Jump to content
Калькуляторы

Обход "блокировки" сайтов обсуждаем идею

Итак, ЕР в очередной раз подложило сюрприз, пока еще потенциальный, но реально маячащий. В связи с этим, я подумал, а как же защититься от этой напасти?

 

Первым приходит в голову tor, но по моей информации все входы и выходы давно контролируются. Его реально и задетектить, и заблокировать, и по слухам даже перехватить(в основном установкой "левых" exit node), и из-за анонимности exit node часто обеспечивает проблемы владельцу. Кроме того его анонимность иногда играет против самого смысла сервиса, и на многих сервисах его из-за этого блочат.

Предположим, что нужно получить доступ к легитимной, но неугодной правительству информации, и по возможности общатся там. Как?

 

Идея такова:

Часть-1, клиентская, client)

Плагин для популярных браузеров, который включает только для списка вебсайтов HTTP connect proxy через stunnel, который облегчит включение данной фичи для избранного контента. Ибо основные пользователи такой штуки - люди не очень компьютерно грамотные.

 

Часть-2, для активистов, подобие tor exit node, из других стран, назовем relay

Софт - http connect proxy over ssl, который открывает доступ на сайты выполняющие определенное условие и добавляющий в CONNECT host:port HTTP/1.0 - стандартный хеадер X-Forwarded-by, и пищущий в лог, откуда был коннект, когда и куда. Ибо посетитель для сайта анонимным _не будет_, так как основная беда tor exit нод, что люди творят через них всякие безобразия. Т.е. владелец relay в случае если через него сделали что-то криминальное - сможет найти концы.

Конечно в этом случае возможны и relay - стукачи, но контент неизвестен, и владелец relay, если не боится - может заявить, что дескать я такой-то такой-то, если доверяете, ходите через меня, ну и еще попросить денег на поддержание ноды. Релей ноды могут быть приватными, ибо к примеру китайское правительство сканирует тор ноды на полном автомате и блочит их достаточно быстро.

После соединения client с relay по TLS, relay соединяется на точку назначения просто по TCP, но клиент уже самим браузером запускает TLS канал с сайтом назначения, дабы relay нода не совала нос в контент.

 

Часть-3, поддержка со стороны сайта назначения. Все что требуется от сайта - работающий SSL/TLS сертификат подписанный обычным авторизованным центром с валидным именем хоста Common name, поднятый на нестандартный порт. Можно требовать по желанию сертификат определенного уровня, который требует валидации заказывающего.

Зачем? Если скажем нелегальный контент можно поднять по быстренькому на хакнутом хосте, и разместить там в т.ч. педофильский контент, то на сертификат уже прийдется потратится, и где-то останутся хвосты от покупки сертификата.

Зачем нестандартный порт? Таким образом хост выражает согласие с тем, чтобы к нему получали доступ таким способом, и хост может запретить постить через такой релей, или скажем будет отдельным способом логировать X-Forwarded-by, на случай действий нарушающих законы страны размещения или международные законы. Еще скажем сайт назначения может к примеру прятать даты отправки сообщения, если сообщения прошли через нестандартный порт, чтобы спецслужбы не нашли через relay-стукача отправителя сообщения, по паре сайт назначения + время.

 

Таким образом:

1)Обходим блокировки

2)Вы относительно анонимны для правительства, но куролесить на сайте не получится, ибо ваш IP у сайта есть, и создать проблемы релей ноде - тоже сложновато.

3)Вы не сможете получить доступ к чему попало через релей ноду, только к сайтам которые выразили согласие на участие в проекте установкой нестандартного порта.

4)Параллельно СОРМ становится бесполезен, т.к. соединения через релей ноду могли идти куда угодно.

 

Что думаете?

Share this post


Link to post
Share on other sites

Справедливости ради, г-жа Мизулина, главный инициатор этого закона - депутат от СР.

Share this post


Link to post
Share on other sites

Как я говорил - я не доверяю ни оппозиции, ни депутатским карманным "оппозиционным" партиям, ни правительству.

В первую очередь ставим международные законы, которые все таки эффективны против откровенно нелегальных сайтов, а "хотелки" местных царьков по блокированию неугодных должны быть побеждены.

Share this post


Link to post
Share on other sites

В первую очередь ставим международные законы, которые все таки эффективны против откровенно нелегальных сайтов,

Например?

Share this post


Link to post
Share on other sites

Например?

http://articles.cnn.com/2012-03-08/world/world_europe_italy-pedophelia-arrests_1_pedophile-social-network-national-police?_s=PM:EUROPE

 

Я думаю стоит обсудить, в особенности уязвимые места, в случае всеобщего одобрения, если закон примут, можно приниматься за работу. Я скажем мог бы взять на себя часть, но помимо GUI и плагинов к браузеру.

