Псион в РБ работал в том самом августе, когда TOR и VPN выпилили.
Вывод напрашивается крайне простой, что для прям безопасности, надо делать свой openvpn сервер, на своей виртуалке, благо даже за рубли с карты МИР можно сейчас получить заграничный хостинг. А если кому полистать инсту и посмотреть ролики иностранных сми, так этого решения должно хватить и бесплатно.
Не Псион, а Псифон.
Вывод напрашивается крайне простой, что для прям безопасности, надо делать свой openvpn сервер, на своей виртуалке
OpenVPN - пережиток прошлого и самый убогий VPN, какой сегодня есть. Кроме того, к безопасности сервисов отношения не имеет: то что они не умеют применять криптопротоколы не значит, что все сервисы страдают тем же. Не нужно размазывать их случай на всех остальных.
А если кому полистать инсту и посмотреть ролики иностранных сми, так этого решения должно хватить и бесплатно.
Согласился бы с этим утверждением при одном условии: что пользователям будет известен весь расклад наперёд, а не как у них сейчас написано на сайте, что шифрование - высший класс!
И чем так фатально плох openVPN? Есть поддержка l2, l3, есть возможность работы на одном порту с другими сервисами, есть поддержка обфускации трафика, что ещё нужно? При этом есть клиенты под все популярные системы. Или вы из адептоа повсеместного wireguard? Ну так его полноценную поддержку даже в большинстве роутеров не запилили, и банится он отлично по сигнатурам
Есть поддержка l2, l3
И кому этот L2 нужен? Если кому-то и понадобится L2-туннель, едва ли он прибегнет к использованию именно OpenVPN.
есть возможность работы на одном порту с другими сервисами
sslh? Не имеет смысла, трафик всё равно выглядит как OpenVPN.
есть поддержка обфускации трафика
В режиме TCP, через внешние врапперы? Оно же тормозит.
Или вы из адептоа повсеместного wireguard?
Я из адептов обычных HTTP-прокси через TLS: https://habr.com/ru/post/506356/
В остальном - крайне капризный протокол, где нужно много настраивать руками, в т.ч. MTU, в противном случае тормозит адски. В режиме TCP тоже крайне плох из-за известной проблемы TCP-в-TCP. Ему пора на свалку истории это точно.
Именно вам может и не нужен. А как вариант сделать мост и использовать существующий dhcp для получения сквозной адресации-вполне пойдет.
Про проблемы l2tp и gre на некоторых операторах не слышали? А они есть. Упаковка в tcp не только недостатками обладает, но и преимуществами/
Не sshl, а свой собственный мультиплексор через директиву port-share. Если запрос был от браузера, перекинет на nginx (например), если ovpn-сам отработает. А что б трафик не палился так, есть tls-crypt (правда поддержка не всеми клиентами пока реализована, например на routeros)
Если у вас канал медленный и с частыми потерями, может и плохо. Запущенный через ovpn спидтест показал 80 мегабит при 100 порту на впске.
А что касается сложности настройки, опять же, кому надо эти параметры прописывать, тот знает о них. Для домохозяек есть скрипт конфигуратор с гитхаба.
Посмотрел ваш пост, преимущества выборочного проксирования в браузере это классно, но вы пробовали выборочную маршрутизацию на роутере? Если в доме (или хуже, в офисе) много компов, а еще есть мобильные устройства, то проще настраивать не каждый поштучно, пусть даже и скриптом или каким расширением, или pac файлом, а просто рулить на маршрутизаторе? Например, сейчас я нахожусь вне РФ, но есть сайты, которые не пускают из-за границы, а есть сайты, заблокированные и в РФ и в этой стране. А есть сайты, где только со штатовского IP можно. В вашем случае это на каждом устройстве отдельная настройка. В моем случае есть 3 ip листа: ruru, rkn, us. Маршрутизация с любого клиента прозрачно катится в соответствующий vpn.
А что б трафик не палился так, есть tls-crypt (правда поддержка не всеми клиентами пока реализована, например на routeros)
Скажем проще: в Китае это всё помогает? Если нет, то всё очевидно.
Если в доме (или хуже, в офисе) много компов, а еще есть мобильные
устройства, то проще настраивать не каждый поштучно, пусть даже и
скриптом или каким расширением, или pac файлом, а просто рулить на
маршрутизаторе?
Попробуйте опцию WPAD в DHCP на том же маршрутизаторе.
Попробуйте опцию WPAD в DHCP на том же маршрутизаторе.
Если клиенты виндовые, то можно для тех же целей использовать опцию 252 DHCP
Вообще это решение выглядит чисто виндовым. Гугл говорит, что для android придется руками указывать ссылку на pac файл..
На Лоре тоже есть топики, что не подтягивается конфиг автоматом.
А так, если нормально думать, есть класс устройств, где тупо негде указать ещё параметры. Очень сомневаюсь, что редкие DHCP там поддерживаются
Вероятно это адаптированное решение под internet explorer, windows, ad? В первых же строчках Гугла ищутся проблемы с firefox, так как у него собственные настройки. Как это вообще заработает под любой другой системой, большой вопрос. Насколько я понял, под андроидом - это не работает, плюс, каждое приложение, в зависимости от желания его автора, может ходить в сеть по-разному, если есть прокси, то гарантировать работу любого приложения мы не можем. А вот VPN, даже если это псевдо VPN, заворачивает весь трафик, вполне рабочая тема. Я уже не говорю о настройке трафика на маршрутизаторе.
Польза настройки на уровне маршрутизатора в первую очередь в том, что нам не приходится думать, какие устройства, с какими операционными системами, браузерами, приложениями и настройками у нас будут подключены к сети. Так как мы заведомо не знаем, и не можем гарантировать, что все устройства будут соответствовать определённым требованиям, мы должны выбрать максимально универсальное решение
Ваши действия как эксперта по информационной безопасности довольно неэтичны. Если это были настоящие уязвимости, вы должны сообщить об этом компании и позволить им устранить проблемы. Потенциально этой услугой пользуются миллионы людей, и такое безрассудное разоблачение может навредить этим людям. Я также инженер по информационной безопасности; упомянутые вами проблемы не означают, что приложение небезопасно. На безопасность сервиса влияет множество факторов, и вы пришли к такому выводу, изучив лишь малую его часть.
>На безопасность сервиса влияет множество факторов, и вы пришли к такому выводу, изучив лишь малую его часть.
Нет никакого смысла пробовать мед из бочки где прямо на поверхности плавает ... неприятная субстанция.
Если трафик можно элементарно перехватить и расшифровать, то ни о какой "информационной безопасности" даже речи быть не может.
Я думаю, единственная проблема в том, что nthLink на своем станичке не правду пишет. Shadowsocks самому всеравно не безопасно. Он предназначен только для обхода ограничений. В любом случае необходимо установить отдельный слой безопасности.
Снимаем шифрование nthLink VPN