[LostSoul]

1 час назад, Edd2008 сказал:

Уважаемый, оторвите нос от клавиатуры и вам откроется новый мир, в котором ссылки это не только указание на какой ресурс в сети, а еще и указание на какую либо информации например из книги.

Так  с какой конкретно ссылкой вы в столь одиозной манере предлагаете мне ознакомится, и в чём конкретно вы не согласны с тезисами из моего сообщения?

 

[yegorov-p]

15 часов назад, LostSoul сказал:

или , по вашему, если иностранный гражданин с людоедского племени находясь у себя на родине убьет расчленит и сьест своего врага, а потом приедет сюда с ожерельем из его зубов и скальпа на шее,  его нельзя в нашей стране судить за преступные, по нашим нормам, деяния?

Вы удивитесь, когда узнаете правильный ответ.

[LostSoul]

9 минут назад, yegorov-p сказал:

Вы удивитесь, когда узнаете правильный ответ.

Я в целом не имею привычки писать о том, чего не знаю.

 

[yegorov-p]

2 минуты назад, LostSoul сказал:

Я в целом не имею привычки писать о том, чего не знаю.

 

Ну вот конкретно Ваш пример это история про товарища Бокассу.

[Tosha]

5 часов назад, alibek сказал:

Кстати, Гугл планирует шифровать SNI в Хроме. Так что через какое-то время это перестанет работать.

Тем хуже для хрома, т.к. после этого фильтры перестанут пускать соединения где не определяется SNI на черный список IP всех доменов https записей реестра.

[alibek]

33 минуты назад, Tosha сказал:

Тем хуже для хрома, т.к. после этого фильтры перестанут пускать соединения где не определяется SNI на черный список IP всех доменов https записей реестра.

Ну тут еще большой вопрос, кому хуже.

[LostSoul]

24 минуты назад, alibek сказал:

Ну тут еще большой вопрос, кому хуже.

Яндекс-браузер это выключит и ещё больше домохозяек на него перейдет.

 

[alibek]

Это не только от браузера зависит.

Когда доля браузеров с поддержкой шифрованного SNI станет заметна (читай — когда гугл выпустит соответствующий апдейт для хрома), так его станут включать на серверах в обязательном порядке.

И кстати, с чего бы Яндекс.Браузеру это отключать?

[LostSoul]

3 минуты назад, alibek сказал:

И кстати, с чего бы Яндекс.Браузеру это отключать?

а нахрен оно нужно то?

Вот назовите ситуацию, при которой мне имеет смысл скрывать имя сервера куда я соединяюсь?

при том, что IP его всё равно видно?

Это чтоб никто не догадался что я не просто на порно пошел, а на зоопорно?

 

[Rivia]

1 hour ago, Tosha said:

Тем хуже для хрома, т.к. после этого фильтры перестанут пускать соединения где не определяется SNI на черный список IP всех доменов https записей реестра.

Судя по черновым наработкам по encrypted SNI там будет условно свой SNI (структура может поменяться), только это будет SNI посредника, который уже отфорвардит запрос к нужному серверу и дальнейшее общение уже будет полностью зашифрованным. Провайдер соотв-но видит только SNI посредника. А это в свою очередь предоставляет возможность организации больших хабов таких посредников на основе например того же гугла и других облачных сервеисов (вот им счастья-то привалит в виде данных всех проходящих соединений - собирай, анализируй сколько влезет).

Так что SNI-то там будет, только вот блокировать его будет даже хуже чем нынешние блокировки.

Изменено 26 апреля, 2018 пользователем Rivia

[LostSoul]

4 минуты назад, Rivia сказал:

Так что SNI-то там будет, только вот блокировать его будет даже хуже чем нынешние блокировки.

А зачем это вообще нужно?

 

 

[Rivia]

3 minutes ago, LostSoul said:

А зачем это вообще нужно?

 

 

А каким образом собираетесь блокировать доступ к сайту?

[alibek]

11 минут назад, LostSoul сказал:

Вот назовите ситуацию, при которой мне имеет смысл скрывать имя сервера куда я соединяюсь?

А какой смысл скрывать URL?

Если с точки зрения логики, то доменное имя изначально не должно было светиться в открытую.

Так что шифрование SNI это скорее исправление ранней недоработки.

[LostSoul]

1 минуту назад, Rivia сказал:

А каким образом собираетесь блокировать доступ к сайту?

Нет. Вопрос не в этом.

Зачем они такой онанизм вообще городят?

Что мешает просто соединится с сервером используя его сертификат "по умолчанию" , а дальше передать этот SNI?

Зачем в этой схеме посредник?

Мы типа не доверяем тому серверу на котором крутится нужный нам virtualhost?

или это для организации промежуточных https проксей всяких которые не должны знать куда именно они меня переключают?

Типа такой TOR 2.0 делают?

Соединение до целевого  узла через несколько хопов с участием посредника?

 

 

1 минуту назад, alibek сказал:

А какой смысл скрывать URL?

Смысл сокрытия URL в том, что он раскрывает конкретную информацию , которую вы искали/передовали.

Ваш поисковый запрос, фильм который вы смотрите с фильмотеки, имя человека с кем вы общаетесь в соцсети и.т.п.

 

в случае же названия хоста и так понятно по IP фильмотека это, соцсеть или поисковик.

 

[rm_]

6 minutes ago, LostSoul said:

понятно по IP фильмотека это, соцсеть или поисковик.

На shared хостингах ни разу не будет понятно.

