nuclearcat Posted July 11, 2012 Posted July 11, 2012 Итак, ЕР в очередной раз подложило сюрприз, пока еще потенциальный, но реально маячащий. В связи с этим, я подумал, а как же защититься от этой напасти? Первым приходит в голову tor, но по моей информации все входы и выходы давно контролируются. Его реально и задетектить, и заблокировать, и по слухам даже перехватить(в основном установкой "левых" exit node), и из-за анонимности exit node часто обеспечивает проблемы владельцу. Кроме того его анонимность иногда играет против самого смысла сервиса, и на многих сервисах его из-за этого блочат. Предположим, что нужно получить доступ к легитимной, но неугодной правительству информации, и по возможности общатся там. Как? Идея такова: Часть-1, клиентская, client) Плагин для популярных браузеров, который включает только для списка вебсайтов HTTP connect proxy через stunnel, который облегчит включение данной фичи для избранного контента. Ибо основные пользователи такой штуки - люди не очень компьютерно грамотные. Часть-2, для активистов, подобие tor exit node, из других стран, назовем relay Софт - http connect proxy over ssl, который открывает доступ на сайты выполняющие определенное условие и добавляющий в CONNECT host:port HTTP/1.0 - стандартный хеадер X-Forwarded-by, и пищущий в лог, откуда был коннект, когда и куда. Ибо посетитель для сайта анонимным _не будет_, так как основная беда tor exit нод, что люди творят через них всякие безобразия. Т.е. владелец relay в случае если через него сделали что-то криминальное - сможет найти концы. Конечно в этом случае возможны и relay - стукачи, но контент неизвестен, и владелец relay, если не боится - может заявить, что дескать я такой-то такой-то, если доверяете, ходите через меня, ну и еще попросить денег на поддержание ноды. Релей ноды могут быть приватными, ибо к примеру китайское правительство сканирует тор ноды на полном автомате и блочит их достаточно быстро. После соединения client с relay по TLS, relay соединяется на точку назначения просто по TCP, но клиент уже самим браузером запускает TLS канал с сайтом назначения, дабы relay нода не совала нос в контент. Часть-3, поддержка со стороны сайта назначения. Все что требуется от сайта - работающий SSL/TLS сертификат подписанный обычным авторизованным центром с валидным именем хоста Common name, поднятый на нестандартный порт. Можно требовать по желанию сертификат определенного уровня, который требует валидации заказывающего. Зачем? Если скажем нелегальный контент можно поднять по быстренькому на хакнутом хосте, и разместить там в т.ч. педофильский контент, то на сертификат уже прийдется потратится, и где-то останутся хвосты от покупки сертификата. Зачем нестандартный порт? Таким образом хост выражает согласие с тем, чтобы к нему получали доступ таким способом, и хост может запретить постить через такой релей, или скажем будет отдельным способом логировать X-Forwarded-by, на случай действий нарушающих законы страны размещения или международные законы. Еще скажем сайт назначения может к примеру прятать даты отправки сообщения, если сообщения прошли через нестандартный порт, чтобы спецслужбы не нашли через relay-стукача отправителя сообщения, по паре сайт назначения + время. Таким образом: 1)Обходим блокировки 2)Вы относительно анонимны для правительства, но куролесить на сайте не получится, ибо ваш IP у сайта есть, и создать проблемы релей ноде - тоже сложновато. 3)Вы не сможете получить доступ к чему попало через релей ноду, только к сайтам которые выразили согласие на участие в проекте установкой нестандартного порта. 4)Параллельно СОРМ становится бесполезен, т.к. соединения через релей ноду могли идти куда угодно. Что думаете? Вставить ник Quote
Vimpel Posted July 11, 2012 Posted July 11, 2012 Справедливости ради, г-жа Мизулина, главный инициатор этого закона - депутат от СР. Вставить ник Quote
nuclearcat Posted July 11, 2012 Author Posted July 11, 2012 Как я говорил - я не доверяю ни оппозиции, ни депутатским карманным "оппозиционным" партиям, ни правительству. В первую очередь ставим международные законы, которые все таки эффективны против откровенно нелегальных сайтов, а "хотелки" местных царьков по блокированию неугодных должны быть побеждены. Вставить ник Quote
Прохожий Posted July 11, 2012 Posted July 11, 2012 В первую очередь ставим международные законы, которые все таки эффективны против откровенно нелегальных сайтов, Например? Вставить ник Quote
