Все эти генераторы паролей из секретного слова страдают от одной проблемы.
Всегда обязательно найдется сервис, которым сгенерированный пароль не подойдёт. То спец символов нет, то не правильные спецсимволы, то ещё какая-либо херня. У Сбера некоторое время назад вообще было ограничение на МАКСИМАЛЬНУЮ длину пароля. И в итоге придется запоминать/записывать отдельный пароль для этого сервиса.
Что если пользователь уже получил ip от dns на мобильном интернете, пришёл домой и у него в кеше остался ip про который роутер не знает?
По моим наблюдениям android сбрасывает локальный dns кэш при переключении между сетями.
Что если множество сайтов сидят за CDN и блока по ip нет, только по домену силами тпсу? Гоним трафик на все сайты в прокси?
Не проверял, но подозреваю, что sing-box тоже пустит трафик для всего IP в VPN. Определить нужен ли VPN для сайта нужно ещё во время отправки TCP-SYN, а это происходит сильно раньше, чем браузер раскроет домен отправив SNI.
Если у вас нет своей ASN, то маршрутизировать трафик анализом SNI не получится физически, т.к. если мы переключем маршрут для уже установленного TCP соединения, то оно сломается, т.к. разный внешний IP.
Что если у пользователя настроен DoH(многие современные браузеры это делают автоматически и это надо отключать)?
Тут согласен. К сожалению, браузеры решили, что они в праве по умолчанию переопределять настойки ОС. Приходится постоянно отключать, что бы не только NFTSet работал, но и локальные домены резолвились.
В целом не имею ничего против sing-box, и не настаиваю на своем способе. Просто он мне кажется слишком громостким для роутера.
В Dnsmasq (который по умолчанию используется в openwrt как DNS) есть опция NFTSet/IPSet. Позволяет задать список доменов и их отрезолвенные IP класть в nftables/ipset.
Ну а далее, уже правилами nftables с трафиком можно делать что угодно. Например ставить метку на пакет и маршрутизирвоать по ней, натравливать на соединение zapret для обмана DPI.
У меня тоже между роутером и VDS обычный GRE прекрасно работает.
Я думаю GRE и IPIP будут уже в последнию очередь блочить по протоколу, т.к. сервис VPN на этом не сделаешь, т.к. клиентам потребуются белые IP, а случайно заблокировать что-то корпоративное вполне реально
Честно говоря, вся эта истерия с MAX полная чушь. Я уверен (доказать конечно не могу), что более чем у половины возмущающихся слежкой установлен какой-нибудь ВК, приложения Яндекса (Карта, Такси, Музыка), приложение Сбера, Тинькоффа, Госуслуги с RuStore в конце концов. RuStore вон вообще решили предустанавливать. Но то, что следить могут через них никого не волнует почему-то.
Мне кажется смысл Макс был не в слежке, а в тупом распиле бабла. Особенно учитывая, что mail.ru (который теперь ВК) терпит убытки. Взяли грант у государства на пару миллиардов рублей, навайбкодили приложение, а что бы этим г хоть кто-то пользовался решили устроить себе монополию.
Я ещё находил один раз уязвимость в "Сетевом городе" тоже ПО для эл. журнала. Суть была в том, что если не указать ID при получении оценок, то возвращались все оценки класса.
Написал разработчикам в форму обратной связия а они просто молча исправили и ничего даже не написали :(
До сих пор никто не мог одновременно решить задачи E2E-шифрования и администрирования DNS, которые частично взаимосключающие. Обычно трафик или отправляется открытым текстом, или шифруется так, что администраторы не могут его нормально отслеживать и фильтровать.
ZTDNS - это же получается аналог опции ipset в dnsmasq? Тогда в чем инновация то?
Заметил, что некоторым людям в принципе не нравится пользоваться супераппами, им удобнее скачивать отдельное приложение для каждой задачи. Много комментариев об этом было в статье про суперапп от «Тинькофф банка». Мое предположение — скорее всего, это связано с неудобством самого приложения, непродуманностью пользовательского опыта.
Ну или люди действительно не понимают зачем им в приложении для контроля баланса мобильника и остатка трафика еще и
Искусственный интеллект: чат-бот Дана, витрина, основанная на BigData & Machine Learning, биометрия.
Финансы: онлайн-платежи, переводы по номеру телефона, операции по QR-коду, рассрочка, кредиты.
Агрегаторы: игры, фильмы, сериалы, новости, музыка.
