По себе могу сказать - у меня недостаток слуха на верхних частотах и речь воспринимается не очень разборчиво. Читать в детстве я любил, поэтому первичной у меня стала письменная форма слов, и с грамотностью и пониманием вообще никаких проблем не было, даже не надо было стремиться заучивать правила. При изучении других языков было то же самое, в первую очередь запоминалось написание слов, а не произношение. Поэтому английские слова на слух мне воспринимать трудно.
Но учился я со слабослышащими, у нас были дети с большей потерей слуха, которые пользовались жестовым языком, и у них были серьёзные проблемы со связью слов в предложении из-за разницы синтаксиса между жестовым и обычным языком.
Глупая идея, конечно, так как многие VPN имеют входные адреса в России и выходные за рубежом. Использовать VPN это не очень помешает, а легитимным пользователям, даже не использующим VPN - может помешать. Отличить трафик можно по geoip и whois, хотя не всегда, иностранные компании могут ставить серверы внутри страны, по принадлежности адрес будет нероссийский, а по положению - российский.
Интересная публикация. А как объяснить подобные стремления к цензуре в других странах, даже европейских? Там цензура, конечно, не так выражена, как в России, н это вопрос времени. На одном из европейских аналитических порталов мне попалась интересная заметка, что у них на TikTok и в других соцсетях сидят "ультраправые экстремисты", которые поддерживают Россию и ненавидят Украину и ЕС, хотят выгнать всех украинских беженцев (а то и ещё хуже - перебить их "как японцы в Маниле"), и повесить Урсулу фон дер Ляйен (я не утрирую, там реально такие цитаты были). И чтобы остановить распространение таких вредных идей, надо ужесточить регулирование соцсетей (то есть все равно усилить цензуру). Мне кажется, что дело ещё в кризисе доверия. Просто так от хорошей жизни такие идеи не получают распространения, они становятся популярными из-за того, что нынешняя политика страны многих уже не устраивает. Но политикам проще бороться с фактом распространения таких идей, чем разбираться с причинами их возникновения. Так же и в России, проще заблокировать Телеграм и Ватсап и навязывать Макс, чем сначала довести Макс до ума, чтобы люди на него переходили по своей воле, разобравшись с причинами недоверия к Максу. Бороться с видимыми последствиями какого-то явления банально проще, чем разбираться с причинами его возникновения.
Суть в том, что государство имеет возможность сделать так, чтобы VPN сервисы не смогли стать массовыми. Для пользования VPN нужны будут меры предосторожности, чтобы не спалить IP, и хотя бы один неподготовленный пользователь может заблокировать доступ сразу для всех, поэтому удобных однокнопочных решений уже не получится. Технари смогут сделать обход блокировок для себя даже в таких условиях, но не смогут предлагать его простым пользователям.
Выходные IP VPN-серверов легко палятся разными способами, от задержек до категории IP и паттернов трафика. Мне кто-то кинул ссылку на сайт proxydetect.live, там сразу десяток способов используется, и все на стороне сервера. С проверками на стороне клиента ещё проще. Если РКН узнает выходной IP, то это не так страшно - у нормальных VPN он как правило отличается от входного, заблокировали выходной, входной останется доступным. Проблема в другом, что возможность передачи и по VPN-каналу, и в открытую создаёт возможность определить входной адрес VPN. Шпионский модуль в каком-то приложении в открытую передаёт пакет - триггер для ТСПУ, который начинает сохранять сессии пользователя, а потом передаёт информацию, что в такое-то время с VPN этим пользователем было скачано определённое количество трафика. А потом сессии анализируются и смотрится, с какого адреса в это время трафик приходил. А возможностей передать триггер и спалить таким образом входной адрес предостаточно, от сплита по адресам и приложениям (какой-нибудь ВК может открыть ссылку в браузере, а там VPN), до локальных прокси, локального DNS (Андроид открывает DNS на 127.0.0.1 при включении раздачи трафика), и бинда к конкретному сетевому интерфейсу. Поможет только второе устройство (но большинство людей не готово на это пойти) и добавление поддержки прокси в приложения (причём это должен быть не простой прокси, как HTTP или SOCKS, а с маскировкой под HTTPS, наподобие MTProto в телеграме, или хотя бы с защитой всего канала по TLS). Разработчики большинства приложений забьют на это скорее всего.
