• Как Мегафон спалился на мобильных подписках
    0
    Буквально сегодня повторно столкнулся с таким же…
    Где-то в начале года стали самостоятельно подключаться разные услуги. Причем, что было замечено, всякие окошки «Продолжить» появлялись даже на https сайтах, что предполагает наличие реверс-прокси… Ну не об этом речь. Подключили мне контентный счет с 0 балансом, все было вроде хорошо, но недавно раньше времени кончились деньги на основном счете, зашел и увидел, что у меня уже довольно долго подключена услуга Видеомир. Но дело в том, что симкарта в модеме, смс я там читаю довольно редко, и уж тем более ничего не отправляю оттуда. Как услуга могла подключиться при наличии контентного счета, ума не приложу.
    Тут немного скринов
    image
    image
    image
    image
    image
    image
    image
    image

    Написал в чат поддержки, ответа нет. Звонил на линию, ждал оператора — заждался. Нехорошо, MegaFon
  • Как устроена и организована глобальная сеть в РФ?
    +1
    Эмммммм… Вот уж интересно, а что тут делает статья эта? Вероятно, я как-то случайно это сделал.

    Прошу прощения у тех, кто получил много «приятных» впечатлений от статьи
  • Все снапшоты попадают в рай
    0
    «snapshot» переводится как снимок
  • Все снапшоты попадают в рай
    0
    Какое ошеломительное объяснение.
  • На замену TCP: протокол QUIC готов для внедрения [но не готов стать RFC]
    +1
    Я считаю, что QUIC ещё не готов. К тому же, он препятствует кешированию. Извините, но
    reply_header_access Alt-Svc deny all
    reply_header_access alt-svc deny all
  • Цена JavaScript в 2018 году
    0
    Отличная статья, спасибо. Наконец-то обратили внимание на этот бардак. Я, как администратор кеширующего прокси могу сказать, какой ужас я вижу ежедневно в логах. Сжатие gzip ускоряет работу таких сайтов, конечно же, да и в кеше хранится в сжатом виде, но черт возьми, зачем делать библиотеки размером 20-30мб? И причем, из этих библиотек реально нужно бывает совсем чуть чуть, остальное в холостую.
  • Запускаем ReactOS с BTRFS раздела
    +1
    Lazarus вроде как работает
  • Google и HTTP
    0
    Этот персонаж не доверяет никому, даже сам себе. Он там где-то утверждает, что я никому не доверяю. Ну-ну)
    в зашифрованном виде (GnuPG)

    Согласен. А мне, что касается получения бриджей, достаточно зайти на сайт Tor. Что делать, если заблокирован? Так все просто. У меня не менее 10 бриджей активны всегда, и я проверяю их доступность всегда. Так что даже в тот день, когда Tor не сможет подключаться у всех, кто не использует бриджи, у меня он подключится в любом случае, и я спокойно без всяких MITM возьму на НАСТОЯЩЕМ оф.сайте еще пачку мостов. Потому что надо заранее заботиться о приватности и безопасности, а не когда петух в одно место клюнет.

  • Запускаем ReactOS с BTRFS раздела
    +1
    Очень интересно! Жду продолжения
  • Google и HTTP
    0
    Для нашей ситуации эти решения избыточны чуть больше чем полностью.

    Именно.

    Путин лично выписал особые полномочия, что я наблюдаю повелительный тон?

    Да у этого персонажа, видимо, все полномочия, насколько он думает. Однако…

    Когда решит написать статью, что б разложить особенности для неофитов

    Возможно и стоит написать, да. Но позже. Дел по-горло. Итак одна долгожданная статья в черновиках висит уже месяц, никак не доделаю.
  • Google и HTTP
    0
    проигравшим считаетесь

    HTTPS небезопасен, что я доказал, Вы проиграли. Мне всё равно, что вы там считаете, но раз Вы не можете просто признать, что проиграли спор, то разговривать с Вами не о чем.