 

Update: закон приняли. Так что обсуждаем и принимаемся за работу :)

Share this post


Link to post
Share on other sites

Прохожий, поищите самостоятельно, думаю адрес гугля знаете, "international cooperation against" и подставьте нужное слово подставьте, терроризм там, или еще что.

Не включайте дурака, сайты с педофилами, террористами не живут долго, вы это и сами прекрасно знаете. И чтоб их закрыть, если они очевидно нарушают закон - отдельный закон в РФ - не нужен.

Share this post


Link to post
Share on other sites

самый простой вариант - VPN в другую страну

для оригиналов есть i2p

Share this post


Link to post
Share on other sites

Gull - обычные люди VPN пользоваться не умеют, слишком сложно. Должно быть не сложнее установки плагина для браузера.

Кроме того если просто VPN, то желающему попасть на ресурс надо или его покупать, или тот кто раздаст vpn нахаляву будет вынужден пропускать кучу траффика, и рисковать тем, что через его VPN сделают что-то противоправное на сайте назначения, и ему потом ввалят.

I2P - анонимайзер, как и tor, с вытекающими, все таки противоправная(по общепринятым нормам) деятельность должна пресекаться. Например если отправят сообщение о заложенной бомбе, или фотки с педо-контентом.

Share this post


Link to post
Share on other sites

Прохожий, поищите самостоятельно, думаю адрес гугля знаете, "international cooperation against" и подставьте нужное слово подставьте, терроризм там, или еще что.

Интерпол что ли? Господи, я-то думал действительно есть какое-то законодательство...

 

Не включайте дурака, сайты с педофилами, террористами не живут долго, вы это и сами прекрасно знаете. И чтоб их закрыть, если они очевидно нарушают закон - отдельный закон в РФ - не нужен.

Вам чего нагуглить? Выбирайте тему! А лучше сами.

"Долго не живут", ага, ну-ну. Каждая успешная операция пиарится до небес. Выловили из пруда одну лягушку. Было там их несчитано, а стало - несчитано минус одна! ;)

Share this post


Link to post
Share on other sites

Итак, ЕР в очередной раз подложило сюрприз, пока еще потенциальный, но реально маячащий. В связи с этим, я подумал, а как же защититься от этой напасти?

 

Что думаете?

не с того конца думаешь. закон разрабатывали технические бараны, и банальные лозунгисты "за ради одной слезинки ребенка"(С)КО.

надо просто продемонстрировать это всем со всей очевидностью.

например - делаешь демо-сайт со всем что там запрещено вне пределов РФии(штоп карму не портить, вешаешь вверху варнинг)

добиваешься внесения в лист.

А после устраивается веселое трололо на гос-операторских или опсосных подключениях с требованием исполнить закон и убрать эту гадость из интернета.

Пусть уже идут и строят свой интернет с блекджеком и ***ми, а из нашего валят нах, и детей своих пусть с собой забирают, потому как ребенок выросший в пеленках - таким же дебилом как и родители вырастет.

Ищо интересно потролить - если закон для защиты детей, то можно провайдеру ввести тарифы с доступом только для взрослых?

Share this post


Link to post
Share on other sites

Зачем раньше времени кипешиться? Еще ничего не подняли, еще не попилили миллиарды, а ты уже пугаешься.

 

Будут ради тебя провайдеры расчехлять свои DPI, как же. DPI денюжков стоят, и покупались не для обслуживания взбрыков государства.

 

Вот DNS свой травить, это куда не шло. Для начала. А потом будет тривиальная двухуровневая система "британского" образца: если IP засветился, то пустить через прокси для более тонкой фильтрации. Ну может через HTTP/302, хотя ненадежно это. И будет там содержаться несколько тысяч сайтов.

 

Плохо что мы будем кормить еще одну порцию бездельников. На этот раз из "Лиги безопасного интернета". Как утверждают новости, будет какая-то "некоммерческая организация", которая этот блеклист будет вести. Да и очередные миллиарды из бюджета улетят на ветер.

 

А вообще, запасаемся поп-корном, и смотрим очередную серию трагикомического блок-бастера "Гора родила мышь 100500".

Share this post


Link to post
Share on other sites

юзайте ипев6-онли доступ. памяти много в рутерах не бывает)

Share this post


Link to post
Share on other sites

Зачем раньше времени кипешиться? Еще ничего не подняли, еще не попилили миллиарды, а ты уже пугаешься.

