[alibek]

4 минуты назад, LostSoul сказал:

а почему этого не может сделать какой-нить банер гуглоаналитики прям внизу страницы?

Потому что для этого нужен банер гуглоаналитики внизу страницы сайта. И отсутствие adblock в браузере пользователя.

[ayf]

10 минут назад, LostSoul сказал:

Кстати, по теме - телега у кого то ещё работает?

У меня на компе перестало работать с 1-го дня блокировок , на телефоне через wifi на 3-4 день ,  через МТС перестало работать вчера-позавчера.

 

 

То есть посредник нужен для того, чтоб сливать все данные о моих посещениях рекламщикам и аналитикам?

а почему этого не может сделать какой-нить банер гуглоаналитики прям внизу страницы?

 

Работает, но нестабильно

[Sergey Gilfanov]

48 минут назад, LostSoul сказал:

У нас есть задача , не знаю зачем, зашифровать то самое имя.

1) Берем обращаемся к серверу, получаем сертификат ПО УМОЛЧАНИЮ.  Такой же как без поддержки SNI.

2) после того как защищенное от прослушание и заверенное сертификатом по умолчанию соединение установлено, говорим ему по секрету, что нам на самом деле нужно SNI-имя такое-то.

 

1) Берем, обращаемся к серверу site.com.

2) Получаем (без SNI) сертификат "по умолчанию" от имени somehosting.com или evilisp.com

3) Устанавливаем защищенное соединение, говорим SNI..

Но как определять будем, что этот somehosting - он действительно нужный нам сайт хостит, а не просто вклиниться решил, чтобы тот самый SNI узнать?

[LostSoul]

4 минуты назад, Sergey Gilfanov сказал:

Но как определять будем, что этот somehosting - он действительно нужный нам сайт хостит, а не просто вклиниться решил, чтобы тот самый SNI узнать?

ну видимо CA ещё подзаработают, будут сертификаты для IP выдавать

 

[Sergey Gilfanov]

19 минут назад, LostSoul сказал:

ну видимо CA ещё подзаработают, будут сертификаты для IP выдавать

 

Так все правильно будет - DNS ответ нам заранее подменили, поэтому тот IP, к которому мы цепляемся с большим удовольствием свой собственный сертификат и предъявит.

[st_re]

так DNS на предыдущем этапе уже завернули в SSL... ну да, тоже по умолчанию на сервера гугля. :)

[Tosha]

если SNI будет бесполезен будем фильтровать по IP. Выхода то нет. Закон надо исполнять. Даже если многие считают его плохим. Ибо закон...

[Антон Богатов]

4 часа назад, LostSoul сказал:

Кстати, по теме - телега у кого то ещё работает?

У меня на компе перестало работать с 1-го дня блокировок , на телефоне через wifi на 3-4 день ,  через МТС перестало работать вчера-позавчера.

У меня устойчиво работает в разных сетях, включая МТС с МГТС.

Два дня после блокировок коматозил, потому словил очередной пуш,  ожил и с тех пор живет себе.

[alibek]

52 минуты назад, Tosha сказал:

если SNI будет бесполезен будем фильтровать по IP

И тогда здравствуйте все проблемы с самостоятельным ресолвом — с ежеминутно меняющимися IP, подложными или некорректными записями, вызывающими сбои или переполнения.

[s.lobanov]

@alibek 

Зачем резолвить-то самостоятельно?

Ревизор работает так - он ходит на тот DNS, который вы ему скормили, там вы отдаёте IP-адрес заглушки(которая дропает/реджектит трафик) + ходит на те IP-адреса, которые указаны в dump.xml. Т.е. резолвить самому не надо, это делает РКН за вас

[andryas]

Основатель Telegram Павел Дуров усомнился в возможности компромисса по вопросу о блокировке мессенджера. Об этом он написал в социальной сети.

По его словам, ключи для расшифровки переписки пользователей «ни Telegram, ни другие мессенджеры, не могли бы выдать при всем желании». Это обусловлено техническими особенностями шифрования в 2018 году, добавил Дуров.

«Даже если бы запрос ФСБ ограничивался помощью в поимке шести террористов, участвовавших в теракте в Петербурге, мы вряд ли могли быть полезны: часть интересующих ФСБ мобильных номеров никогда не имели аккаунта в Telegram, другая их часть была автоматически удалена за неактивностью еще в прошлом году», — сказал он.

«Впрочем, согласно материалам дела, ставшим доступными Republic.ru в октябре, для координации теракта в большей степени использовался не Telegram, а WhatsApp», — добавил он.

16 апреля Роскомнадзор объявил о начале блокировки доступа к мессенджеру Telegram в России из-за отказа руководства мессенджера передать ФСБ ключи шифрования

[Ivan_83]

8 часов назад, Tosha сказал:

Тем хуже для хрома, т.к. после этого фильтры перестанут пускать соединения где не определяется SNI на черный список IP всех доменов https записей реестра.

У дудля quick есть, который ваще по юдп ходит.

 

 

7 часов назад, rm_ сказал:

На shared хостингах ни разу не будет понятно.

Это отомрёт скоро, IPv6 адресов полным полно чтобы такой ерундой не страдать.

Те есть все шансы что никакого SNI ваще не будет.

[st_re]

13 часов назад, Стич сказал:

Беда в том что я встречал в реестре ресурсы которые,

специально не передавали server name или отдавали неверный сертификат

(браузер ругался но можно же добавить в исключение), а ревизор их детектил как открытые.