nuclearcat Posted July 11, 2012 Author Posted July 11, 2012 Например? http://articles.cnn.com/2012-03-08/world/world_europe_italy-pedophelia-arrests_1_pedophile-social-network-national-police?_s=PM:EUROPE Я думаю стоит обсудить, в особенности уязвимые места, в случае всеобщего одобрения, если закон примут, можно приниматься за работу. Я скажем мог бы взять на себя часть, но помимо GUI и плагинов к браузеру. Update: закон приняли. Так что обсуждаем и принимаемся за работу :) Вставить ник Quote
Прохожий Posted July 11, 2012 Posted July 11, 2012 http://articles.cnn....ce?_s=PM:EUROPE Я тебя просил ссылку на эффективные МЕЖДУНАРОДНЫЕ ЗАКОНЫ. А ты что прислал? Вставить ник Quote
nuclearcat Posted July 11, 2012 Author Posted July 11, 2012 Прохожий, поищите самостоятельно, думаю адрес гугля знаете, "international cooperation against" и подставьте нужное слово подставьте, терроризм там, или еще что. Не включайте дурака, сайты с педофилами, террористами не живут долго, вы это и сами прекрасно знаете. И чтоб их закрыть, если они очевидно нарушают закон - отдельный закон в РФ - не нужен. Вставить ник Quote
Gull Posted July 11, 2012 Posted July 11, 2012 самый простой вариант - VPN в другую страну для оригиналов есть i2p Вставить ник Quote
nuclearcat Posted July 11, 2012 Author Posted July 11, 2012 Gull - обычные люди VPN пользоваться не умеют, слишком сложно. Должно быть не сложнее установки плагина для браузера. Кроме того если просто VPN, то желающему попасть на ресурс надо или его покупать, или тот кто раздаст vpn нахаляву будет вынужден пропускать кучу траффика, и рисковать тем, что через его VPN сделают что-то противоправное на сайте назначения, и ему потом ввалят. I2P - анонимайзер, как и tor, с вытекающими, все таки противоправная(по общепринятым нормам) деятельность должна пресекаться. Например если отправят сообщение о заложенной бомбе, или фотки с педо-контентом. Вставить ник Quote
Прохожий Posted July 11, 2012 Posted July 11, 2012 Прохожий, поищите самостоятельно, думаю адрес гугля знаете, "international cooperation against" и подставьте нужное слово подставьте, терроризм там, или еще что. Интерпол что ли? Господи, я-то думал действительно есть какое-то законодательство... Не включайте дурака, сайты с педофилами, террористами не живут долго, вы это и сами прекрасно знаете. И чтоб их закрыть, если они очевидно нарушают закон - отдельный закон в РФ - не нужен. Вам чего нагуглить? Выбирайте тему! А лучше сами."Долго не живут", ага, ну-ну. Каждая успешная операция пиарится до небес. Выловили из пруда одну лягушку. Было там их несчитано, а стало - несчитано минус одна! ;) Вставить ник Quote
Horgi Posted July 11, 2012 Posted July 11, 2012 Итак, ЕР в очередной раз подложило сюрприз, пока еще потенциальный, но реально маячащий. В связи с этим, я подумал, а как же защититься от этой напасти? Что думаете? не с того конца думаешь. закон разрабатывали технические бараны, и банальные лозунгисты "за ради одной слезинки ребенка"(С)КО. надо просто продемонстрировать это всем со всей очевидностью. например - делаешь демо-сайт со всем что там запрещено вне пределов РФии(штоп карму не портить, вешаешь вверху варнинг) добиваешься внесения в лист. А после устраивается веселое трололо на гос-операторских или опсосных подключениях с требованием исполнить закон и убрать эту гадость из интернета. Пусть уже идут и строят свой интернет с блекджеком и ***ми, а из нашего валят нах, и детей своих пусть с собой забирают, потому как ребенок выросший в пеленках - таким же дебилом как и родители вырастет. Ищо интересно потролить - если закон для защиты детей, то можно провайдеру ввести тарифы с доступом только для взрослых? Вставить ник Quote
Macil Posted July 11, 2012 Posted July 11, 2012 Зачем раньше времени кипешиться? Еще ничего не подняли, еще не попилили миллиарды, а ты уже пугаешься. Будут ради тебя провайдеры расчехлять свои DPI, как же. DPI денюжков стоят, и покупались не для обслуживания взбрыков государства. Вот DNS свой травить, это куда не шло. Для начала. А потом будет тривиальная двухуровневая система "британского" образца: если IP засветился, то пустить через прокси для более тонкой фильтрации. Ну может через HTTP/302, хотя ненадежно это. И будет там содержаться несколько тысяч сайтов. Плохо что мы будем кормить еще одну порцию бездельников. На этот раз из "Лиги безопасного интернета". Как утверждают новости, будет какая-то "некоммерческая организация", которая этот блеклист будет вести. Да и очередные миллиарды из бюджета улетят на ветер. А вообще, запасаемся поп-корном, и смотрим очередную серию трагикомического блок-бастера "Гора родила мышь 100500". Вставить ник Quote
karpa13a Posted July 11, 2012 Posted July 11, 2012 юзайте ипев6-онли доступ. памяти много в рутерах не бывает) Вставить ник Quote
