Поддержка проекта
-
@васьвась это по каким?
-
@dimalut Амазон залочат если. И все забугорные облака. Или кетайский фаерволл. Или просто чебурнет.
-
@dimalut ну мне например vps (хостинг) заблочилили твои сограждане, без объяснения причин.
-
Пользователь @stuppy написал в Поддержка проекта:
Или
Ватники с вышиватниками и либерастами начнут здесь боевые действия, РКН возьмет на карандаш быстро. “Публикация фейков” - и досвидос, вплоть до тюремного заключения.
-
Сервер – всегда был далеко. Регистратор домена вчера вежливо попросил русских покинуть компанию в известном направлении, ну… перевели домен на доверенное лицо в другой стране.
Некоторые личные средства были зарезервированы где надо, кому надо были даны указания – все будет работать при любых раскладах.
Однако, остается открытым вопрос, будет ли в принципе в обозримом будущем выход за пределы или только некий локальный недоинтернет.
Ну, и промежуточный вариант с фильтрацией всего внешнего трафика, где не факт, что поможет и VPN, да и далеко не все осилят VPN, как минимум, быстро.
Степень неопределенности максимальная. Продолжаем.
-
@just_one сейчас такие события, что объяснения уже не требуются, не?
-
@ilya-antipin за один клик скопируете свою вакабу в руцентр, делов-то. Или принципиально “нет”?
-
Пользователь @dimalut написал в Поддержка проекта:
объяснения уже не требуются
И куаркод тоже. Ну зато хоть масочки можно не носить…
-
@ilya-antipin предполагаю, что под “всем” вы имеете ввиду личные данные пользователей. Но товарищ майор (здравия желаю, кстати) итак же в случае необходимости все видит на уровне провайдера. Если рунет чебурнется до невозможности тунеллирования, какой смысл в русскоязычном неуправляемом ресурсе за поребриком?
-
@just_one нет, вы заходите на сайт с шифрованием SHA256, тов. майор, и даже тов. генерал ключики на 256 бит ломать не умеет. И одно дело знать, что Just_One был там-то, а другое – кто был вообще. И когда, и кто есть кто. То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить, и тогда и на уровне провайдера ничего не видно, то есть даже куда пошли, собственно, это все, что и можно увидеть, по большому счету.
-
Пользователь @ilya-antipin написал в Поддержка проекта:
То, что вы не шифруете и DNS-запросы
Я, предположим мог бы, но 99.9% иных посетителей врядли будут этим заниматься. Соотнести ip адрес, днс, и время активности - с этим даже не очень умные алгоритмы справятся.
-
Пользователь @ilya-antipin написал в Поддержка проекта:
с шифрованием SHA256
SHA256 - алгоритм хэширования, он позволяет гарантировать неизменность данных путём вычисления контрольной суммы. Шифрование (сеансовое, симметричное, во время подключения к вебу) - AES256, самый популярный, но не единственный алгоритм.
Небольшая справка)
-
Пользователь @ilya-antipin написал в Поддержка проекта:
То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить, и тогда и на уровне провайдера ничего не видно, то есть даже куда пошли, собственно, это все, что и можно увидеть, по большому счету.
Немного уточнить следует, для непосвященных умов. Обращение к DNS действительно опасно в открытом виде (по умолчанию), но обращение к шифрованному DNS спасает нас только когда мы обращаемся не к хосту, привязанному к статическому адресу (потому что коннект к нему будет виден и без днс, потому что можно соотнести однозначно IP с URL).
Вот в случае с форумом, когда он за CloudFlare - норм, там маршрутизация к сайту на прикладном уровне осуществляется по имени сайта, который внутри зашифрованного трафика (в заголовке HTTP)
-
Это вы на каком-то жидомасонском языке заклинания читаете все?
-
Пользователь @ilya-antipin написал в Поддержка проекта:
То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить
Добавлю своих 5 копеек, если можно. Не пинайте за оффтоп, но может людям пригодится.