    могут подсунуть бридж злоумышленника

    О май гад, Вам еще рассказывать, как работает луковая маршрутизация? Если Вы читали спецификацию и Tor WIKI, то поняли бы, что после деобфускации идет Tor — трафик, который дешифровать на самом бридже нельзя. Никак.
    При этом в почте даже не предлагается использовать шифрование

    Можете использовать шифрование, кто не дает? Ваша безопасность — это ваша безопасность!
    Сайт может быть подменён провайдером с помощью поддельного сертификата

    Вы приписываете мне то, чего я никогда не говорил! Я сказал, что можно подменить сертификат и расшифровать трафик, о подменах сайта речи не было, не свистите.
    вы сами мне об этом целые сутки рассказывали

    Вы сутки доказывали, что HTTPS безопасен, но проиграли этот спор. Где слова: «Да, я проиграл спор»? Вы балабол и только.
    З.Ы.: если Вы не доверяете своему почтовому провайдеру и не хотите получать бриджи с сайта Tor, поднимайте свой бридж там, где угодно, и подключайтесь к нему, о чем кстати тоже написано в Tor WIKI.
    З.Ы2: на этот раз, я действительно прекращаю с Вами диалог:) Вы проиграли спор и не признали это. Вы откровенно глупите и троллите, демонстрируя всем свою глупость. До свидания. Нет желания общаться с троллем.
  • Google и HTTP
  • Google и HTTP
    0
    Может быть Вы изучите матчасть, в конце концов?
    Я сказал, что HTTPS небезопасен в том виде, в котором он есть и всем рекалмируется. Пояснил, почему. Предложил альтернативу. Безоговорочную. OBFS4 сигнатуры не существует и вряд ли она появится, так что он не может быть обнаружен. Дал описание работы протокола, краткое. Дал ПОЛНУЮ спецификацию, в конце концов.
    Какой конкретно канал будете использовать лично вы

    Еще раз ВНИМАТЕЛЬНО прочитайте спецификацию. Зайдите в Tor WIKI, в конце концов. Там есть ВСЯ информация. Правда, на английском, но понять там все прекрасно можно.
    Obfsproxy гарантирует соединение с именно тем бриджом, который указали в конфиге. Гарантирует, что пакеты будут доставлены в обфусцированном виде до бриджа и будут посланы дальше в Tor-сеть. Гарантирует, что пакеты будут приняты в обратном порядке именно Вами, а не Васей. Почему? Потому что происходит обфускация всего трафика от obfsproxy на Вашем ПК до obfsproxy на бридже. Как так происходит? Это написано в спецификации. Пожалуйста, потратьте своё личное время, в конце концов.

    З.Ы.: любой протокол, у которого существует сигнатура, считается не совсем безопасным. В чем состоит безопасность? Что никто не сможет вмешаться в ваше соединение и не сможет отследить ничего касаемо вашего соединения. Есть сигнатура — можно отследить. Можно вмешаться. Всё.
    И да, Вы так и не признали, что проиграли в споре про безопасность HTTPS. Что ж, в таком случае я прекращаю с Вами диалог с этой минуты. Всего доброго, и удачи в изучении матчасти.
  • Google и HTTP
    0
    Достаточно обнаружим, так как есть сигнатура. В отличие от obfs.
  • Google и HTTP
  • Google и HTTP
    0

    Читайте ещё раз.

  • Google и HTTP
    0

    Вы, кстати, не доказали, что https безопасен. Абсолютно. Никак. Потому как есть такие вещи, как sni и splice. И я как провайдер легко даже без подмены сертификатов увижу, куда Вы заходили, и даже терминирую туннель, если нужно. Это абсолютно неоспоримо. Так что спор Вы проиграли. Можете идти в другую ветку и упорно доказывать всем всё, что угодно

  • Google и HTTP
    0

    Ещё раз. В моём сообщении указано то, о чем спрашивали. Нужны подробности? Вот спецификация https://github.com/Yawning/obfs4/blob/master/doc/obfs4-spec.txt. Читайте.

  • Google и HTTP
    0

    Я ещё раз повторяю, я Вам рассказал, как оно работает, и я прекрасно знаю, но так как Вы неспособны усвоить ничего, идите в Гугл, пожалуйста. Я не намерен отвечать на вопросы, которые ставятся в такой форме. Во первых, я не на экзамене, а Вы далеко не учитель. Во вторых, Вы все равно не согласитесь ни с чем в силу своего жирного троллинга

  • Google и HTTP
    0
    без конкретики

    Я что, бесплатная Википедия? Я рассказал все довольно подробно, что еще требуется? Потратьте своё личное время и перечитайте 100 раз, может и поймете.

    Обмен ключами с кем? Как убедиться, что обмен произошёл с кем надо, а не с кем-то подконтрольным условному Китаю?

