Интересно, как в этой модели вообще планируется различать обычный зарубежный трафик и трафик через VPN. Один и тот же TLS трафик может выглядеть одинаково, независимо от того, идет он через VPN или напрямую. Отсюда вопрос, как будут обрабатываться легитимные сценарии? Например, пользователь физически находится за границей и подключается к российским сервисам (банки, госуслуги и т.д.). Сейчас в ряде случаев уже рекомендуют использовать российский VPN, но если начнут детектить и ограничивать сам факт VPN подключения, получается замкнутый круг.
Ааа, всё, теперь понял, не туда ушёл в размышлениях, спасибо за пояснение. Пытался выгородить клиентов и искать проблему в другом месте, а по факту всё упирается именно в их реализацию. Тогда действительно странно, что они до сих пор тянут эту схему, так как я думал, что Xray до сих пор не умеет нормально работать с TUN.
Ок, допускаю, что в отдельных реализациях это может воспроизводиться и на ios. Но насколько я знаю на ios при использовании network extension обычно нет необходимости поднимать socks наружу. Трафик обрабатывается внутри системного vpn стека. На android же из-за vpnservice часто используется схема tun2socks + локальный proxy, поэтому там этот сценарий куда более типовой.
Не до конца понял, какой именно сценарий вы демонстрируйте. С libterm ты же сам из своего процесса ходишь в 127.0.0.1, это ожидаемо. В статье речь про то, когда стороннее приложение без ведома пользователя может найти и использовать локальный SOCKS. Можете уточнить, как в iOS вы воспроизводите именно cross-app доступ к этому прокси, а не доступ из того же приложения?
Как понимаю, это про архитектуру Android VPN, а не iOS. На Android через VpnService + tun2socks часто поднимается локальный SOCKS, и при кривой реализации его можно дернуть. На iOS такого нет. Network Extension + sandbox не дают другим приложениям ходить в локальные сервисы. Так что это скорее косяк клиентов под Android, а не проблема протокола или всех платформ.
Информация
В рейтинге
Не участвует
Откуда
Санкт-Петербург, Санкт-Петербург и область, Россия
Дата рождения
Зарегистрирован
Активность
Специализация
Инженер по безопасности, Специалист по информационной безопасности
Согласен, сейчас безопасность всё меньше про IP и периметр и всё больше про identity и контекст.
Интересно, как в этой модели вообще планируется различать обычный зарубежный трафик и трафик через VPN. Один и тот же TLS трафик может выглядеть одинаково, независимо от того, идет он через VPN или напрямую. Отсюда вопрос, как будут обрабатываться легитимные сценарии? Например, пользователь физически находится за границей и подключается к российским сервисам (банки, госуслуги и т.д.). Сейчас в ряде случаев уже рекомендуют использовать российский VPN, но если начнут детектить и ограничивать сам факт VPN подключения, получается замкнутый круг.
Ааа, всё, теперь понял, не туда ушёл в размышлениях, спасибо за пояснение. Пытался выгородить клиентов и искать проблему в другом месте, а по факту всё упирается именно в их реализацию. Тогда действительно странно, что они до сих пор тянут эту схему, так как я думал, что Xray до сих пор не умеет нормально работать с TUN.
Ок, допускаю, что в отдельных реализациях это может воспроизводиться и на ios. Но насколько я знаю на ios при использовании network extension обычно нет необходимости поднимать socks наружу. Трафик обрабатывается внутри системного vpn стека. На android же из-за vpnservice часто используется схема tun2socks + локальный proxy, поэтому там этот сценарий куда более типовой.
Не до конца понял, какой именно сценарий вы демонстрируйте. С libterm ты же сам из своего процесса ходишь в 127.0.0.1, это ожидаемо. В статье речь про то, когда стороннее приложение без ведома пользователя может найти и использовать локальный SOCKS. Можете уточнить, как в iOS вы воспроизводите именно cross-app доступ к этому прокси, а не доступ из того же приложения?
Как понимаю, это про архитектуру Android VPN, а не iOS. На Android через VpnService + tun2socks часто поднимается локальный SOCKS, и при кривой реализации его можно дернуть. На iOS такого нет. Network Extension + sandbox не дают другим приложениям ходить в локальные сервисы. Так что это скорее косяк клиентов под Android, а не проблема протокола или всех платформ.