Надо не просто поставить 1.1.1.1 (или любой из списка по нужному протоколу), а включить “только шифрованные запросы”. Через DoH (DNS-over-HTTPS) или DoT (DNS-over-TLS). Как включить DoH на windows 10 и выше - можно посмотреть тут. Иначе да, трафик по HTTPS будет зашифрован, а вот имена доменов, к которым обращается пользователь - будут утекать…
Для POSIX-совместимых систем можно использовать stub resolver. Например пакет stubby, с вот таким конфигом:
resolution_type: GETDNS_RESOLUTION_STUB dns_transport_list: - GETDNS_TRANSPORT_TLS tls_min_version: GETDNS_TLS1_2 tls_authentication: GETDNS_AUTHENTICATION_REQUIRED tls_query_padding_blocksize: 128 edns_client_subnet_private: 1 idle_timeout: 9000 listen_addresses: - 127.0.0.1@53 round_robin_upstreams: 0 appdata_dir: "/var/cache/stubby" upstream_recursive_servers: - address_data: 1.1.1.1 tls_auth_name: "cloudflare-dns.com" tls_pubkey_pinset: - digest: "sha256" value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU= tls_port: 853 - address_data: 1.0.0.1 tls_auth_name: "cloudflare-dns.com" tls_pubkey_pinset: - digest: "sha256" value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU= tls_port: 853
А уже системный resolv.conf натравить на 127.0.0.1. Тогда весь софт сам того не зная будет использовать защищенные запросы.
У кого совсем паранойя - я бы рекомендовал аккуратнее ставить “отечественный” софт (или потом проверять). А то поставят вместе с собой “нужный” корневой сертификат удостоверяющего центра и вы даже не узнаете, что ваш HTTPS трафик проходит через чье-нибудь ведомство. Ни один браузер (из обычных) даже не пикнет. Кроме Firefox, у которого “по умолчанию” отключено доверие к системным корневым сертификатам (параметр “security.enterprise_roots.enabled” в about:config).
-
@некто однако, в обозримом будущем и это может быть бесполезным. https://theins.ru/politika/248511
-
@ilya-antipin вилами по воде (в данной статье). Пока будет физическое соединение до зарубежных ASN - будут и способы выйти в мир. DPI не всесилен. А то что слушают (ну или пытаются), так это уже давно. СОРМ с 1996 года существует и мало кто об этом вообще слышал.
Им бы пока организовать устойчивую работу своих сервисов. Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны. А то иногда отправишь traceroute до соседнего города, а он через соседнюю страну идёт. А то и не раз. Как посылка с алиекспресса.
Так что не так уж и в обозримом. Но, когда-нибудь - возможно. Как говорится: “смех-смехом, а пилотка кверху мехом”.
-
Пользователь @некто написал в Поддержка проекта:
Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны
Мб таки третий? 1 - провода и электричество/свет/т.п. А перемычки есть между всеми крупными провами
-
@stuppy не, я именно про первый (физический). Не везде есть прямой линк по стране. А иногда, вроде как есть, но “стоимость” такого пути по “ребрам взвешенного графа” выше, чем через соседнюю страну. Поэтому трафик и идёт наружу, а потом внутрь страны. Ибо маршрут быстрее. Пока они всё это соберут в кучу, чтобы “наша” сеть не сказала “ой, всё” из-за санкций - пройдёт очень не мало времени. А ради галочки уронить то, что есть - это надо быть совсем альтернативно-одарённым.
Основной посыл той статьи как раз в том, что они замыкают страну в свою ASN. Чтобы внутренний трафик не выходил наружу. BGP конечно выручит, перекинув маршрут в случае отключения. Но в отдалённых местах родины иногда такие сети можно встретить, что кровь из глаз идёт.
И тесты на “отключения” они забавно проводят. “Мы провели отключения, у нас (в больших городах) всё работает”. А то, что города поменьше отвалились от тех же госуслуг на час-другой - так это мелочь. Ножками дойдут.