    Извините. но я спрошу. Вы в себе?

    подконтрольным условному Китаю

    Выше спросил.

    Это я вас спросить хотел, это вы зачем-то вспомнили Китай.

    А почитать в Гугле не судьба, как связан OBFS и Китай? Мне снова тратить личное время на ответ на глупый вопрос?
    Речь о Великом Китайском Файрволе, который славится тем, что кастрировал все, что можно, но Tor работает через OBFS.

    правильность которых вы решили верить

    Кормитесь в другой ветке
  • Google и HTTP
    0
    вполне технически возможно

    Я не сказал, что это НЕВОЗМОЖНО! Я сказал, что этого никто не сделает! По понятным причинам!

    вы так и не рассказали

    Если Вам сложно открыть Гугл, ок, специально для Вас, коли Вы такой лентяй.
    Obfs4 использует протокол, который маскирует свой трафик, чтобы он выглядел как случайные данные. Obfs4 основывается на ScrambleSuit — транспортном протоколе, который затрудняет, для DPI, идентификацию и блокировку трафика. ScrambleSuit обеспечивает защиту от атак зондированием, используемым Великим китайским файрволом. При использовании obfs4, рукопожатие всегда делает полный обмен ключами. Рукопожатие использует метод согласования ключей NTor, который запутывает открытые ключи при помощи алгоритма Elligator 2; Шифрования канального уровня использует библиотеку (NaCl) с имитовставками (Poly1305 и XSalsa20). Считается лучшим в том, что он быстрее, чем другие транспорты. Для реализации обфускации obfs4 используется obfsproxy. Obfsproxy работает по принципу клиент-сервер, на стороне клиента Tor трафик обфусцируется (маскируется) в obfsproxy и уже потом отправляется в направлении т.з. моста, где также стоит obfsproxy который снимает с трафика маскировку и шлёт его уже в Tor сеть. Таким образом скрывается факт использования Tor сети и повышается безопасность TLS/SSL трафика за счет его дополнительной модификации (обфускации). Надеюсь, внятно?
    а Китаю доверяете

    А при чем здесь Китай? Какая разница, доверяю я ему или нет? О чем Вы? Так, чтобы спросить и поболтать ни о чем?
  • Google и HTTP
    0
    HTTPS безопасен

    Да ради Бога, думайте так дальше, я Вам не мама, чтобы воспитывать.
    Другой провайдер может не делать MitM

    И не факт, что Вы это узнаете ;-)
    Я вам больше скажу — весь интернет рубится

    Я понял уже давно, что для Вас безопасность — не пользоваться вообще ничем. Но мы говорим не об этом.
    например по белому списку

    Какие белые списки? Вы о чем? OBFS маскирует трафик, делает нечитабельным. Отрубить неизвестный трафик — это убийство, на это даже Китай не пошел, от чего там успешно работает OBFS.
  • Google и HTTP
    0
    Я в самом начале обсуждения сказал, что HTTPS небезопасен, и нужно использовать другие средства защиты, а Вы мне сейчас Америку открыли!!??
    осилить DNSSEC

    Это нужно было осилить уже давно.

    сменить провайдера

    Смысл?

    подключить какой-нибудь такой VPN или SOCKS-прокси

    VPN рубится и факт его использования на стороне провайдера очень даже отлично определяется теми же Цисками. Да куда там, даже Kerio умеет. Как и SOCKS — рубится с полпинка практически. Так что единственное, что поможет в корне — это obfs+tor. О чем я, черт возьми, в начале и сказал, но Вы развели демагогию, дназывая https безопасным и доказывая это чуть ли не со свистом, но при этом предлагая удалять доверительные отношения с рутами (на чем и в принципе основан https). И при этом в конце сказав, что Вы боретесь с MITM… Уважаемый, у меня нет слов :)
    А пока я MitM моего провайдера успешно обхожу

    Скоро по-другому будет)
  • Google и HTTP
    0
    Вы неверно трактуете понятия и описания — Ваше дело. Вы не понимаете отличий end-to-end от https? Очень жаль, хотя это уже Вам не раз говорилось. Я устал с Вами спорить, потому что Вам ничего не докажешь. И Вы прекрасно знаете, что end-to-end это далеко не https, даже если выпилить третью сторону, это разные вещи, и хватит заниматься троллингом, уже очень жирно, на самом деле.
  • Google и HTTP
    0
    Это напоминает крылатую фразу современности: «Лучше так, зато войны нет»
  • Google и HTTP
    0
    А сейчас без HTTPS высовываться нельзя даже не находясь в макдональдсе

