Контролировать должны люди. На общественном уровне.
Правила уже есть и вполне разумные: езжай, но не мешай пешеходам, иначе не езжай.
Если 99% пешеходов будут эти правила активно поддерживать, то гонцы с тротуара уйдут естественным образом.
Можно что-то подобное наблюдать в некоторых странах Европы, где за выход на велодорожку или заезд на тротуар на тебя отнюдь не падает с вертолёта полицай с плёткой (хотя, кое-где штрафы и есть), но все люди просто соблюдают правила на уровне общественного договора. Нарушать там можно, но крайне некомфортно.
Технические меры политические вопросы не решают, здесь я согласен. Но они позволяют потянуть время и затруднить внедрение тех технических мер, которыми планируется этот самый новый режим насаждать.
Дополнительное время и дополнительные возможности позволяют людям объединяться вместе, находить информацию, а заодно служат символом того, что война ещё не проиграна, а противник не всемогущ. Возникает и поддерживается общественный резонанс. Это всё важно.
Кроме того, дополнительные сложности повышают ставку. Далеко не всегда политические решения готовы исполняться любой ценой. Тот же «белый список» можно ввести хоть сейчас и просто расстрелять всех недовольных. Но этого не происходит и в ближайшем будущем не произойдёт (хотя, уверен пара важных дедов в погонах была бы не против). Так и на условный «Телеграм» могут в любой момент плюнуть (как это было с Зелло) — главная страница заблочена и фиг с ним, типа задача выполнена.
Если же взять ваше «нельзя противостоять административным проблемам техническими методами» за аксиому, то противодействия вообще никакого не будет. РКН сказал, что ресурсом XXX пользоваться нельзя — все сразу послушались. Ну а что, сказано же, надо выполнять.
В подобных делах принято варить лягушку на медленном огне и массовость этому мешает. Топ-1000 сайтов Рунета за плашку никто банить не станет. Как и Википедию, например. А если и да, то резонанс будет очень сильный.
Но массовости, к сожалению, нет. Все надеются отсидеться, пока кто-то другой разберётся.
Вообще, больше всего движения было, когда в попытках накрыть Телеграм положили Плейстейшн Нетворк. Школьники обиделись и пошли выяснять за правду в твиттер РКН и другие места, на митинг сходили и так далее.
А интеллигентные профессионалы, представляя намного лучше суть происходящего, молчат, набрамши в рот баклажанов — как бы чего не вышло. У меня в тот период на работе один крупный банк отпал (совпадение, ага), начали разбираться — явный блок по одному из адресов. А по VPN работал. Так ни инженеры, ни менеджер ни разу не подтвердили, что у них есть эта проблема, хотя были в курсе её массовости. Через пару дней отбанили. Но сам факт.
Если «секретное слово» клиента подберут, это не станет проблемой банка. Ну, проведут формальное расследование с выводом «клиент не обеспечил конфиденциальность парольной фразы» и всё.
Если клиент через полгода-год-два забывает слово, он идёт в отделение и заставляет сотрудников работать, а то ещё сначала и колл-центр задолбает.
Поскольку тикетов по второму сценарию будет на два порядка больше, чем первых, то банку выгоднее резко понизить вероятность именно второго случая.
Со мной, кстати, такое тоже было. Открыл зарплатный счёт в банке, поставил кодовым словом «окунь». Никаких операций я там не проводил от слова вообще, только переводы и снятия с карты. Прошли годы и что-то потребовалось сделать, позвонил в КЦ. И слово так и не вспомнил — вроде, «лосось», может и «карась», «треска» тоже не подходит? Да не может быть! :)
Я пользовался услугами одного банка, где сотрудники (не один даже, а многие, разные отделы) прямо-таки настаивали на использовании в качестве слова «девичей фамилии матери».
При заполнении договора — «укажите секретное слово, обычно это девичья фамилия матери».
При любых последующих обращениях — «назовите кодовое слово, в качестве которого вы могли указать девичью фамилию матери».
Могли бы уж сразу за меня вписать его, чего уж там :)
Насколько я понимаю, сейчас подобное в принципе никак не наказуемо. Это само по себе является проблемой.
Например, многие условно законные обзвонщики не стесняются звонить со скрытых номеров, предлагая при этом вполне реальные услуги. Цель подмены номера — обойти антиспам. То есть, найти-то их сложности не составит, достаточно просто прийти в их центр по лечению позвоночника :) Но предъявить им какую-то ответственность не получится — ну подменили номер и подменили, особенность нашего колл-центра, технический сбой и вот это всё…
Думаю, дело здесь не в технической реализации, а в ответственности за осуществление.