Пришла в голову ещё одна идея определения VPN - на основании временного отклика. Как отличить пользователя VPN от реального заграничного пользователя? В браузере или через приложение делаем запрос и измеряем время отклика, и делаем определение времени пинга на внешний IP-адрес пользователя, если он заграничный. Если эти величины существенно различаются (как минимум на десятки миллисекунд, трафик VPN должен из-за границы прийти), и разница стабильна по времени (т.е. это не плохой wi-fi) то это пользователь VPN. Правда адрес может не пинговаться, тогда можно запустить mtr и посмотреть время отклика последнего адреса с откликом, оно скорее всего близко к времени конечного адреса. Можно кроме пинга послать произвольный запрос на подключение TCP, и измерить время ответа. На мобильных и спутниковых сетях метод может давать ложные срабатывания, их можно исключить из проверки.
Есть рекомендация в целях безопасности использовать для подтверждения банковских операций отдельное устройство, лучше всего простой кнопочный телефон без интернета. Поэтому СМС в любом случае надо оставить.
Из статьи непонятно, что имеется в виду: запретить доступ с VPN (а как тогда отличить доступ с VPN? по IP-адресу блокировать? (а как тогда отличить VPN-щиков от обычных пользователей из-за рубежа?) проверять флаг VPN в мобильных приложениях, даже если VPN реально не используется для обхода блокировок?), или запретить использовать свои ресурсы, доступные в "белых списках", для организации VPN? (это условие вроде и раньше было).
Зато у модемов было одно большое преимущество, особенно актуальное сейчас - что можно было создать канал передачи данных через телефонную сеть без интернета. Просто поставил два модема в разных местах, позвонил, настроил и канал связи готов. Никакие "белые списки" не помеха. А теперь вся коммуникация идёт через интернет, который может и не работать или быть ограничен. Идея этих "белых списков" как раз в том, чтобы ограничить создание неконтролируемых каналов связи. Хотя такие каналы часто бывают нужны, возможно их сделать более контролируемыми? Достаточно часто нужен просто канал связи между двумя точками, и TCP/IP для этого избыточен. А такой технологии не осталось, даже телефонная связь перешла на IP (и в домашних телефонах, и в мобильных VoLTE). Чем можно заменить связь точка-точка по номерам телефонов сейчас? может быть есть какие-то хитрые VoLTE модемы, которые вместо голоса и видео могут передавать произвольный поток данных? Разве в сети LTE не предусмотрели никаких возможностей эмулировать модем с каналом точка-точка? для каких-нибудь банкоматов это имело бы смысл.
А есть ли такое приложение, которое позволяло бы соединяться без сервера, просто по IPv6 адресу? У нас уже 2 из 4 основных мобильных операторов поддерживают IPv6. Чтобы позвонить кому-то через интернет, запускаешь приложение, получаешь ссылку и отправляешь нужному человеку, он может позвонить по ней даже через браузер. Можно и через домашний интернет без IPv6 принимать звонки, если адрес внешний, а на роутере работает UPNP, либо перенаправление портов настроено. Нет сервера - блокировать нечего, разве только по сигнатурам.
Я как-то несколько лет назад экспериментировал с Linphone, но там SIP сервер нужен. Хотя по адресу напрямую тоже можно было звонить, я даже прикручивал динамический DNS для звонков по адресу. А есть ли какие-то более простое решение такого типа?
А как это согласуется с виртуальной памятью в современных ОС? там для загрузки бинарников используется mmap, секция с кодом mmap'ится как read-only, и если у системы мало памяти, она может выгрузить секцию из памяти и загрузить повторно из файла с бинарником при необходимости. А если секция с кодом стала изменяемой? файл с бинарником тогда остаётся как есть, а страница памяти кода с изменениями выгружается уже не в никуда, а в своп, как страница с данными? А если файл и так находится в памяти (например, в tmpfs), тогда при обычном запуске он из этой же памяти и запускается, а при модификации кода создаётся копия? или как-то по-другому?
