Поддержка проекта

dimalut

@васьвась это по каким?

Stuppy

@dimalut Амазон залочат если. И все забугорные облака. Или кетайский фаерволл. Или просто чебурнет.

Just_One

@dimalut ну мне например vps (хостинг) заблочилили твои сограждане, без объяснения причин.

Васьвась

Пользователь @stuppy написал в Поддержка проекта:

Или

Ватники с вышиватниками и либерастами начнут здесь боевые действия, РКН возьмет на карандаш быстро. “Публикация фейков” - и досвидос, вплоть до тюремного заключения.

Ilya Antipin

Сервер – всегда был далеко. Регистратор домена вчера вежливо попросил русских покинуть компанию в известном направлении, ну… перевели домен на доверенное лицо в другой стране.

Некоторые личные средства были зарезервированы где надо, кому надо были даны указания – все будет работать при любых раскладах.

Однако, остается открытым вопрос, будет ли в принципе в обозримом будущем выход за пределы или только некий локальный недоинтернет.

Ну, и промежуточный вариант с фильтрацией всего внешнего трафика, где не факт, что поможет и VPN, да и далеко не все осилят VPN, как минимум, быстро.

Степень неопределенности максимальная. Продолжаем.

dimalut

@just_one сейчас такие события, что объяснения уже не требуются, не?

Just_One

@ilya-antipin за один клик скопируете свою вакабу в руцентр, делов-то. Или принципиально “нет”?

Just_One

Пользователь @dimalut написал в Поддержка проекта:

объяснения уже не требуются

И куаркод тоже. Ну зато хоть масочки можно не носить…

Ilya Antipin

@just_one это прикол какой-то сложный? Или вы пьяный?
Вы предлагаете все отдать товарищу майору? А… у вас фаза «мне нечего скрывать» ))

Just_One

@ilya-antipin предполагаю, что под “всем” вы имеете ввиду личные данные пользователей. Но товарищ майор (здравия желаю, кстати) итак же в случае необходимости все видит на уровне провайдера. Если рунет чебурнется до невозможности тунеллирования, какой смысл в русскоязычном неуправляемом ресурсе за поребриком?

Ilya Antipin

@just_one нет, вы заходите на сайт с шифрованием SHA256, тов. майор, и даже тов. генерал ключики на 256 бит ломать не умеет. И одно дело знать, что Just_One был там-то, а другое – кто был вообще. И когда, и кто есть кто. То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить, и тогда и на уровне провайдера ничего не видно, то есть даже куда пошли, собственно, это все, что и можно увидеть, по большому счету.

Just_One

Пользователь @ilya-antipin написал в Поддержка проекта:

То, что вы не шифруете и DNS-запросы

Я, предположим мог бы, но 99.9% иных посетителей врядли будут этим заниматься. Соотнести ip адрес, днс, и время активности - с этим даже не очень умные алгоритмы справятся.

Stuppy

Пользователь @ilya-antipin написал в Поддержка проекта:

с шифрованием SHA256

SHA256 - алгоритм хэширования, он позволяет гарантировать неизменность данных путём вычисления контрольной суммы. Шифрование (сеансовое, симметричное, во время подключения к вебу) - AES256, самый популярный, но не единственный алгоритм.

Небольшая справка)

Stuppy

Пользователь @ilya-antipin написал в Поддержка проекта:

То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить, и тогда и на уровне провайдера ничего не видно, то есть даже куда пошли, собственно, это все, что и можно увидеть, по большому счету.

Немного уточнить следует, для непосвященных умов. Обращение к DNS действительно опасно в открытом виде (по умолчанию), но обращение к шифрованному DNS спасает нас только когда мы обращаемся не к хосту, привязанному к статическому адресу (потому что коннект к нему будет виден и без днс, потому что можно соотнести однозначно IP с URL).