Проблема только в том, что российской власти не то что, зарубежные разработчики не доверяют. Им даже Яндекс с ВК не доверяет, что аж делают дополнительную проверку по списку
Все эти генераторы паролей из секретного слова страдают от одной проблемы.
Всегда обязательно найдется сервис, которым сгенерированный пароль не подойдёт. То спец символов нет, то не правильные спецсимволы, то ещё какая-либо херня. У Сбера некоторое время назад вообще было ограничение на МАКСИМАЛЬНУЮ длину пароля. И в итоге придется запоминать/записывать отдельный пароль для этого сервиса.
По моим наблюдениям android сбрасывает локальный dns кэш при переключении между сетями.
Не проверял, но подозреваю, что sing-box тоже пустит трафик для всего IP в VPN. Определить нужен ли VPN для сайта нужно ещё во время отправки TCP-SYN, а это происходит сильно раньше, чем браузер раскроет домен отправив SNI.
Если у вас нет своей ASN, то маршрутизировать трафик анализом SNI не получится физически, т.к. если мы переключем маршрут для уже установленного TCP соединения, то оно сломается, т.к. разный внешний IP.
Тут согласен. К сожалению, браузеры решили, что они в праве по умолчанию переопределять настойки ОС. Приходится постоянно отключать, что бы не только NFTSet работал, но и локальные домены резолвились.
В целом не имею ничего против sing-box, и не настаиваю на своем способе. Просто он мне кажется слишком громостким для роутера.
В Dnsmasq (который по умолчанию используется в openwrt как DNS) есть опция NFTSet/IPSet. Позволяет задать список доменов и их отрезолвенные IP класть в nftables/ipset.
Ну а далее, уже правилами nftables с трафиком можно делать что угодно. Например ставить метку на пакет и маршрутизирвоать по ней, натравливать на соединение zapret для обмана DPI.
Ну знаете в Германии тоже были люди "чью убеждения отличались". Получается их убеждения тоже не стоит осуждать.
У меня тоже между роутером и VDS обычный GRE прекрасно работает.
Я думаю GRE и IPIP будут уже в последнию очередь блочить по протоколу, т.к. сервис VPN на этом не сделаешь, т.к. клиентам потребуются белые IP, а случайно заблокировать что-то корпоративное вполне реально
На удивление до сих пор работает старый добрый socks5. При этом, ИМХО, работает стабильнее любых wg, vless
При этом в теории детектить его проще простого, но РКН такое чувство просто игнорирует его.
Там нет такой функции в принципе, ну или я не нашел. Только предлагает вручную по кнопке "очистить место на устройстве" удалив залитые фотки.
А как Secureboot мешает подгрузить сторонний драйвер? Ничто же не мешает прописать свой сертификат после чего подписывать им все что угодно.
Win7 это последняя ОС у M$ без облачных сервисов, рекламы, навязывания аккаунта и прочих крайне полезных и необходимых функций.
Честно говоря, вся эта истерия с MAX полная чушь. Я уверен (доказать конечно не могу), что более чем у половины возмущающихся слежкой установлен какой-нибудь ВК, приложения Яндекса (Карта, Такси, Музыка), приложение Сбера, Тинькоффа, Госуслуги с RuStore в конце концов. RuStore вон вообще решили предустанавливать. Но то, что следить могут через них никого не волнует почему-то.
Мне кажется смысл Макс был не в слежке, а в тупом распиле бабла. Особенно учитывая, что mail.ru (который теперь ВК) терпит убытки. Взяли грант у государства на пару миллиардов рублей, навайбкодили приложение, а что бы этим г хоть кто-то пользовался решили устроить себе монополию.
Я ещё находил один раз уязвимость в "Сетевом городе" тоже ПО для эл. журнала. Суть была в том, что если не указать ID при получении оценок, то возвращались все оценки класса.
Написал разработчикам в форму обратной связия а они просто молча исправили и ничего даже не написали :(
ZTDNS - это же получается аналог опции ipset в dnsmasq? Тогда в чем инновация то?
Ну или люди действительно не понимают зачем им в приложении для контроля баланса мобильника и остатка трафика еще и
По факту из этого всего нужно только последнее.
А потом у нас все приложения весят по 200+ МБ
Проблема только в том, что российской власти не то что, зарубежные разработчики не доверяют. Им даже Яндекс с ВК не доверяет, что аж делают дополнительную проверку по списку