Да, это риск, который нужно было учитывать. Я, когда брал IT-ипотеку, имел в виду и то, что я долго уже работаю в одной компании, и меня она устраивает, значит скорее всего я продолжу работать там дальше и указанный риск смены компании маловероятен.
А ограничение на Москву и Петербург действует по месту регистрации компании или по расположению объекта недвижимости? можно, работая в подмосковной компании, взять льготную IT-ипотеку на новых условиях на квартиру в Москве? или работая в московской, взять ипотеку на квартиру в Подмосковье?
Большинство мышек подключается по USB-A. Мышки USB-C и microUSB это какая-то экзотика (для мобильных устройств разве только), проще переходником воспользоваться.
Вспомнился меметичный перевод старой версией промта: "Для эффективной помощи техничного упора, наш инженер должен знать торговую марку вашей мыши, тип (в-портовая мышь, периодическая мышь, автобусная мышь, Полицейский Участок /2 мышь, без поводка мышь, гениталий на гусеничном ходу и т.п.)..."
"Периодическая мышь" это скорее всего serial mouse, с подключением через последовательный разъём. "Автобусная мышь" это bus mouse. "Полицейский участок /2" это PS/2. А вот "в-портовая мышь" чем могла быть? А вот "гениталий на гусеничном ходу" это трекбол, это уже конструктив, а не способ подключения. У трекболов способы подключения скорее всего были такие же, как у обычных мышек.
Вспомнил ещё такой момент. Если будет небольшое число правильных с точки зрения российских властей VPN-сервисов, используемых для обхода санкций - западные политики и компании наложат санкции на эти VPN, и заблокируют их адреса вместе с адресами из России, и это работать не будет. Западные политики могут поддерживать VPN-сервисы для предоставления в России доступа к их западной информационной картине, но российские власти как раз этого и не хотят, такие VPN-сервисы никогда не станут одобренными в России. Тут как раз должно быть так, чтобы перечень адресов для выхода из другой страны не был ограничен.
По себе могу сказать - у меня недостаток слуха на верхних частотах и речь воспринимается не очень разборчиво. Читать в детстве я любил, поэтому первичной у меня стала письменная форма слов, и с грамотностью и пониманием вообще никаких проблем не было, даже не надо было стремиться заучивать правила. При изучении других языков было то же самое, в первую очередь запоминалось написание слов, а не произношение. Поэтому английские слова на слух мне воспринимать трудно.
Но учился я со слабослышащими, у нас были дети с большей потерей слуха, которые пользовались жестовым языком, и у них были серьёзные проблемы со связью слов в предложении из-за разницы синтаксиса между жестовым и обычным языком.
Глупая идея, конечно, так как многие VPN имеют входные адреса в России и выходные за рубежом. Использовать VPN это не очень помешает, а легитимным пользователям, даже не использующим VPN - может помешать.
Отличить трафик можно по geoip и whois, хотя не всегда, иностранные компании могут ставить серверы внутри страны, по принадлежности адрес будет нероссийский, а по положению - российский.
Добавлю ещё ссылку на публикацию, а то видимо кому-то кажется странным то, что я написал о европейских странах.
Интересная публикация. А как объяснить подобные стремления к цензуре в других странах, даже европейских? Там цензура, конечно, не так выражена, как в России, н это вопрос времени.
На одном из европейских аналитических порталов мне попалась интересная заметка, что у них на TikTok и в других соцсетях сидят "ультраправые экстремисты", которые поддерживают Россию и ненавидят Украину и ЕС, хотят выгнать всех украинских беженцев (а то и ещё хуже - перебить их "как японцы в Маниле"), и повесить Урсулу фон дер Ляйен (я не утрирую, там реально такие цитаты были). И чтобы остановить распространение таких вредных идей, надо ужесточить регулирование соцсетей (то есть все равно усилить цензуру).
Мне кажется, что дело ещё в кризисе доверия. Просто так от хорошей жизни такие идеи не получают распространения, они становятся популярными из-за того, что нынешняя политика страны многих уже не устраивает. Но политикам проще бороться с фактом распространения таких идей, чем разбираться с причинами их возникновения. Так же и в России, проще заблокировать Телеграм и Ватсап и навязывать Макс, чем сначала довести Макс до ума, чтобы люди на него переходили по своей воле, разобравшись с причинами недоверия к Максу. Бороться с видимыми последствиями какого-то явления банально проще, чем разбираться с причинами его возникновения.
