Поддержка проекта
-
@ilya-antipin за один клик скопируете свою вакабу в руцентр, делов-то. Или принципиально “нет”?
-
Пользователь @dimalut написал в Поддержка проекта:
объяснения уже не требуются
И куаркод тоже. Ну зато хоть масочки можно не носить…
-
@just_one это прикол какой-то сложный? Или вы пьяный?
Вы предлагаете все отдать товарищу майору? А… у вас фаза «мне нечего скрывать» )) -
@ilya-antipin предполагаю, что под “всем” вы имеете ввиду личные данные пользователей. Но товарищ майор (здравия желаю, кстати) итак же в случае необходимости все видит на уровне провайдера. Если рунет чебурнется до невозможности тунеллирования, какой смысл в русскоязычном неуправляемом ресурсе за поребриком?
-
@just_one нет, вы заходите на сайт с шифрованием SHA256, тов. майор, и даже тов. генерал ключики на 256 бит ломать не умеет. И одно дело знать, что Just_One был там-то, а другое – кто был вообще. И когда, и кто есть кто. То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить, и тогда и на уровне провайдера ничего не видно, то есть даже куда пошли, собственно, это все, что и можно увидеть, по большому счету.
-
Пользователь @ilya-antipin написал в Поддержка проекта:
То, что вы не шифруете и DNS-запросы
Я, предположим мог бы, но 99.9% иных посетителей врядли будут этим заниматься. Соотнести ip адрес, днс, и время активности - с этим даже не очень умные алгоритмы справятся.
-
Пользователь @ilya-antipin написал в Поддержка проекта:
с шифрованием SHA256
SHA256 - алгоритм хэширования, он позволяет гарантировать неизменность данных путём вычисления контрольной суммы. Шифрование (сеансовое, симметричное, во время подключения к вебу) - AES256, самый популярный, но не единственный алгоритм.
Небольшая справка)
-
Пользователь @ilya-antipin написал в Поддержка проекта:
То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить, и тогда и на уровне провайдера ничего не видно, то есть даже куда пошли, собственно, это все, что и можно увидеть, по большому счету.
Немного уточнить следует, для непосвященных умов. Обращение к DNS действительно опасно в открытом виде (по умолчанию), но обращение к шифрованному DNS спасает нас только когда мы обращаемся не к хосту, привязанному к статическому адресу (потому что коннект к нему будет виден и без днс, потому что можно соотнести однозначно IP с URL).
Вот в случае с форумом, когда он за CloudFlare - норм, там маршрутизация к сайту на прикладном уровне осуществляется по имени сайта, который внутри зашифрованного трафика (в заголовке HTTP)
-
Это вы на каком-то жидомасонском языке заклинания читаете все?
-
Пользователь @ilya-antipin написал в Поддержка проекта:
То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить
Добавлю своих 5 копеек, если можно. Не пинайте за оффтоп, но может людям пригодится.
Надо не просто поставить 1.1.1.1 (или любой из списка по нужному протоколу), а включить “только шифрованные запросы”. Через DoH (DNS-over-HTTPS) или DoT (DNS-over-TLS). Как включить DoH на windows 10 и выше - можно посмотреть тут. Иначе да, трафик по HTTPS будет зашифрован, а вот имена доменов, к которым обращается пользователь - будут утекать…
Для POSIX-совместимых систем можно использовать stub resolver. Например пакет stubby, с вот таким конфигом:
resolution_type: GETDNS_RESOLUTION_STUB dns_transport_list: - GETDNS_TRANSPORT_TLS tls_min_version: GETDNS_TLS1_2 tls_authentication: GETDNS_AUTHENTICATION_REQUIRED tls_query_padding_blocksize: 128 edns_client_subnet_private: 1 idle_timeout: 9000 listen_addresses: - 127.0.0.1@53 round_robin_upstreams: 0 appdata_dir: "/var/cache/stubby" upstream_recursive_servers: - address_data: 1.1.1.1 tls_auth_name: "cloudflare-dns.com" tls_pubkey_pinset: - digest: "sha256" value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU= tls_port: 853 - address_data: 1.0.0.1 tls_auth_name: "cloudflare-dns.com" tls_pubkey_pinset: - digest: "sha256" value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU= tls_port: 853А уже системный resolv.conf натравить на 127.0.0.1. Тогда весь софт сам того не зная будет использовать защищенные запросы.
У кого совсем паранойя - я бы рекомендовал аккуратнее ставить “отечественный” софт (или потом проверять). А то поставят вместе с собой “нужный” корневой сертификат удостоверяющего центра и вы даже не узнаете, что ваш HTTPS трафик проходит через чье-нибудь ведомство. Ни один браузер (из обычных) даже не пикнет. Кроме Firefox, у которого “по умолчанию” отключено доверие к системным корневым сертификатам (параметр “security.enterprise_roots.enabled” в about:config).
