У меня работает согласно выбору поиска в поисковой строке: edge://settings/privacy/services/search Протестировал поменял на Bing, сразу поиск стал там и обратно.
Вы можете забить на это открытие и попытаться самостоятельно продолжить пользоваться браузером. Как раз словите ошибку сертификата и перенаправление.
На Android при подключении к сети обращается к определенному URL гугла, если ответ будет ок и без ошибок, то интернет есть, если будет перенаправление(с ошибкой сертификата естественно), то появится предложение войти в сеть.
ну это или какой-то непонятный левый впн, или что-то другое. Тут вопрос в том что ругается только ваше приложение или все подряд? ибо если только ваше приложение(браузер тоже будет ругаться на подмену при HTTPS), то надо изучать причины.
Сервер не может определить наличие MitM если не используется mTLS. (а он не используется, кроме случаев явной авторизации по сертификату)
А клиенты приложений в большинстве случаев имеют certificate pinning и заметят подмену.
Насчет ошибки что видят ваши клиенты, тут надо смотреть конкретно на нее и где именно она возникает.
1)Если это браузер, то это могут быть отсутствующие сертификаты минцифры или п2.
2)В основном для публичных WiFi, пока не пройдена авторизация роутер может перенаправлять трафик на сервер авторизации, естественно у того нет корректного сертификата на исходный SNI и будет ошибка.
Либо есть ограничения по допустимым SNI(белые списки) и любое соединение вне списка так же заворачивается на заглушку. тоже будет ошибка не соответствия.
------------
Большинство VPN работают по тому же принципу что у вас роутер дома, то есть банальный NAT
Все верно, но браузер отправит запрос https://sber.ru/ на адрес 66.66.66.66, и этот адрес должен установить валидную TLS сессию по SNI sber.ru, прежде чем браузер отправит ему запрос и будет ждать ответ. А на этом этапе будет проблема, так как у данного адреса не будет валидного сертификата для SNI sber.ru. Еще на этапе установки TLS соединения браузер покажет что фигня какая-то, я жду sber.ru, а мне приходит сертификат на cber.ru)
Речь идет про шареный хостинг, там у хостера есть сертификат Васи(Вася сам его дает ради https). Хостер по сути является последней милей, и ничего не легального с точки зрения протоколов не делает. У хостера на сервере прописано что если услуга активно отдаем контент Васи, иначе отдаем заглушку(на его nginx/apache)
Так блокировщик по факту это VPN на Android(другого способа локально завернуть трафик там нет вроде). Они просто проверяют наличие туннеля и все. куда там идет трафик им пофиг.
У меня работает согласно выбору поиска в поисковой строке:
edge://settings/privacy/services/search
Протестировал поменял на Bing, сразу поиск стал там и обратно.
Windows если это важно.
Мы про этот поиск?
В гугл ведет
Пишете про BetterMediaInfo, а языки пишете от MediaInfo(C++, Pascal).
BetterMediaInfo используется TypeScript и Rust судя по github.
А ростелеком мобильный решил перебдеть и отключил все равно.
В ТП говорят что в БД стоят пометки о мерах безопасности.
Может районное конечно, но неприятно.
Вы можете забить на это открытие и попытаться самостоятельно продолжить пользоваться браузером. Как раз словите ошибку сертификата и перенаправление.
На Android при подключении к сети обращается к определенному URL гугла, если ответ будет ок и без ошибок, то интернет есть, если будет перенаправление(с ошибкой сертификата естественно), то появится предложение войти в сеть.
ну это или какой-то непонятный левый впн, или что-то другое. Тут вопрос в том что ругается только ваше приложение или все подряд? ибо если только ваше приложение(браузер тоже будет ругаться на подмену при HTTPS), то надо изучать причины.
Сервер не может определить наличие MitM если не используется mTLS. (а он не используется, кроме случаев явной авторизации по сертификату)
А клиенты приложений в большинстве случаев имеют certificate pinning и заметят подмену.
Насчет ошибки что видят ваши клиенты, тут надо смотреть конкретно на нее и где именно она возникает.
1)Если это браузер, то это могут быть отсутствующие сертификаты минцифры или п2.
2)В основном для публичных WiFi, пока не пройдена авторизация роутер может перенаправлять трафик на сервер авторизации, естественно у того нет корректного сертификата на исходный SNI и будет ошибка.
Либо есть ограничения по допустимым SNI(белые списки) и любое соединение вне списка так же заворачивается на заглушку. тоже будет ошибка не соответствия.
------------
Большинство VPN работают по тому же принципу что у вас роутер дома, то есть банальный NAT
они работают только для http. Или если вы урвали валидный сертификат для чужого доменного имени.
Все верно, но браузер отправит запрос https://sber.ru/ на адрес 66.66.66.66, и этот адрес должен установить валидную TLS сессию по SNI sber.ru, прежде чем браузер отправит ему запрос и будет ждать ответ. А на этом этапе будет проблема, так как у данного адреса не будет валидного сертификата для SNI sber.ru.
Еще на этапе установки TLS соединения браузер покажет что фигня какая-то, я жду sber.ru, а мне приходит сертификат на cber.ru)
Речь идет про шареный хостинг, там у хостера есть сертификат Васи(Вася сам его дает ради https). Хостер по сути является последней милей, и ничего не легального с точки зрения протоколов не делает. У хостера на сервере прописано что если услуга активно отдаем контент Васи, иначе отдаем заглушку(на его nginx/apache)
Еще мне нравится что некоторые сайты пытаются оформить отлуп в стиле ошибки браузера.
До нововведений у них могло даже не быть впн. А теперь надо срочно искать впн домой. шикарный туризм.
Особенно шикарно охренели от этих мер люди что из-за границы не могли попасть на сервисы.(типа РЖД или почты РФ)
Как вы собрались по наличию тоннеля определить чей это VPN?(это все что может узнать приложение)
дополнительный сетевой интерфейс все равно виден, внутри Knox по крайней мере.
Adguard поднимает локальный VPN чтоб получать трафик.
И все что они видят это наличие тоннеля...
Но вот беда, это может быть корпоративный VPN.
Так блокировщик по факту это VPN на Android(другого способа локально завернуть трафик там нет вроде). Они просто проверяют наличие туннеля и все. куда там идет трафик им пофиг.
MAC не уходит же дальше первого хопа, или я что-то путаю?
tracert показывает IP входящего интерфейса хопа, а не исходящего.
1 хоп: внутренний адрес роутера
2 хоп: внутренний адрес туннеля на стороне VPS
3 хоп: адрес шлюза VPS.