nuclearcat Posted July 11, 2012 Author Posted July 11, 2012 Зачем раньше времени кипешиться? Еще ничего не подняли, еще не попилили миллиарды, а ты уже пугаешься. Блокировка актуальна не только у нас. Почему бы не помочь людям? Будут ради тебя провайдеры расчехлять свои DPI, как же. DPI денюжков стоят, и покупались не для обслуживания взбрыков государства. Ради меня - уж точно нет. Предложенную систему станет слишком тяжко фильтровать, провайдеры будут стопроцентно брыкаться. А вот черный список - легко, как вы сами сказали DNS, ip-шники - прийдется. Причем если блокировать на входах-выходах, это не так и сложно, роуты в null завести. Вставить ник Quote
Ivan_83 Posted July 12, 2012 Posted July 12, 2012 hidemyass.com чем не устраивает? :) И ещё сотни вебпрокси и хттп прокси с их сайта. Плюс сканер на 80/8080 по провайдерским пулам в поисках роутеров с дефолтным паролем, и дальше там выставление форвадинга куда нужно... А если будут зажимать - то нужно строить полностью анонимную криптованную п2п сеть поверх протоколов 3-4 уровня, и пофик что траф будет ходить кругами. Вставить ник Quote
Totoshka Posted July 12, 2012 Posted July 12, 2012 обычные люди VPN пользоваться не умеют, слишком сложно. Должно быть не сложнее установки плагина для браузера. Для обычных людей интернет состоит из одноклассников, вконтакте и яндекса. Им ваши плагины совершенно без надобности. Есть люди необычные - эти полезут в прокси, tor, i2p, vpn. А вообще как мне кажется, всё это ерунда. Тащите дусторонний спутниковый линк из европпы и будет вам счастье. Вставить ник Quote
joymann Posted July 12, 2012 Posted July 12, 2012 тащите спутник, ага... они скоро проголосуют за регистрацию пишущих машинок и начнут подбрасывать их на чердаки Вставить ник Quote
nuclearcat Posted July 12, 2012 Author Posted July 12, 2012 hidemyass.com чем не устраивает? :) И ещё сотни вебпрокси и хттп прокси с их сайта. Плюс сканер на 80/8080 по провайдерским пулам в поисках роутеров с дефолтным паролем, и дальше там выставление форвадинга куда нужно... А если будут зажимать - то нужно строить полностью анонимную криптованную п2п сеть поверх протоколов 3-4 уровня, и пофик что траф будет ходить кругами. Все должно быть надежно и просто для обывателя(плагин, который направит только заблокированные ресурсы в релей, в то же время ненапряжно для владельца релея(логи и доступ только на сайты которые согласны). Кстати релеи можно ставить и на хакнутые хосты, но таким сложно доверять. Для обычных людей интернет состоит из одноклассников, вконтакте и яндекса. Им ваши плагины совершенно без надобности. Запретный плод - сладок, особенно если он легкодоступен. Вставить ник Quote
Ivan_83 Posted July 12, 2012 Posted July 12, 2012 Владельцы сайтов вряд ли будут что то делать. Проблема заблоченного пользователя - его личная. Вебпрокси - самое простое, доступное даже рядовому обывателю. Вставить ник Quote
nuclearcat Posted July 12, 2012 Author Posted July 12, 2012 Если сайты политические, их основной контингент в РФ - то будут, если будет решение, и оно будет внятным для них. Вставить ник Quote
Ivan_83 Posted July 12, 2012 Posted July 12, 2012 Ещё раз. Предложенное вами, на мой взгляд, требует участия трёх сторон, эти стороны должны быть заинтересованны и предпринять определённые действия. Более того, не факт что эти условия устроят всех троих. Например абонент не захочет светить свой реальный адрес. Кто то не захочет подставляться нодой. Сайт не захочет покупать сертификат и попадать в анальное рабство госдепу, которое фактически всю систему корневых серверов держит, или просто денег нет. С веб и хттп проксями всё сильно проще. И наверняка есть уже готовые плагины которые тянут списки хттп проксей автоматом и используют. Вставить ник Quote
Прохожий Posted July 12, 2012 Posted July 12, 2012 nuclearcat, не суетись под клиентом ;) Технически все перекрыть невозможно, и ты это прекрасно знаешь. Это раз. Напринимали законов, ну, молодцы, законотворцы. Юридические механизмы всякие шизоидные. Ну а технически это ничем не поддержано, так что пусть балуются. Вставить ник Quote
20Ilya Posted July 12, 2012 Posted July 12, 2012 В природе был плагин для Фокса, который часть заблоченный амерами торрент-сайтов (отобрали домены, показывали на них варнинг и их фирменного орла) в 2009 примерно году перехватывал ДНС запросы и отдавал ИП, которые эти сайты сообщали в сторону плагина... Домен отобран, но для "избранных" ничего работать не переставало ;) Что это именно и как называется - не помню... ЗЫ. перехватывал ДНС запросы только к тем сайтам, которые сообщили об этом плагинописателю... Да и создавался плагин изначально чисто под конкретную проблему... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.