 

SNI летит от клиента к серверу в независимости от желания у сервера его получать... Вы наверное смотрели на сертификат который летит от сервера к клиенту, там может быт все что угодно и с апрашиваемым ресурсом он корредироват не обязан в общем случае (ну да браузер ругнется). Так жто не есть SNI. SNI это намек серверу какой сертификат отдать, если их у того несколько на этом IP. Сервер его может и не уметь, тогда просто проигнорит и отдаст единственный сертификат..

[vim]

20 hours ago, LostSoul said:

Кстати, по теме - телега у кого то ещё работает?

У меня на компе перестало работать с 1-го дня блокировок , на телефоне через wifi на 3-4 день ,  через МТС перестало работать вчера-позавчера.

Устойчиво работает на мегафоне, билайне, ростелике и транстелекоме. Когда начали прилетать крупные подсети в реестр с 17 на 18 апреля в ночь легло до утра, после этого работает стабильно, максимум когда ркн цепляет нужные адреса отваливается минут на 10-20, до обновления свиска серверов. В целом можно сказать даже и не заметно для рядого пользователя, если не мониторить.

[LostSoul]

13 часов назад, st_re сказал:

SNI летит от клиента к серверу в независимости от желания у сервера его получать...

и кстати, весь этот геморой с посредниками явно снизит скорость открытия соединения до 3х RTT

что совсем не есть хорошо

 

[st_re]

3 минуты назад, LostSoul сказал:

и кстати, весь этот геморой с посредниками явно снизит скорость открытия соединения до 3х RTT

что совсем не есть хорошо

 

У нас специфика, часть инфраструктуры вообще не имеет доступа в инет.. Ни до каких серверов гугла или еще чьих оно не достучится никогда ни за dns ни за SNI ни за СТ... Ну ок, надо будет делать еще одну, уже 1000500ю, политику для откусывания еще и этой хрени или горожению своих заменителей и убеждению софта им верить...

[Rivia]

12 minutes ago, st_re said:

У нас специфика, часть инфраструктуры вообще не имеет доступа в инет.. Ни до каких серверов гугла или еще чьих оно не достучится никогда ни за dns ни за SNI ни за СТ... Ну ок, надо будет делать еще одну, уже 1000500ю, политику для откусывания еще и этой хрени или горожению своих заменителей и убеждению софта им верить...

Я думаю вы преувеличиваете роль посредника. Посредником судя по предварительным драфтам можно сделать любой сервер. Просто для тех кто хочет реально скрыть свой сервер за чужим SNI ес-но жел-но будет иметь отличные друг от друга сервер-посредник и реальный сервер, к которому обращается клиент. И тут на сцену должен выйти весь сияющий, предоставляющий всем фронт-сервис сервер крупной компании, который дает практически 100% аптайм, устойчивость к высокой нагрузке и атакам и т.п. Но так-то судя по драфту этот сервис посредника можно поднимать хоть на том же самом сервере где находится и сервис к которому обращается клиент.

Изменено 27 апреля, 2018 пользователем Rivia

[st_re]

да чтото не верится что все так просто... Пока списки закрытые получались всего этого, чему верим.... свой СТ можно конечно сделать, но ни один гугл хром ему не поверит. (это вот не драфт, это для всех сертификатов выписанных с 1 мая начиная во всех хромах надо, чтобы сертификат был в доверенном СТ)

 

а тут явно, надо сначала получить нужный сертификат, комуто надо верить.. если ваш посредник на том же ip, то откуда мы узнаем, что он не МИТМится сам ?

[ixi]

1 час назад, st_re сказал:

а тут явно, надо сначала получить нужный сертификат, комуто надо верить.. если ваш посредник на том же ip, то откуда мы узнаем, что он не МИТМится сам ?

Получите открытый ключ из другого источника, хотя бы через обратную зону DNS. Тут не нужна слишком сильная безопасность.

[st_re]

DNS уже активно заворачивают в SSL... все не дойдут руки посмотреть, как они там валидатятся...

[rm_]

Just now, st_re said:

все не дойдут руки посмотреть, как они там валидатятся...

https://1.1.1.1/ 

Как пример.

[andryas]

Было? Телеграм не нужон! Мнение народа.

 

 

[st_re]

15 минут назад, rm_ сказал:

https://1.1.1.1/ 

Как пример.

Это я видел,

я про то, как клиент общается с сервером... будет ли сни (именно от dns либы), валидатит ли оно имена и прочее в спертификате... итд.. а то вон почта, вроде ssl (startssl)... а по факту сертификаты и просроченные и само подписанные и на не те имена канают во все щели и никакой гмейл не брезгует на такие сервера через такой starttls сливать почту...

 

 

[LostSoul]

29 минут назад, st_re сказал:

никакой гмейл не брезгует на такие сервера через такой starttls сливать почту...

ну так исторически сложилось , что в почте tls скорее против перехвата авторизации clean text вводился чем против MITM

 

[st_re]

Но по факту входящая почта очень массово идет через starttls, если оно есть на принимающем сервере.. церт практически никто не проверяет ни на что...

Многие почтовые клиенты тоже верят на слово ... промитмить им это дело запросто (и украcть плейн текст пароль оттуда)... не все, но очень многие нормально ходят через starttls с непонятно какими сертификатами на smtp, да и на imaps/pop3s.