Если бы они не пихали бы туда рекламу и сделали их настройку обычным ini файлом, как в rainmater, то через день в инете лежали бы сотни виджетов на любой вкус и цвет :).
Но так денег не заработаешь конечно, а что на первом месте у Microsoft мы все знаем.
ИМХО проблема у майков в том, что родные виджеты напиханы рекламой (особенно в 11), а во-вторых крайне сложны в разработке обычным людям и энтузиастам, в rainmater виджет это просто ini файл, написать который можно в блокноте. Родной виджет ты так не напишешь, как минимум скачать VS и научится программировать придется.
Из минусов только так и не понял, как принудительно указать IP другого устройства в клиенте. Работает только автообнаружение, которое работает не всегда стабильно.
А государство само решает чем пользуются его структуры.
Да просто иногда до абсурда доходит, как таже проверка возраста на кассах, например. Вот, вроде, полезная фича, если паспорт дома оставил, а тут можно с телефона все подтвердить. Но эту фичу зачем-то засунули в какой-то левый мессенджер разрабатываемый частной компнией, когда уже есть государственное приложение госуслуг. Зачем?
Другой пример, принудительный вход в госуслуги через MAX. Мало того, что мы опять же делегируем проверку входа в важный аккаунт левому мессенджеру. Так и ещё этот способ требует интернета на телефоне. Государству не хватает денег на рассылку SMS или что?
Аналогичная проблема, но уже на Domru. Половина сайтов не открываются или открываются со 2-3 раза.
Особенно сильно страдают сайты за cloudflare и при этом я обсолютно не понимаю логику, по которой блокируют соединения. Даже ECH отключил уже. Но так чувство, что ТСПУ убивает соединения случайнвм образом.
Все эти генераторы паролей из секретного слова страдают от одной проблемы.
Всегда обязательно найдется сервис, которым сгенерированный пароль не подойдёт. То спец символов нет, то не правильные спецсимволы, то ещё какая-либо херня. У Сбера некоторое время назад вообще было ограничение на МАКСИМАЛЬНУЮ длину пароля. И в итоге придется запоминать/записывать отдельный пароль для этого сервиса.
Что если пользователь уже получил ip от dns на мобильном интернете, пришёл домой и у него в кеше остался ip про который роутер не знает?
По моим наблюдениям android сбрасывает локальный dns кэш при переключении между сетями.
Что если множество сайтов сидят за CDN и блока по ip нет, только по домену силами тпсу? Гоним трафик на все сайты в прокси?
Не проверял, но подозреваю, что sing-box тоже пустит трафик для всего IP в VPN. Определить нужен ли VPN для сайта нужно ещё во время отправки TCP-SYN, а это происходит сильно раньше, чем браузер раскроет домен отправив SNI.
Если у вас нет своей ASN, то маршрутизировать трафик анализом SNI не получится физически, т.к. если мы переключем маршрут для уже установленного TCP соединения, то оно сломается, т.к. разный внешний IP.
Что если у пользователя настроен DoH(многие современные браузеры это делают автоматически и это надо отключать)?
Тут согласен. К сожалению, браузеры решили, что они в праве по умолчанию переопределять настойки ОС. Приходится постоянно отключать, что бы не только NFTSet работал, но и локальные домены резолвились.
В целом не имею ничего против sing-box, и не настаиваю на своем способе. Просто он мне кажется слишком громостким для роутера.
В Dnsmasq (который по умолчанию используется в openwrt как DNS) есть опция NFTSet/IPSet. Позволяет задать список доменов и их отрезолвенные IP класть в nftables/ipset.
Ну а далее, уже правилами nftables с трафиком можно делать что угодно. Например ставить метку на пакет и маршрутизирвоать по ней, натравливать на соединение zapret для обмана DPI.
У меня тоже между роутером и VDS обычный GRE прекрасно работает.
Я думаю GRE и IPIP будут уже в последнию очередь блочить по протоколу, т.к. сервис VPN на этом не сделаешь, т.к. клиентам потребуются белые IP, а случайно заблокировать что-то корпоративное вполне реально
Честно говоря, вся эта истерия с MAX полная чушь. Я уверен (доказать конечно не могу), что более чем у половины возмущающихся слежкой установлен какой-нибудь ВК, приложения Яндекса (Карта, Такси, Музыка), приложение Сбера, Тинькоффа, Госуслуги с RuStore в конце концов. RuStore вон вообще решили предустанавливать. Но то, что следить могут через них никого не волнует почему-то.
Мне кажется смысл Макс был не в слежке, а в тупом распиле бабла. Особенно учитывая, что mail.ru (который теперь ВК) терпит убытки. Взяли грант у государства на пару миллиардов рублей, навайбкодили приложение, а что бы этим г хоть кто-то пользовался решили устроить себе монополию.
Я ещё находил один раз уязвимость в "Сетевом городе" тоже ПО для эл. журнала. Суть была в том, что если не указать ID при получении оценок, то возвращались все оценки класса.
Написал разработчикам в форму обратной связия а они просто молча исправили и ничего даже не написали :(
До сих пор никто не мог одновременно решить задачи E2E-шифрования и администрирования DNS, которые частично взаимосключающие. Обычно трафик или отправляется открытым текстом, или шифруется так, что администраторы не могут его нормально отслеживать и фильтровать.
ZTDNS - это же получается аналог опции ipset в dnsmasq? Тогда в чем инновация то?
Если бы они не пихали бы туда рекламу и сделали их настройку обычным ini файлом, как в rainmater, то через день в инете лежали бы сотни виджетов на любой вкус и цвет :).
Но так денег не заработаешь конечно, а что на первом месте у Microsoft мы все знаем.