Вот в случае с форумом, когда он за CloudFlare - норм, там маршрутизация к сайту на прикладном уровне осуществляется по имени сайта, который внутри зашифрованного трафика (в заголовке HTTP)

Васьвась

Это вы на каком-то жидомасонском языке заклинания читаете все?

Некто

Пользователь @ilya-antipin написал в Поддержка проекта:

То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить

Добавлю своих 5 копеек, если можно. Не пинайте за оффтоп, но может людям пригодится.

Надо не просто поставить 1.1.1.1 (или любой из списка по нужному протоколу), а включить “только шифрованные запросы”. Через DoH (DNS-over-HTTPS) или DoT (DNS-over-TLS). Как включить DoH на windows 10 и выше - можно посмотреть тут. Иначе да, трафик по HTTPS будет зашифрован, а вот имена доменов, к которым обращается пользователь - будут утекать…

Для POSIX-совместимых систем можно использовать stub resolver. Например пакет stubby, с вот таким конфигом:

resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
tls_min_version: GETDNS_TLS1_2
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 128
edns_client_subnet_private: 1
idle_timeout: 9000
listen_addresses:
  - 127.0.0.1@53
round_robin_upstreams: 0
appdata_dir: "/var/cache/stubby"

upstream_recursive_servers:
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU=
    tls_port: 853
  - address_data: 1.0.0.1
    tls_auth_name: "cloudflare-dns.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU=
    tls_port: 853

А уже системный resolv.conf натравить на 127.0.0.1. Тогда весь софт сам того не зная будет использовать защищенные запросы.

У кого совсем паранойя - я бы рекомендовал аккуратнее ставить “отечественный” софт (или потом проверять). А то поставят вместе с собой “нужный” корневой сертификат удостоверяющего центра и вы даже не узнаете, что ваш HTTPS трафик проходит через чье-нибудь ведомство. Ни один браузер (из обычных) даже не пикнет. Кроме Firefox, у которого “по умолчанию” отключено доверие к системным корневым сертификатам (параметр “security.enterprise_roots.enabled” в about:config).

Ilya Antipin

@некто однако, в обозримом будущем и это может быть бесполезным. https://theins.ru/politika/248511

Некто

@ilya-antipin вилами по воде (в данной статье). Пока будет физическое соединение до зарубежных ASN - будут и способы выйти в мир. DPI не всесилен. А то что слушают (ну или пытаются), так это уже давно. СОРМ с 1996 года существует и мало кто об этом вообще слышал.

Им бы пока организовать устойчивую работу своих сервисов. Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны. А то иногда отправишь traceroute до соседнего города, а он через соседнюю страну идёт. А то и не раз. Как посылка с алиекспресса.

Так что не так уж и в обозримом. Но, когда-нибудь - возможно. Как говорится: “смех-смехом, а пилотка кверху мехом”.

Stuppy

Пользователь @некто написал в Поддержка проекта:

Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны

Мб таки третий? 1 - провода и электричество/свет/т.п. А перемычки есть между всеми крупными провами

Некто

@stuppy не, я именно про первый (физический). Не везде есть прямой линк по стране. А иногда, вроде как есть, но “стоимость” такого пути по “ребрам взвешенного графа” выше, чем через соседнюю страну. Поэтому трафик и идёт наружу, а потом внутрь страны. Ибо маршрут быстрее. Пока они всё это соберут в кучу, чтобы “наша” сеть не сказала “ой, всё” из-за санкций - пройдёт очень не мало времени. А ради галочки уронить то, что есть - это надо быть совсем альтернативно-одарённым.

Основной посыл той статьи как раз в том, что они замыкают страну в свою ASN. Чтобы внутренний трафик не выходил наружу. BGP конечно выручит, перекинув маршрут в случае отключения. Но в отдалённых местах родины иногда такие сети можно встретить, что кровь из глаз идёт.

И тесты на “отключения” они забавно проводят. “Мы провели отключения, у нас (в больших городах) всё работает”. А то, что города поменьше отвалились от тех же госуслуг на час-другой - так это мелочь. Ножками дойдут.