    Если Вы такой специалист в плане ИБ, как пытаетесь показать в других ветках, то какого черта Вы сидите в общественных местах задницей наружу с голым HTTPS? Если Вас так заботит Ваша приватность, как минимум нужен tor+obfs, или на худой конец ,VPN (неважно, поднятый вручную где-то там, или доверенный провайдер).
  • Google и HTTP
    0
    Вот о том и речь.
  • Google и HTTP
    +1
    Этот товарищ сам себе противоречит, не обращайте внимания. Он не понимает, что HTTPS в том виде, в котором он есть, является лишь иллюзией безопасности, о чем я неоднократно сказал… Но видимо, раз он решил, что удалив (!) все сертификаты и все центры из доверенных, он получает end-to-end, то спорить бесполезно
  • Google и HTTP
    0
    Если Вы не сможете доверять сертификату, как Вы попадете на ресурс!? Ведь MITM будет в любом случае, хотите Вы этого или нет, добавите вы в «доверенные» сертификаты или нет. Я Вам уже задавал этот вопрос, но Вы не ответили. В этом и заключается Ваша безопасность — не использовать Интернет?
  • Google и HTTP
    0
    Нет, и еще раз нет. Вы в корне неверно рассуждаете.
  • Google и HTTP
    0
    А при чем здесь TLS-PSK, когда речь идет о TLS (HTTPS)?
  • Google и HTTP
    0
    Товарищ Андрей (Вас ведь так зовут?), а теперь перечитайте ветку. При осуществлении SSL Bump происходишь дешифровка. Полная. Далее идет обратный процесс, только своим сертификатом. Он должен быть либо в списке доверенных, либо подписан корневым центром, но лишь для того, чтобы показывался «зеленый значок». Не более! И так для всех https ресурсов.
    На небезопасный — не надо.

    Ресурс — безопасный. Небезопасный протокол! Вы откажетесь от всего Интернета?
    Если браузер не выдаст ошибку безопасности

    Я не сказал, что он не выдаст ее! Вы либо добавляете в список доверенных мой сертификат, либо я его подписываю в корневом центре. Иначе-ошибка. Но на ресурс вы зайти сможете.
  • Google и HTTP
    0
    И ещё раз. Как провайдер проведёт mitm без доверия купленному сертификату?

    SSL Bump будет произведен в любом случае, как только Вы откроете ресурс, независимо от того, есть ли у Вас сертификат в списке доверенных или нет. Просто, если сертификат провайдером не куплен, а самоподписан, у вас «значок не зелененький» будет, пока не добавите провайдеровский сертификат в доверенные.
    Браузер прервёт соединение, потому что не доверяет сертификату провайдера

    Ну а Вам-то надо попасть на ресурс!? В чем заключается безопасность? Нет соединения-нет проблем? Прикольная у Вас логика.
    автоматически признает ваш сертификат безопасным

    Вы читаете, что я пишу? Мне кажется нет. При чем здесь автоматическое признание? Я что, Ваш провайдер? Уже сказал, что провайдер может купить сертификат, может дать Вам для внесения в список доверенных, и Вы можете отказаться. Но Вам нужно попасть на ресурс, не так ли? И как Вы туда попадете с помощью Вашего суперзащищенного HTTPS? Я уже устал повторять, я говорю о том, что HTTPS небезопасен, так как его можно расшифровать с помощью SSL Bump. Где здесь безопасность? А плюс к этому, третья сторона в протоколе. Это не безопасность вовсе.
  • Google и HTTP
    0

    И ещё раз. Даже если Вы уберёте корневые центры из доверенных, да хоть что сделаете, это не мешает ни разу производить mitm. Покупка сертификата провайдером — это лишь для создания иллюзии Вашей безопасности. Провайдер может этого не делать, а дать Вам сертификат для импорта в браузер. Вы можете отказаться. Но при открытии ресурса Вы все равно не обеспечите безопасность с помощью https, так как bump будет произведён в любом случае, так как 443 порт завернут на прокси. Достаточный довод? Или мне нужно процитировать пример из той же squid wiki?