Если за подмену номера на принадлежащий другому лицу без согласия владельца номера будут ощутимые санкции, желающих заниматься этим поубавится, а попавшихся будет за что привлекать, даже если по другим деяниям не получилось.
Ну так для этого нужно проводить арбитраж, либо расследование.
Если человек действительно сам перевёл куда-то деньги, т.е. сделал этого с того же устройства, из привычного окружения, правильно авторизовавшись, то претензий быть не может.
Но бывает и масса других ситуаций.
И вообще, брать от частного недоверенного лица оплату по карте — это всегда риск продавца.
Достаточно просто постучаться туда и попробовать установить соединение.
Проблема в том, что этот Fake TLS похож на настоящий примерно так же, как «билеты банка приколов» на настоящие деньги. То есть, если посмотреть, то видно сразу. У энтерпрайза же обычно TLS вполне себе нормальный.
Понятно, что не обязательно делать это для каждого соединения и «вот прям щас».
Ну так, насколько я понимаю, здесь-то никакого нет, даже самоподписанного.
На самом деле автор блога прав — весь этот Fake TLS обнаруживается. Особенно в варианте «стучимся на левый айпи, а передаём SNI от google.com». Анализатор возьмёт этот липовый SNI, постучится туда сам, получит нестыковку и скажет «ну ок, следующий час все такие соединения туда дропаем» или отправит IP в РКН как кандидата на бан.
Гораздо правильнее было бы иметь полноценный мультиплексор, который устанавливает полноценную TLS-сессию на «сайт-с-котами.тк» и затем уже внутри неё перенаправляет трафик либо на МТПрото, либо на вебсервер, руководствуясь каким-то секретным ключом.
Что клиенты Телеги постоянно палятся — тоже плохо, так как можно вычислять прокси просто поведенчески, а потом уже никакое шифрование и стеганография не помогут.
Но всё же интересно, почему с развитием клавиатур они обросли рядом переназначаемых клавиш (под переназначаемыми я подразумеваю клавиши типа F1… — т.е. понятно, что можно переназначить любую, но эти специально предусмотрены под кастомные функции), а переназначаемых индикаторов нет.
Это ведь можно не только для раскладки использовать, а и в производстве, например, показывать режимы работы кассы.
Есть, конечно, безбашенные слаломисты, но их весьма мало.
Обычно едут 15-20, если это не длинная, изолированная и пустая прямая (например, набережная).
Правила уже есть и вполне разумные: езжай, но не мешай пешеходам, иначе не езжай.
Если 99% пешеходов будут эти правила активно поддерживать, то гонцы с тротуара уйдут естественным образом.
Можно что-то подобное наблюдать в некоторых странах Европы, где за выход на велодорожку или заезд на тротуар на тебя отнюдь не падает с вертолёта полицай с плёткой (хотя, кое-где штрафы и есть), но все люди просто соблюдают правила на уровне общественного договора. Нарушать там можно, но крайне некомфортно.
А где-то можно посмотреть, что вскрывается, а что нет?
Например, вскрывается ли TLS со стандартными на сегодня шифрами?
Это что именно под этим подразумевается? Вот прямо ломают TLS и видят содержимое?
Или просто сводка по протоколам, объемам и точкам назначения?
Технические меры политические вопросы не решают, здесь я согласен. Но они позволяют потянуть время и затруднить внедрение тех технических мер, которыми планируется этот самый новый режим насаждать.
Дополнительное время и дополнительные возможности позволяют людям объединяться вместе, находить информацию, а заодно служат символом того, что война ещё не проиграна, а противник не всемогущ. Возникает и поддерживается общественный резонанс. Это всё важно.
Кроме того, дополнительные сложности повышают ставку. Далеко не всегда политические решения готовы исполняться любой ценой. Тот же «белый список» можно ввести хоть сейчас и просто расстрелять всех недовольных. Но этого не происходит и в ближайшем будущем не произойдёт (хотя, уверен пара важных дедов в погонах была бы не против). Так и на условный «Телеграм» могут в любой момент плюнуть (как это было с Зелло) — главная страница заблочена и фиг с ним, типа задача выполнена.
Если же взять ваше «нельзя противостоять административным проблемам техническими методами» за аксиому, то противодействия вообще никакого не будет. РКН сказал, что ресурсом XXX пользоваться нельзя — все сразу послушались. Ну а что, сказано же, надо выполнять.
Но массовости, к сожалению, нет. Все надеются отсидеться, пока кто-то другой разберётся.
Вообще, больше всего движения было, когда в попытках накрыть Телеграм положили Плейстейшн Нетворк. Школьники обиделись и пошли выяснять за правду в твиттер РКН и другие места, на митинг сходили и так далее.