-
@некто однако, в обозримом будущем и это может быть бесполезным. https://theins.ru/politika/248511
-
@ilya-antipin вилами по воде (в данной статье). Пока будет физическое соединение до зарубежных ASN - будут и способы выйти в мир. DPI не всесилен. А то что слушают (ну или пытаются), так это уже давно. СОРМ с 1996 года существует и мало кто об этом вообще слышал.
Им бы пока организовать устойчивую работу своих сервисов. Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны. А то иногда отправишь traceroute до соседнего города, а он через соседнюю страну идёт. А то и не раз. Как посылка с алиекспресса.
Так что не так уж и в обозримом. Но, когда-нибудь - возможно. Как говорится: “смех-смехом, а пилотка кверху мехом”.
-
Пользователь @некто написал в Поддержка проекта:
Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны
Мб таки третий? 1 - провода и электричество/свет/т.п. А перемычки есть между всеми крупными провами
-
@stuppy не, я именно про первый (физический). Не везде есть прямой линк по стране. А иногда, вроде как есть, но “стоимость” такого пути по “ребрам взвешенного графа” выше, чем через соседнюю страну. Поэтому трафик и идёт наружу, а потом внутрь страны. Ибо маршрут быстрее. Пока они всё это соберут в кучу, чтобы “наша” сеть не сказала “ой, всё” из-за санкций - пройдёт очень не мало времени. А ради галочки уронить то, что есть - это надо быть совсем альтернативно-одарённым.
Основной посыл той статьи как раз в том, что они замыкают страну в свою ASN. Чтобы внутренний трафик не выходил наружу. BGP конечно выручит, перекинув маршрут в случае отключения. Но в отдалённых местах родины иногда такие сети можно встретить, что кровь из глаз идёт.
И тесты на “отключения” они забавно проводят. “Мы провели отключения, у нас (в больших городах) всё работает”. А то, что города поменьше отвалились от тех же госуслуг на час-другой - так это мелочь. Ножками дойдут.
-
Пользователь @некто написал в Поддержка проекта:
Не везде есть прямой линк по стране. А иногда, вроде как есть, но “стоимость” такого пути по “ребрам взвешенного графа” выше, чем через соседнюю страну. Поэтому трафик и идёт наружу, а потом внутрь страны.
Ну явно его проще как минимум в точках обмена, на М-9 и пр., заворачивать. А линки между магистралами наверное между всеми должны быть.
-
Пользователь @stuppy написал в Поддержка проекта:
Ну явно его проще как минимум в точках обмена, на М-9 и пр., заворачивать
С учетом размеров страны и кто там и чем владеет во всей цепочке… Кто-то одним куском кабеля, кто-то другим. Оборудование вообще третьим принадлежит, а то и нескольким ЮР лицам. Всё это надо согласовать и бумажкой закрепить. Пока всё это пройдёт по всем “заинтересованным” по цепочке в стиле “друг подруги тёлки брата”. Не быстро в общем.
Тема просто модная, вот её и мусолят. А по факту…
-
In light of the unwarranted and unprovoked invasion of Ukraine, Cogent is terminating all of your services effective at 5 PM GMT on March 4, 2022. The economic sanctions put in place as a result of the invasion and the increasingly uncertain security situation make it impossible for Cogent to continue to provide you with service.
All Cogent-provided ports and IP Address space will be reclaimed as of the termination date. For any colocation customers, your equipment will be powered off and kept in the rack for you to collect.
If not collected within thirty days, the equipment will be removed from the rack and stored. For any utility computing customers, you will not have access to your servers after the termination of service. The servers will be disconnected and kept in storage by Cogent for an indeterminate period.”
Regards,
Cogent TerminationsМагистральных порубят, вероятно, но, если так, то все не встанет, сразу, но, похоже, цели такой и нет, им достаточно замедлить все до полной невозможности рутинного комфортного использования. Тайные тропы будут работать долго, наверно.
-
Пользователь @ilya-antipin написал в Поддержка проекта:
In light of the unwarranted and unprovoked invasion of Ukraine, Cogent is terminating all of your services…
Предлог просто. Скорее не от нежелания сотрудничать, а из-за давления контролирующих органов. Невозможности приема оплаты, например. Кошмарят бизнес в угоду своим интересам.
Плохо конечно, что переезжать приходится. Да и явно стоимость содержания увеличивается. Курс подрос весомо. Помогаю проекту чем могу. Не великие деньги конечно…
Кстати. В районе 15:00 по МСК (GMT+3) словил 503-ю ошибку. Видимо ресурсов не хватает.
-
-
Да, писал об этом выше, как о возможном. Государственный MITM, так сказать. Перенимаем опыт Казахстана. У них не взлетело - отменили в 2019г. Посмотрим как у нас. Пока что хранят тонны пользовательского трафика без возможности его расшифровать.