Суть в том, что государство имеет возможность сделать так, чтобы VPN сервисы не смогли стать массовыми. Для пользования VPN нужны будут меры предосторожности, чтобы не спалить IP, и хотя бы один неподготовленный пользователь может заблокировать доступ сразу для всех, поэтому удобных однокнопочных решений уже не получится. Технари смогут сделать обход блокировок для себя даже в таких условиях, но не смогут предлагать его простым пользователям.
Выходные IP VPN-серверов легко палятся разными способами, от задержек до категории IP и паттернов трафика. Мне кто-то кинул ссылку на сайт proxydetect.live, там сразу десяток способов используется, и все на стороне сервера. С проверками на стороне клиента ещё проще.
Если РКН узнает выходной IP, то это не так страшно - у нормальных VPN он как правило отличается от входного, заблокировали выходной, входной останется доступным.
Проблема в другом, что возможность передачи и по VPN-каналу, и в открытую создаёт возможность определить входной адрес VPN. Шпионский модуль в каком-то приложении в открытую передаёт пакет - триггер для ТСПУ, который начинает сохранять сессии пользователя, а потом передаёт информацию, что в такое-то время с VPN этим пользователем было скачано определённое количество трафика. А потом сессии анализируются и смотрится, с какого адреса в это время трафик приходил.
А возможностей передать триггер и спалить таким образом входной адрес предостаточно, от сплита по адресам и приложениям (какой-нибудь ВК может открыть ссылку в браузере, а там VPN), до локальных прокси, локального DNS (Андроид открывает DNS на 127.0.0.1 при включении раздачи трафика), и бинда к конкретному сетевому интерфейсу.
Поможет только второе устройство (но большинство людей не готово на это пойти) и добавление поддержки прокси в приложения (причём это должен быть не простой прокси, как HTTP или SOCKS, а с маскировкой под HTTPS, наподобие MTProto в телеграме, или хотя бы с защитой всего канала по TLS). Разработчики большинства приложений забьют на это скорее всего.
Пришла в голову ещё одна идея определения VPN - на основании временного отклика. Как отличить пользователя VPN от реального заграничного пользователя?
В браузере или через приложение делаем запрос и измеряем время отклика, и делаем определение времени пинга на внешний IP-адрес пользователя, если он заграничный. Если эти величины существенно различаются (как минимум на десятки миллисекунд, трафик VPN должен из-за границы прийти), и разница стабильна по времени (т.е. это не плохой wi-fi) то это пользователь VPN. Правда адрес может не пинговаться, тогда можно запустить mtr и посмотреть время отклика последнего адреса с откликом, оно скорее всего близко к времени конечного адреса. Можно кроме пинга послать произвольный запрос на подключение TCP, и измерить время ответа.
На мобильных и спутниковых сетях метод может давать ложные срабатывания, их можно исключить из проверки.
В мобильной сети это называется "выделенный APN"
Есть рекомендация в целях безопасности использовать для подтверждения банковских операций отдельное устройство, лучше всего простой кнопочный телефон без интернета. Поэтому СМС в любом случае надо оставить.
А почему по e-mail нельзя? c DKIM/SPF проверкой это достаточно безопасно.
Сервисы могут определить выходную точку, а она как правило зарубежная, чтобы проще обойти блокировки.
Из статьи непонятно, что имеется в виду: запретить доступ с VPN (а как тогда отличить доступ с VPN? по IP-адресу блокировать? (а как тогда отличить VPN-щиков от обычных пользователей из-за рубежа?) проверять флаг VPN в мобильных приложениях, даже если VPN реально не используется для обхода блокировок?), или запретить использовать свои ресурсы, доступные в "белых списках", для организации VPN? (это условие вроде и раньше было).
Зато у модемов было одно большое преимущество, особенно актуальное сейчас - что можно было создать канал передачи данных через телефонную сеть без интернета. Просто поставил два модема в разных местах, позвонил, настроил и канал связи готов. Никакие "белые списки" не помеха.