  • Google и HTTP
    +1
    В чем же я уклонялся? Мне что, присылать ответы вида «давай я поищу в гугле вместо тебя»? Может быть, будем уважать друг друга и дурацкие вопросы будем задавать Гуглу?
    Ведь если посмотреть на то, каким образом работают end to end и HTTPS, то очевидны недостатки последнего. Если есть третья сторона — это не безопасность по причинам, которые я указал выше. Удалять руты? Да ни один здравомыслящий человек это не сделает, потому что он на половину сайтов никогда не зайдет из-за HSTS.
  • Google и HTTP
    0
    Я вам повторяю, что TLS и end-to-end — это очень похожие вещи в корне!

    Эх. Ну что ж, раз Вы не знаете матчасть, мне очень жаль. Любите факты? Да пожалуйста.
    end-to-end:
    Шифрование происходит на конечных устройствах, данные остаются зашифрованными, пока не будут доставлены к месту назначения. Ключи шифрования известны только двум сторонам. Всё. Никому более. Никогда. Кроме того, обе стороны сравнивают свои отпечатки открытых ключей.
    tls: нет никаких «своих отпечатков открытых ключей» здесь нет. Вся безопасность сводится лишь к проверке валидности сертификата у root'a. Вы предлагаете отказаться от корневых центров? Вы ломаете эту Вашу безопасность. Без корневых центров вообще никак не проверить подлинность сертификатов. Брать у админа ресурса? Вы шутите? Конечно же шутите. Ведь никто Вам не даст сертификат. Кому это надо? Только Вам, и никому более, никто о Вас и думать не будет. А если добавляете корневые центры, то это ничего не добавит, кроме иллюзии безопасности. Никто не отменял ssl_bump и sslstrip. В end-to-end в принципе невозможна такая атака. Никак.

    Озвучьте тогда точную стоимость

    А Вы сами спросите у центра сертификации. С чего мне рассказывать Вам подробности получения сертификата?

    Может, вы ещё и сами выпуском поддельных сертификатов занимаетесь

    Вы меня раскрыли. Какой ужас.

    То же самое в SSH и PGP вас почему-то не смешит.

    Потому что принцип действия SSH совсем отличается от HTTPS. В корне. Поэтому меня это нисколько не смущает.
  • Google и HTTP
    0
    Увы, я не могу бесконечно сидеть и отвечать на бесконечные глупые утверждения)
  • Google и HTTP
    0
    И чем это принципиально отличается от получения HTTPS-сертификата из рук админа гугла?

    Я Вам повторяю, что TLS и end-to-end — это разные вещи в корне! Изучите матчасть, прежде чем делать заявление, что TLS без доверия к рутам = end-to-end.

    у провайдера не найдётся столько денег, чтоб рута подкупить

    Да ну!? На реализацию пакета Яровой находят. А оно стоит намного дороже сертификата.

    идите берите сертификат из рук админа гугла и тем самым защитите себя от прослушки провайдером

    Не смешите, пожалуйста.
  • Google и HTTP
    0
    Так, а вот теперь стоп.
    Как вы проверяете, что отпечаток правильный?

    для каких целей используется SSH в плане безопасности и приватности? Вы поднимаете\покупаете в определенном доверенном месте сервер с SSH, который будет Вас маскировать. Вам ЛИЧНО дадут отпечаток для проверки.

    максируя собственное незнание

    Толсто. Очень.

    я доверяю рутам, в отличие от вас

    Я где-то выше сказал, что не доверяю рутам? Это Вы уже потом покрылись и доказывали тут, что вы убираете доверие к рут сертификатам и получаете супер шифрование. Я ни слова о недоверии рутам не сказал. Я лишь сказал, что TLS предусматривает третью сторону, и это проблема, так как провайдер легко за деньги подпишет свой сертификат у рута и произведет MITM.
    Не надо переиначивать все и переворачивать!
  • Google и HTTP
    –1
    Напоследок.

    я доверяю рутам

    Вы троллить не умеете. Пока Вы там доверяете рутам, провайдер у этих рутов подпишет сертификат и будет производить MITM, это скоро будет, поверьте.

    Мне это не нужно

    Ну вот и отлично)

    как будто не понимаете, как он работает

    Вот понимаете, я могу рассказать о том, чего явно не написано в Интернете. А рассказывать о такой вещи, как обфускация — потратьте своё личное время для своих личных целей и читайте.