Я понимаю, что вы имеете ввиду. Но все равно интересно, кто, по-вашему выдвигает эти инициативы, придумывает, как заблокировать VLESS и т.п. "Технические инициативы" именно их.
Если и пытаться РКН выставить как всего лишь исполнителей, то исключительно услужливых и инициативных.
Разумеется, они действуют в общем тренде. Но добровольно. И за свою область деятельности отвечают именно они.
Жутко интересно, как вы заголовки анализируете, когда браузер проксе шлет CONNECT. Или что вы видите на проксе, когда какой-нибудь Яндекс Диск к своему серверу лезет с certificate pinning.
Если fsb.ru отдали свой приватный ключ Cloudflare и делегировали ему расшифровывать весь свой трафик, вряд ли стоит беспокоиться об "Агентура в России устанавливает в кабельный коллектор рядом с ммтс-9 некое устройство"
Хорошо, есть у сайта fsb.ru надежный отечественный сертификат.
Что мешает повторить в точности лписаный вами трюк:
ЦРУ/АНБ просит компанию выпустившую сертификат fsb.ru подписать еще один.
Агентура в России устанавливает в кабельный коллектор рядом с ммтс-9 некое устройство, способное перехватывать трафик на/с определенного ип и подставлять свои пакеты.
Для человека работающего с сайтом все происходит прозрачно.
Западные спецслужбы получают копию трафика на желаемый сайт.
Единственное, выпустит этот сертификат не ИП, а Let's Encrypt или DigiCert какой-нибудь. Но точно также для браузеров, тупо доверяющих этим УЦ и не смотрящих в CT-log, это будет валидный сертификат.
попросят центр сертификации и он выдаст тот же самый сертификат, а не новый, они ведь наверняка хранят их у себя на всякий случай вместе с ключами
Мы ведь говорим о зарубежных сертификатах?
В таком случае по процедуре:
закзчик генерирует у себя пару открытый и закрытый ключ
УЦ подписывает открытый ключ, присылаемый заказчиком
УЦ никогда не видит закрытого ключа (он точно также за семью замками должен быть, и за это отвечает закачик - fsb.ru в данном случае). Так что УЦ при всем желании не может "выдать тот же самый сертификат" вместе с закрытым ключом.
А подписать другой закрытый ключ, чтобы сохранился отпечаток (fingerprint) невозможно, на этом вся система зарубежных сертификатов и прочая криптография зиждется.
Вы правы, но есть нюанс. Это работало примерно до 2012 года.
1. Certificate Transparency (CT Logs)
Раньше удостоверяющие центры (CA) могли выпускать сертификаты в тишине. Сегодня это запрещено. Certificate Transparency - это публичные, защищенные от изменений криптографические логи (базы данных).
Как это работает: Чтобы браузер поверил сертификату, этот сертификат обязан быть записан в публичный CT-лог. Как только условный DigiCert или Let's Encrypt выпустит «левый» сертификат для fsb.ru, эта запись моментально становится видна всему миру.
Результат: Владельцы fsb.ru (или автоматические системы мониторинга) в ту же секунду увидят, что кто-то на Западе выпустил дубликат их сертификата. Это вызовет грандиозный скандал, а скомпрометированный сертификат будет отозван (Revoked) через системы CRL/OCSP за считанные минуты. Если браузер увидит сертификат, которого нет в логах, он заблокирует соединение с жесткой ошибкой безопасности.
Т.е. либо новый сертификат добавят логи, и тогда владельцы fsb.ru увидят, что появился новый сертификат на их домен, либо браузер не увидит этого нового сертификата в логах и поднимет тревогу.
2. Отпечатки (Fingerprints) и механизмы привязки
Браузер заметит, что сертификат «другой». Даже если спецслужбы выпустят второй валидный сертификат, у него будет:
Другой серийный номер.
Другой публичный ключ.
Другой хэш (fingerprint).
Если сайт использует механизм Expect-CT или жесткое кэширование параметров безопасности, браузер помнит, какой именно CA должен подписывать этот сайт. Если вместо привычного сертификата вдруг прилетает документ от совершенно другой цепочки доверия - браузер поднимет тревогу.
Браузре помнит даже что когда-то вы заходили на сайт по HTTPS и благодаря HSTS даже не даст вам на него по обычном HTTP зайти. Даже при всяких личных тестах приходится лезть в какой-нибудь chrome://net-internals/#hsts
Можно вас попросить описать для бестолковых всю цепочку "подмены информации при использовании зарубежного сертификата на сайте"?
Я захожу на fsb.ru. Зарубежный сертификат показывает мне, что все хорошо, браузер не ругается. Кто и как подсовывает мне при этом фальсифицированную информацию?
Если твоя стиралка проработает двадцать лет, пусть даже с несколькими необременительными ремонтами, то новую клиент купит снова у тебя
Серьезно? Вы, собираясь покупать новую стиралку/холодильник/автомобиль не смотрите, что изменилось за 20 лет? Главный критерий тот же производитель? Даже если Volvo теперь китайская, это все равно Volvo?