А интеллигентные профессионалы, представляя намного лучше суть происходящего, молчат, набрамши в рот баклажанов — как бы чего не вышло. У меня в тот период на работе один крупный банк отпал (совпадение, ага), начали разбираться — явный блок по одному из адресов. А по VPN работал. Так ни инженеры, ни менеджер ни разу не подтвердили, что у них есть эта проблема, хотя были в курсе её массовости. Через пару дней отбанили. Но сам факт.
Это, кстати, как бы намекает, что накрыть может и без «журавлика». Просто без него это будет почём зря.
«Когда они пришли за коммунистами, я молчал...»
Один сайт за «журавлика» могут зобанить. Или десять.
А тысячу — вряд ли.
Если «секретное слово» клиента подберут, это не станет проблемой банка. Ну, проведут формальное расследование с выводом «клиент не обеспечил конфиденциальность парольной фразы» и всё.
Если клиент через полгода-год-два забывает слово, он идёт в отделение и заставляет сотрудников работать, а то ещё сначала и колл-центр задолбает.
Поскольку тикетов по второму сценарию будет на два порядка больше, чем первых, то банку выгоднее резко понизить вероятность именно второго случая.
Со мной, кстати, такое тоже было. Открыл зарплатный счёт в банке, поставил кодовым словом «окунь». Никаких операций я там не проводил от слова вообще, только переводы и снятия с карты. Прошли годы и что-то потребовалось сделать, позвонил в КЦ. И слово так и не вспомнил — вроде, «лосось», может и «карась», «треска» тоже не подходит? Да не может быть! :)
Я пользовался услугами одного банка, где сотрудники (не один даже, а многие, разные отделы) прямо-таки настаивали на использовании в качестве слова «девичей фамилии матери».
При заполнении договора — «укажите секретное слово, обычно это девичья фамилия матери».
При любых последующих обращениях — «назовите кодовое слово, в качестве которого вы могли указать девичью фамилию матери».
Могли бы уж сразу за меня вписать его, чего уж там :)
Например, многие условно законные обзвонщики не стесняются звонить со скрытых номеров, предлагая при этом вполне реальные услуги. Цель подмены номера — обойти антиспам. То есть, найти-то их сложности не составит, достаточно просто прийти в их центр по лечению позвоночника :) Но предъявить им какую-то ответственность не получится — ну подменили номер и подменили, особенность нашего колл-центра, технический сбой и вот это всё…
Требование менеджмента сократить число запросов в поддержку по восстановлению паролей.
Если за подмену номера на принадлежащий другому лицу без согласия владельца номера будут ощутимые санкции, желающих заниматься этим поубавится, а попавшихся будет за что привлекать, даже если по другим деяниям не получилось.
Если человек действительно сам перевёл куда-то деньги, т.е. сделал этого с того же устройства, из привычного окружения, правильно авторизовавшись, то претензий быть не может.
Но бывает и масса других ситуаций.
И вообще, брать от частного недоверенного лица оплату по карте — это всегда риск продавца.
Проблема в том, что этот Fake TLS похож на настоящий примерно так же, как «билеты банка приколов» на настоящие деньги. То есть, если посмотреть, то видно сразу. У энтерпрайза же обычно TLS вполне себе нормальный.
Понятно, что не обязательно делать это для каждого соединения и «вот прям щас».
На самом деле автор блога прав — весь этот Fake TLS обнаруживается. Особенно в варианте «стучимся на левый айпи, а передаём SNI от google.com». Анализатор возьмёт этот липовый SNI, постучится туда сам, получит нестыковку и скажет «ну ок, следующий час все такие соединения туда дропаем» или отправит IP в РКН как кандидата на бан.
Гораздо правильнее было бы иметь полноценный мультиплексор, который устанавливает полноценную TLS-сессию на «сайт-с-котами.тк» и затем уже внутри неё перенаправляет трафик либо на МТПрото, либо на вебсервер, руководствуясь каким-то секретным ключом.
Что клиенты Телеги постоянно палятся — тоже плохо, так как можно вычислять прокси просто поведенчески, а потом уже никакое шифрование и стеганография не помогут.
В общем, Паша мог бы и чуть побольше напрячься.
Неочевидным для меня оказалось то, что к домену в --domain/-D прокси должна иметь доступ, иначе у меня не заработало.
Но всё же интересно, почему с развитием клавиатур они обросли рядом переназначаемых клавиш (под переназначаемыми я подразумеваю клавиши типа F1… — т.е. понятно, что можно переназначить любую, но эти специально предусмотрены под кастомные функции), а переназначаемых индикаторов нет.
Это ведь можно не только для раскладки использовать, а и в производстве, например, показывать режимы работы кассы.
Никто не смотрит на лампочки на клавиатуре?