А теперь вся коммуникация идёт через интернет, который может и не работать или быть ограничен. Идея этих "белых списков" как раз в том, чтобы ограничить создание неконтролируемых каналов связи. Хотя такие каналы часто бывают нужны, возможно их сделать более контролируемыми?
Достаточно часто нужен просто канал связи между двумя точками, и TCP/IP для этого избыточен. А такой технологии не осталось, даже телефонная связь перешла на IP (и в домашних телефонах, и в мобильных VoLTE).
Чем можно заменить связь точка-точка по номерам телефонов сейчас? может быть есть какие-то хитрые VoLTE модемы, которые вместо голоса и видео могут передавать произвольный поток данных? Разве в сети LTE не предусмотрели никаких возможностей эмулировать модем с каналом точка-точка? для каких-нибудь банкоматов это имело бы смысл.
А есть ли такое приложение, которое позволяло бы соединяться без сервера, просто по IPv6 адресу? У нас уже 2 из 4 основных мобильных операторов поддерживают IPv6. Чтобы позвонить кому-то через интернет, запускаешь приложение, получаешь ссылку и отправляешь нужному человеку, он может позвонить по ней даже через браузер. Можно и через домашний интернет без IPv6 принимать звонки, если адрес внешний, а на роутере работает UPNP, либо перенаправление портов настроено. Нет сервера - блокировать нечего, разве только по сигнатурам.
Я как-то несколько лет назад экспериментировал с Linphone, но там SIP сервер нужен. Хотя по адресу напрямую тоже можно было звонить, я даже прикручивал динамический DNS для звонков по адресу. А есть ли какие-то более простое решение такого типа?
А как это согласуется с виртуальной памятью в современных ОС? там для загрузки бинарников используется mmap, секция с кодом mmap'ится как read-only, и если у системы мало памяти, она может выгрузить секцию из памяти и загрузить повторно из файла с бинарником при необходимости. А если секция с кодом стала изменяемой? файл с бинарником тогда остаётся как есть, а страница памяти кода с изменениями выгружается уже не в никуда, а в своп, как страница с данными?
А если файл и так находится в памяти (например, в tmpfs), тогда при обычном запуске он из этой же памяти и запускается, а при модификации кода создаётся копия? или как-то по-другому?
Да, это риск, который нужно было учитывать.
Я, когда брал IT-ипотеку, имел в виду и то, что я долго уже работаю в одной компании, и меня она устраивает, значит скорее всего я продолжу работать там дальше и указанный риск смены компании маловероятен.
А ограничение на Москву и Петербург действует по месту регистрации компании или по расположению объекта недвижимости? можно, работая в подмосковной компании, взять льготную IT-ипотеку на новых условиях на квартиру в Москве? или работая в московской, взять ипотеку на квартиру в Подмосковье?
Большинство мышек подключается по USB-A. Мышки USB-C и microUSB это какая-то экзотика (для мобильных устройств разве только), проще переходником воспользоваться.
Вспомнился меметичный перевод старой версией промта:
"Для эффективной помощи техничного упора, наш инженер должен знать торговую марку вашей мыши, тип (в-портовая мышь, периодическая мышь, автобусная мышь, Полицейский Участок /2 мышь, без поводка мышь, гениталий на гусеничном ходу и т.п.)..."
"Периодическая мышь" это скорее всего serial mouse, с подключением через последовательный разъём. "Автобусная мышь" это bus mouse. "Полицейский участок /2" это PS/2. А вот "в-портовая мышь" чем могла быть?
А вот "гениталий на гусеничном ходу" это трекбол, это уже конструктив, а не способ подключения. У трекболов способы подключения скорее всего были такие же, как у обычных мышек.
Вспомнил ещё такой момент. Если будет небольшое число правильных с точки зрения российских властей VPN-сервисов, используемых для обхода санкций - западные политики и компании наложат санкции на эти VPN, и заблокируют их адреса вместе с адресами из России, и это работать не будет.
Западные политики могут поддерживать VPN-сервисы для предоставления в России доступа к их западной информационной картине, но российские власти как раз этого и не хотят, такие VPN-сервисы никогда не станут одобренными в России.
Тут как раз должно быть так, чтобы перечень адресов для выхода из другой страны не был ограничен.