Если бы были не нужны, люди не писали бы софт для них.
https://www.rainmeter.net/
ИМХО проблема у майков в том, что родные виджеты напиханы рекламой (особенно в 11), а во-вторых крайне сложны в разработке обычным людям и энтузиастам, в rainmater виджет это просто ini файл, написать который можно в блокноте. Родной виджет ты так не напишешь, как минимум скачать VS и научится программировать придется.
Я для этого Warpinator пользуюсь.
Из минусов только так и не понял, как принудительно указать IP другого устройства в клиенте. Работает только автообнаружение, которое работает не всегда стабильно.
На роутере можно забанить домен youtube.com, на счет мобильного ХЗ.
Будет работать, пока она не найдет где DNS сервер поменять :)
Возможно есть пересечение в этих подсетях со собственными сервисами Яндекса и/или клиентами Яндекс.Облака, которые должны быть в белом списке.
Ну так большенсву было норм и в Whatsapp с telegram, что мы и видим по реакции на этот мессенджер.
Да просто иногда до абсурда доходит, как таже проверка возраста на кассах, например. Вот, вроде, полезная фича, если паспорт дома оставил, а тут можно с телефона все подтвердить. Но эту фичу зачем-то засунули в какой-то левый мессенджер разрабатываемый частной компнией, когда уже есть государственное приложение госуслуг. Зачем?
Другой пример, принудительный вход в госуслуги через MAX. Мало того, что мы опять же делегируем проверку входа в важный аккаунт левому мессенджеру. Так и ещё этот способ требует интернета на телефоне. Государству не хватает денег на рассылку SMS или что?
Аналогичная проблема, но уже на Domru. Половина сайтов не открываются или открываются со 2-3 раза.
Особенно сильно страдают сайты за cloudflare и при этом я обсолютно не понимаю логику, по которой блокируют соединения. Даже ECH отключил уже. Но так чувство, что ТСПУ убивает соединения случайнвм образом.
Все эти генераторы паролей из секретного слова страдают от одной проблемы.
Всегда обязательно найдется сервис, которым сгенерированный пароль не подойдёт. То спец символов нет, то не правильные спецсимволы, то ещё какая-либо херня. У Сбера некоторое время назад вообще было ограничение на МАКСИМАЛЬНУЮ длину пароля. И в итоге придется запоминать/записывать отдельный пароль для этого сервиса.
По моим наблюдениям android сбрасывает локальный dns кэш при переключении между сетями.
Не проверял, но подозреваю, что sing-box тоже пустит трафик для всего IP в VPN. Определить нужен ли VPN для сайта нужно ещё во время отправки TCP-SYN, а это происходит сильно раньше, чем браузер раскроет домен отправив SNI.
Если у вас нет своей ASN, то маршрутизировать трафик анализом SNI не получится физически, т.к. если мы переключем маршрут для уже установленного TCP соединения, то оно сломается, т.к. разный внешний IP.
Тут согласен. К сожалению, браузеры решили, что они в праве по умолчанию переопределять настойки ОС. Приходится постоянно отключать, что бы не только NFTSet работал, но и локальные домены резолвились.
В целом не имею ничего против sing-box, и не настаиваю на своем способе. Просто он мне кажется слишком громостким для роутера.
В Dnsmasq (который по умолчанию используется в openwrt как DNS) есть опция NFTSet/IPSet. Позволяет задать список доменов и их отрезолвенные IP класть в nftables/ipset.
Ну а далее, уже правилами nftables с трафиком можно делать что угодно. Например ставить метку на пакет и маршрутизирвоать по ней, натравливать на соединение zapret для обмана DPI.
Ну знаете в Германии тоже были люди "чью убеждения отличались". Получается их убеждения тоже не стоит осуждать.
У меня тоже между роутером и VDS обычный GRE прекрасно работает.
Я думаю GRE и IPIP будут уже в последнию очередь блочить по протоколу, т.к. сервис VPN на этом не сделаешь, т.к. клиентам потребуются белые IP, а случайно заблокировать что-то корпоративное вполне реально
На удивление до сих пор работает старый добрый socks5. При этом, ИМХО, работает стабильнее любых wg, vless
При этом в теории детектить его проще простого, но РКН такое чувство просто игнорирует его.
Там нет такой функции в принципе, ну или я не нашел. Только предлагает вручную по кнопке "очистить место на устройстве" удалив залитые фотки.
А как Secureboot мешает подгрузить сторонний драйвер? Ничто же не мешает прописать свой сертификат после чего подписывать им все что угодно.
Win7 это последняя ОС у M$ без облачных сервисов, рекламы, навязывания аккаунта и прочих крайне полезных и необходимых функций.
Честно говоря, вся эта истерия с MAX полная чушь. Я уверен (доказать конечно не могу), что более чем у половины возмущающихся слежкой установлен какой-нибудь ВК, приложения Яндекса (Карта, Такси, Музыка), приложение Сбера, Тинькоффа, Госуслуги с RuStore в конце концов. RuStore вон вообще решили предустанавливать. Но то, что следить могут через них никого не волнует почему-то.
Мне кажется смысл Макс был не в слежке, а в тупом распиле бабла. Особенно учитывая, что mail.ru (который теперь ВК) терпит убытки. Взяли грант у государства на пару миллиардов рублей, навайбкодили приложение, а что бы этим г хоть кто-то пользовался решили устроить себе монополию.
Я ещё находил один раз уязвимость в "Сетевом городе" тоже ПО для эл. журнала. Суть была в том, что если не указать ID при получении оценок, то возвращались все оценки класса.
Написал разработчикам в форму обратной связия а они просто молча исправили и ничего даже не написали :(
ZTDNS - это же получается аналог опции ipset в dnsmasq? Тогда в чем инновация то?