Можно вас попросить пояснить для небиологов? Чувствую себя "назвал все буквы, не смог прочитать слово"
Накопление ДНК‑повреждений у мужчин
Сперматозоиды образуются постоянно, но каждый цикл репарации ДНK в протоновых клетках становится менее эффективным с возрастом (меньше активности ферментов NER, BER, MMR).
В результате увеличивается дез‑ново мутационный нагрузка в сперматидах, что повышает риск генетических заболеваний, но не хромосомных аномалий, как у женщин.
Я так понял, что дез-ново - это не "мутация передается от отца ребенку", а у ребенка с большей вероятностью появляется собтвенная мутация, потому что с возрастом у отца сперматозоиды "уже не те" (слабее механизмы репарации).
• Сперматозоиды образуются постоянно; каждый цикл деления (≈ 64 дн) требует репликации ДНК.
• С возрастом у отца замедляется эффективность систем репарации ДНК, поэтому количество новых точечных мутаций в его сперме постепенно растёт.
• По оценкам, у 20‑летних отцов в среднем ≈ 1‑2 новых мутации, а у 45‑летних – ≈ 2‑3 (примерно удвоение).
• Ооциты образуются в эмбриональном периоде и находятся в состоянии покоя почти всю жизнь, поэтому количество новых точечных мутаций от мамы почти не меняется с возрастом.
• Однако у женщин старшего возраста повышается риск хромосомных аномалий (дисъюнкция), а не точечных мутаций.
Типа возраст отца тоже негативно влияет на ребенка, но по-другому. Не хромосомные аномалии, а точечные мутации.
Qwen3.6-27B конкурирует с Claude Sonnet 4.6 в рейтинге Agentic Index от Artificial Analysis. Она обходит Sonnet 4.6 в бенчмарках MMMU-Pro и Terminal-Bench 2.0. Эта модель с 27 миллиардами параметров, работающая на железе со вторичного рынка, реально может тягаться с последними облачными моделями от Anthropic.
Если это было про "настоящую" Qwen3.6-27B, то какая связь с используемой конфигурацией?
IMHO Q5_K_M с последней буковкой M в агентских задача ощутимо хуже себя проявит даже по сравнению с Q5_K_XL.
Интересно, почему он так сделал. Памяти у автора даже больше моих 24GB (хотя 16+16 это ни разу не 32 с учетом пересылок данных между картами).
Запросто можно купить на Али какой-нибудь огородный двойник-тройник с резьбой, чтобы шланг накрутить (а не через quick connector. И ни один из доступных здесь таких переходников на него не будет наворачиваться.
Очень отозвалось про магазин :) С накопительного счета перекинуть на карточный примерно сколько нужно пока в очереди стоишь, а не потом судорожно кнопки тыкать, когда уже терминал ждет.
Можно, конечно, и просто с большим запасом. Но зачем, если мозг натренирован прикидывать.
Я понимаю, что вы имеете ввиду. Но все равно интересно, кто, по-вашему выдвигает эти инициативы, придумывает, как заблокировать VLESS и т.п. "Технические инициативы" именно их.
Если и пытаться РКН выставить как всего лишь исполнителей, то исключительно услужливых и инициативных.
Разумеется, они действуют в общем тренде. Но добровольно. И за свою область деятельности отвечают именно они.
Обязательно напишите!
Жутко интересно, как вы заголовки анализируете, когда браузер проксе шлет CONNECT. Или что вы видите на проксе, когда какой-нибудь Яндекс Диск к своему серверу лезет с certificate pinning.
"Возможный MITM" или "Обязательный MITM"?
Даже не знаю, что выбрать...
Вопрос: Кто вас обижает?
Ответ: Соседняя новость
Ну т.е. сами четко назвать, кто вас обтижает, не можете. Только глубокомысленные намеки.
Удобная позиция. Всегда можно сказать, что имели ввиду нечто иное. Такую невозможно оспорить.
Кажется, вы подметили самую суть :)
Обычно в таких разговорах как раз подразумевается, хоть и не озвучивается, "нам никто не указ, но сами мы творим, что хотим".
Т.е. имени "дяди" я от вас не дождусь, это понятно.
Должность, государственный орган, назвать можете? Или тоже нет?
"американцы" - это претензия по национальному признаку? Или к гражданству?
Так имя назовете?
Я реально не понимаю, кто кого лишил права иметь сайтик.
"Дядя" - это кто? Имя в студию, пожалуйста!
Или это все-таки некий консорциум, куда входят представители (компании) из разных стран?
Как это относится к обсуждаемой теме?
Если fsb.ru отдали свой приватный ключ Cloudflare и делегировали ему расшифровывать весь свой трафик, вряд ли стоит беспокоиться об "Агентура в России устанавливает в кабельный коллектор рядом с ммтс-9 некое устройство"
Хорошо, есть у сайта fsb.ru надежный отечественный сертификат.