Блокировка актуальна не только у нас. Почему бы не помочь людям?

 

Будут ради тебя провайдеры расчехлять свои DPI, как же. DPI денюжков стоят, и покупались не для обслуживания взбрыков государства.

Ради меня - уж точно нет. Предложенную систему станет слишком тяжко фильтровать, провайдеры будут стопроцентно брыкаться.

А вот черный список - легко, как вы сами сказали DNS, ip-шники - прийдется. Причем если блокировать на входах-выходах, это не так и сложно, роуты в null завести.

Share this post


Link to post
Share on other sites

hidemyass.com чем не устраивает? :)

И ещё сотни вебпрокси и хттп прокси с их сайта.

Плюс сканер на 80/8080 по провайдерским пулам в поисках роутеров с дефолтным паролем, и дальше там выставление форвадинга куда нужно...

 

А если будут зажимать - то нужно строить полностью анонимную криптованную п2п сеть поверх протоколов 3-4 уровня, и пофик что траф будет ходить кругами.

Share this post


Link to post
Share on other sites

обычные люди VPN пользоваться не умеют, слишком сложно. Должно быть не сложнее установки плагина для браузера.

Для обычных людей интернет состоит из одноклассников, вконтакте и яндекса. Им ваши плагины совершенно без надобности.

Есть люди необычные - эти полезут в прокси, tor, i2p, vpn.

 

А вообще как мне кажется, всё это ерунда. Тащите дусторонний спутниковый линк из европпы и будет вам счастье.

Share this post


Link to post
Share on other sites

тащите спутник, ага... они скоро проголосуют за регистрацию пишущих машинок и начнут подбрасывать их на чердаки

Share this post


Link to post
Share on other sites

hidemyass.com чем не устраивает? :)

И ещё сотни вебпрокси и хттп прокси с их сайта.

Плюс сканер на 80/8080 по провайдерским пулам в поисках роутеров с дефолтным паролем, и дальше там выставление форвадинга куда нужно...

 

А если будут зажимать - то нужно строить полностью анонимную криптованную п2п сеть поверх протоколов 3-4 уровня, и пофик что траф будет ходить кругами.

Все должно быть надежно и просто для обывателя(плагин, который направит только заблокированные ресурсы в релей, в то же время ненапряжно для владельца релея(логи и доступ только на сайты которые согласны). Кстати релеи можно ставить и на хакнутые хосты, но таким сложно доверять.

 

Для обычных людей интернет состоит из одноклассников, вконтакте и яндекса. Им ваши плагины совершенно без надобности.

Запретный плод - сладок, особенно если он легкодоступен.

Share this post


Link to post
Share on other sites

Владельцы сайтов вряд ли будут что то делать.

Проблема заблоченного пользователя - его личная.

Вебпрокси - самое простое, доступное даже рядовому обывателю.

Share this post


Link to post
Share on other sites

Если сайты политические, их основной контингент в РФ - то будут, если будет решение, и оно будет внятным для них.

Share this post


Link to post
Share on other sites

Ещё раз.

Предложенное вами, на мой взгляд, требует участия трёх сторон, эти стороны должны быть заинтересованны и предпринять определённые действия.

Более того, не факт что эти условия устроят всех троих. Например абонент не захочет светить свой реальный адрес. Кто то не захочет подставляться нодой. Сайт не захочет покупать сертификат и попадать в анальное рабство госдепу, которое фактически всю систему корневых серверов держит, или просто денег нет.

 

С веб и хттп проксями всё сильно проще.

И наверняка есть уже готовые плагины которые тянут списки хттп проксей автоматом и используют.

Share this post


Link to post
Share on other sites

nuclearcat, не суетись под клиентом ;)

 

Технически все перекрыть невозможно, и ты это прекрасно знаешь. Это раз. Напринимали законов, ну, молодцы, законотворцы. Юридические механизмы всякие шизоидные. Ну а технически это ничем не поддержано, так что пусть балуются.

Share this post


Link to post
Share on other sites

В природе был плагин для Фокса, который часть заблоченный амерами торрент-сайтов (отобрали домены, показывали на них варнинг и их фирменного орла) в 2009 примерно году перехватывал ДНС запросы и отдавал ИП, которые эти сайты сообщали в сторону плагина... Домен отобран, но для "избранных" ничего работать не переставало ;) Что это именно и как называется - не помню...

 

ЗЫ. перехватывал ДНС запросы только к тем сайтам, которые сообщили об этом плагинописателю... Да и создавался плагин изначально чисто под конкретную проблему...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this