Да и в случае больших CDN, как мы узнаём в эти дни, у гугла один IP это может быть поисковик, ютуб, гуглдоки, рекламная сеть, и кто знает что ещё. В зависимости от времени суток, локации и рандома.

Я уж не говорю про CloudFlare, где за некоторым количеством одних и тех же IP хостятся миллионы клиентских сайтов.

Изменено 26 апреля, 2018 пользователем rm_

[Rivia]

11 minutes ago, LostSoul said:

Нет. Вопрос не в этом.

Зачем они такой онанизм вообще городят?

Что мешает просто соединится с сервером используя его сертификат "по умолчанию" , а дальше передать этот SNI?

Зачем в этой схеме посредник?

Мы типа не доверяем тому серверу на котором крутится нужный нам virtualhost?

или это для организации промежуточных https проксей всяких которые не должны знать куда именно они меня переключают?

Типа такой TOR 2.0 делают?

Соединение до целевого  узла через несколько хопов с участием посредника?

 

Без SNI сервер не знает к какому из обслуживаемых https ресурсов вы обращаетесь. Либо 1 сертификат на все , либо нужен SNI.

С посредником все то же самое - без указания к кому подключаться сервер не будет знать куда вас форвардить.

Изменено 26 апреля, 2018 пользователем Rivia

[alibek]

4 минуты назад, Rivia сказал:

Без SNI сервер не знает к какому из обслуживаемых https ресурсов вы обращаетесь.

Ну во-первых этих ресурсов может быть один.

А во-вторых для получения SNI можно использовать серверный сертификат на IP или технологический домен, который можно проверить через обратную зону.

[Rivia]

6 minutes ago, alibek said:

Ну во-первых этих ресурсов может быть один.

А во-вторых для получения SNI можно использовать серверный сертификат на IP или технологический домен, который можно проверить через обратную зону.

Слушайте, вы меня спрашиваете почему оно работает именно так? Спросите у ietf.

В драфте обсуждения шифрованного SNI только вариант с Fronting Service, которому так же отсылается публичный SNI.

Изменено 26 апреля, 2018 пользователем Rivia

[alibek]

Нет, я просто вслух недоумеваю.

[Rivia]

Я таки просто думаю что у них не стоит задача обеспечить народу, доступ которого к интернету гнобит его пр-во,  максимально закрытое соединение. Обсуждение там начинается с фразы о том как рекламники любят собирать данные о клиентских подключениях, так что видимо это для них краеугольный камень и Fronting Service для решения этой проблемы их устраивает.

Изменено 26 апреля, 2018 пользователем Rivia

[alibek]

Деньги это всегда весомая причина.

Да, вполне правдоподобно и убедительно.

[st_re]

Просто прекрываясь словами об "заботе о приватности" делается еще один способ завернуть трафик клиента к себе.. это не первая потуга так сделать, это вам и 8.8.8.8 и по дефолту на мобилах включенный усторитель интернета... например через неделю (чуть меньше) все SSL сертификаты, которые вы ставите на сайты  должны лежать на серверах СТ гугла (не, там есть и другие варианты, но... вообщем у гугла :) )... нет нет, только открытый ключ который и так отдается каждому сервером, никакой тайны.. но вдруг ваш сервер стоит в локалке на 10./8 адресах и гуглу не виден... нет, они конечно добрые и если у вас свой корпоративный ЦА, можно настроить исключения политикой домена, указав там свои корпоративные домены.. ну или или... ну вроде да, там можно настроить исключения, даже не на винде или не в домене, но явно в разы сложнее, чем пихнуть в 1 место свой корпоративный ЦА... как пихнуть исключения на мобилу вообще не понятно.  да да, им очень хочется знать, как звать ваш внутренний портал. несмотря на то, что скорее всего помощь при наборе УРЛа его уже и так спалила... но вдруг чтото осталось не замеченным ? А чтобы не бухтели, что дорого, вот вам летзинкрипт, кстати... а свой корпоративный ЦА, это лишнее, нам не видно что за сервера у вас там. :) Ну и заодно, "куда вы потом без нас денетесь" :)

 

 

[LostSoul]

33 минуты назад, Rivia сказал:

Без SNI сервер не знает к какому из обслуживаемых https ресурсов вы обращаетесь. Либо 1 сертификат на все , либо нужен SNI.

У нас есть задача , не знаю зачем, зашифровать то самое имя.

1) Берем обращаемся к серверу, получаем сертификат ПО УМОЛЧАНИЮ.  Такой же как без поддержки SNI.

2) после того как защищенное от прослушание и заверенное сертификатом по умолчанию соединение установлено, говорим ему по секрету, что нам на самом деле нужно SNI-имя такое-то.

3) получаем сертификат для домена такого-то

напуркуа в этой схеме посредник?

Вижу только одно обьяснение - недоверие к серверу с сертификатом по умолчанию.

но это-ж бред наверное?  Ну или TOR 2.0

 

[alibek]

12 минут назад, LostSoul сказал:

напуркуа в этой схеме посредник?

Чуть выше привели вполне приличное обоснование.

Чтобы не обидеть рекламщиков и аналитиков.

[LostSoul]

Кстати, по теме - телега у кого то ещё работает?

У меня на компе перестало работать с 1-го дня блокировок , на телефоне через wifi на 3-4 день ,  через МТС перестало работать вчера-позавчера.

 

 

5 минут назад, alibek сказал:

Чтобы не обидеть рекламщиков и аналитиков.

То есть посредник нужен для того, чтоб сливать все данные о моих посещениях рекламщикам и аналитикам?

а почему этого не может сделать какой-нить банер гуглоаналитики прям внизу страницы?