Что мешает повторить в точности лписаный вами трюк:
Единственное, выпустит этот сертификат не ИП, а Let's Encrypt или DigiCert какой-нибудь. Но точно также для браузеров, тупо доверяющих этим УЦ и не смотрящих в CT-log, это будет валидный сертификат.
Я про это думал, но как это мешает?
"Честному УЦ" помешает, конечно. Но мы-то "выпускаем левый сертификат".
А браузеры потом на CAA смотреть не будут.
Мы ведь говорим о зарубежных сертификатах?
В таком случае по процедуре:
закзчик генерирует у себя пару открытый и закрытый ключ
УЦ подписывает открытый ключ, присылаемый заказчиком
УЦ никогда не видит закрытого ключа (он точно также за семью замками должен быть, и за это отвечает закачик - fsb.ru в данном случае). Так что УЦ при всем желании не может "выдать тот же самый сертификат" вместе с закрытым ключом.
А подписать другой закрытый ключ, чтобы сохранился отпечаток (fingerprint) невозможно, на этом вся система зарубежных сертификатов и прочая криптография зиждется.
Вы правы, но есть нюанс. Это работало примерно до 2012 года.
1. Certificate Transparency (CT Logs)
Раньше удостоверяющие центры (CA) могли выпускать сертификаты в тишине. Сегодня это запрещено. Certificate Transparency - это публичные, защищенные от изменений криптографические логи (базы данных).
Как это работает: Чтобы браузер поверил сертификату, этот сертификат обязан быть записан в публичный CT-лог. Как только условный DigiCert или Let's Encrypt выпустит «левый» сертификат для
fsb.ru, эта запись моментально становится видна всему миру.Результат: Владельцы
fsb.ru(или автоматические системы мониторинга) в ту же секунду увидят, что кто-то на Западе выпустил дубликат их сертификата. Это вызовет грандиозный скандал, а скомпрометированный сертификат будет отозван (Revoked) через системы CRL/OCSP за считанные минуты. Если браузер увидит сертификат, которого нет в логах, он заблокирует соединение с жесткой ошибкой безопасности.Т.е. либо новый сертификат добавят логи, и тогда владельцы fsb.ru увидят, что появился новый сертификат на их домен, либо браузер не увидит этого нового сертификата в логах и поднимет тревогу.
2. Отпечатки (Fingerprints) и механизмы привязки
Браузер заметит, что сертификат «другой». Даже если спецслужбы выпустят второй валидный сертификат, у него будет:
Другой серийный номер.
Другой публичный ключ.
Другой хэш (fingerprint).
Если сайт использует механизм Expect-CT или жесткое кэширование параметров безопасности, браузер помнит, какой именно CA должен подписывать этот сайт. Если вместо привычного сертификата вдруг прилетает документ от совершенно другой цепочки доверия - браузер поднимет тревогу.
Браузре помнит даже что когда-то вы заходили на сайт по HTTPS и благодаря HSTS даже не даст вам на него по обычном HTTP зайти. Даже при всяких личных тестах приходится лезть в какой-нибудь chrome://net-internals/#hsts
Можно вас попросить описать для бестолковых всю цепочку "подмены информации при использовании зарубежного сертификата на сайте"?
Я захожу на fsb.ru. Зарубежный сертификат показывает мне, что все хорошо, браузер не ругается. Кто и как подсовывает мне при этом фальсифицированную информацию?
Серьезно? Вы, собираясь покупать новую стиралку/холодильник/автомобиль не смотрите, что изменилось за 20 лет? Главный критерий тот же производитель? Даже если Volvo теперь китайская, это все равно Volvo?
Можно вас попросить пояснить для небиологов? Чувствую себя "назвал все буквы, не смог прочитать слово"
Я так понял, что дез-ново - это не "мутация передается от отца ребенку", а у ребенка с большей вероятностью появляется собтвенная мутация, потому что с возрастом у отца сперматозоиды "уже не те" (слабее механизмы репарации).
Типа возраст отца тоже негативно влияет на ребенка, но по-другому. Не хромосомные аномалии, а точечные мутации.
Если это было про "настоящую" Qwen3.6-27B, то какая связь с используемой конфигурацией?
IMHO Q5_K_M с последней буковкой M в агентских задача ощутимо хуже себя проявит даже по сравнению с Q5_K_XL.
Интересно, почему он так сделал. Памяти у автора даже больше моих 24GB (хотя 16+16 это ни разу не 32 с учетом пересылок данных между картами).
Запросто можно купить на Али какой-нибудь огородный двойник-тройник с резьбой, чтобы шланг накрутить (а не через quick connector. И ни один из доступных здесь таких переходников на него не будет наворачиваться.
Очень отозвалось про магазин :) С накопительного счета перекинуть на карточный примерно сколько нужно пока в очереди стоишь, а не потом судорожно кнопки тыкать, когда уже терминал ждет.
Можно, конечно, и просто с большим запасом. Но зачем, если мозг натренирован прикидывать.