Post ABORTB3ACFlujd1CAS by vegan@mastodon.ml
(DIR) More posts by vegan@mastodon.ml
(DIR) Post #ABMY4njXXusEpiF9d2 by weter@mastodon.social
2021-09-14T09:09:55Z
0 likes, 0 repeats
Блокировка DNS серверов Google и протокола DoH — реально? возможно? Подробности по ссылке: https://www.rbc.ru/technology_and_media/14/09/2021/613f65449a7947e495313ed5А какие альтернативные DNS-серверы вы знаете/используете?
(DIR) Post #ABMY4oIzQ7EKbepSsq by sss@pleroma.dark-alexandr.net
2021-09-14T20:01:20.311033Z
0 likes, 0 repeats
@weter стандартный udp/tcp 53 не шифруется и сделать митм тривиально, многие isp это используют уже очень давно, можно сказать даже больше, у большинства до сих пор это "самый действенный" метод блокировок.что же касается https, то до tls13 во время хэндшейка в одном из первых пакетов есть не шифрвоанное поле sni, где в нешифрвоанном виде записан как минимум домен который к которому нужно подключиться, есть и другие метаданные, к вышеперечисленному так же можно добавить варварские блокировки по ip маскам
(DIR) Post #ABMYJCeRhOP6AVjCAS by sss@pleroma.dark-alexandr.net
2021-09-14T20:03:56.779218Z
0 likes, 0 repeats
@weter P.S. новость по ссылке - просто пошуметь, никакой технической функциональености это не будет нести.
(DIR) Post #ABMcBGTQ0JOZWT2YOe by iron_bug@friendica.ironbug.org
2021-09-14T20:22:56Z
0 likes, 0 repeats
так так оно, конечно. но вот этой фигни становится всё больше и больше с каждым днём. маразм постепеннно нарастает. конечно, мы технически можем обойти любой маразм. но реально всё это создаёт проблемы для людей на ровном месте и изрядно раздражает айтишников.
(DIR) Post #ABMcBH3voYbPLi7iJE by sss@pleroma.dark-alexandr.net
2021-09-14T20:47:18.635168Z
0 likes, 0 repeats
@iron_bug @weter конкретно по данной новости это вобще фэйк, на сколько я понял это были внутренние распоряжения внутри роскомпозора по поводу того что надо балансировать dns трафик на локальные кэши, для персонала, а не о запретах использования чего либо, что кстати вполне разумно.
(DIR) Post #ABMcRyYXsD4MsNPHDk by linuxoid@mastodon.ml
2021-09-14T09:26:30Z
0 likes, 0 repeats
@weter я в конфигурации вбивал явные Гугл DNS'ы.Ну ничего: перейду на посконные:https://dns.yandex.ru/
(DIR) Post #ABMcRz5rsJiyXiztA0 by rubyn@expired.mentality.rip
2021-09-14T10:43:14.405046Z
0 likes, 0 repeats
@linuxoid @weter я на выходных буду свой dns поднимать, пришло время, да
(DIR) Post #ABMcRzexlpnUIZPurY by linuxoid@mastodon.ml
2021-09-14T13:59:51Z
0 likes, 0 repeats
@rubyn @weter надо там записи ещё хранить на долгий срок.Фактически архив ДНС бы не помешал...
(DIR) Post #ABMcS0DhgfaQ2Jff0q by iron_bug@friendica.ironbug.org
2021-09-14T20:27:37Z
0 likes, 0 repeats
если бы всё это было статическим... в сети много динамических адресов, geoip, BGP и прочих полезных вещей, которые делают сеть удобнее и быстрее. прибитый гвоздями интернет будет очень, очень неторопливым.есть вариант сваливать на gemini и иже с ним. но не всё туда можно перетащить. и они даже там будут гадить. они ведь не успокоятся. нормальный человек давно бы уже понял, что делает что-то не то и так делать не надо. но в том-то и проблема, что там не нормальные люди.
(DIR) Post #ABMcS0nVXYE5pMQFou by linuxoid@mastodon.ml
2021-09-14T20:33:39Z
0 likes, 0 repeats
@iron_bug @weter @rubyn /etc/hosts - наше всё
(DIR) Post #ABMcS1LXV1RrWuLQrg by sss@pleroma.dark-alexandr.net
2021-09-14T20:50:18.836953Z
0 likes, 0 repeats
@linuxoid https://pleroma.dark-alexandr.net/@sss/posts/ABMY4bCqNynugRWtTk
(DIR) Post #ABMcoWZy3csGlcp9Wq by sss@pleroma.dark-alexandr.net
2021-09-14T20:54:25.675105Z
0 likes, 0 repeats
@linuxoid тоесть редактирования локальных записей о днс серверах вобще ничего не значит, как только трафик ушел с твоей машины, destination перезаписывается, ну и в ответах которые тебе риходят от isp перезапиывается source , на этом всё, еще внутри данных там есть поле с адресом ответчика + crc, подделывается тривиально, как я уже писал, многие isp используют этот метод уже очень давно, это собственно не секрет.
(DIR) Post #ABMiZUche9Ve5AJqU4 by iron_bug@friendica.ironbug.org
2021-09-14T21:18:51Z
0 likes, 0 repeats
что касается "блокировки" шифрованных протоколов - это блеф, конечно. заблокировать не заблокируют, но нагадить они всё равно могут. как обычно, короче говоря.
(DIR) Post #ABMiZVBRYzIZouZadM by sss@pleroma.dark-alexandr.net
2021-09-14T21:58:55.264715Z
0 likes, 0 repeats
@iron_bug @weter на самом деле всё идет семимильными шагами к вайтлистам и гос митму, причсем по всему миру, как это не печально, тоесть если проще - всё что не разрешено - запрещено, и реализовать это технически не сложно (относительно).
(DIR) Post #ABNRDnKltagBgAxXwe by iron_bug@friendica.ironbug.org
2021-09-15T06:10:34Z
0 likes, 0 repeats
уже года три как есть encrypted sni. это не стандартная фича tlsv1.3 (хотя, может, уже и да), но включить её можно и крупные хостеры и провайдеры её используют. но да, для этого нужен нормальный DNS. так что наладить DNS важно в первую очередь. а всё остальное сейчас в сети работает вполне себе безопасно. и, главное, новые протоколы только повышают безопасность. так что борьба дикарей с цивилизацией окончится поражением дикарей.
(DIR) Post #ABNRDnxPZvaVc12PAm by sss@pleroma.dark-alexandr.net
2021-09-15T06:19:13.241041Z
0 likes, 0 repeats
@iron_bug @weter вот не уверен, интернет уже давно начал разваливаться на сегменты, и перестал быть интернетом в изначальном смысле, и процесс этот набирает обороты, между прочим тут всем у китая поучиться надо, то что в росии делают на фоне китая смешно просто, еще можно обратить внимание на законодательство бритов касательно информации и сетей, там тоже много интересного...
(DIR) Post #ABOQCogVU16smZ3VOS by weter@mastodon.social
2021-09-15T10:35:09Z
0 likes, 0 repeats
@sss @iron_bug @linuxoid Нет, это не фейк. Посмотрите вот это документ.
(DIR) Post #ABOQCpXgIJe1RTvyHA by sss@pleroma.dark-alexandr.net
2021-09-15T17:42:34.198692Z
0 likes, 0 repeats
@weter ну прапвильно, не раздавать гугл днс по DHCP во внутренних сетях, не рекомендовать пользователям гуглоднс как золотую пилюлю от всех проблем с DNS, это совершенно НОРМАЛЬНЫЕ и ПРАВИЛЬНЫЕ рекомендации, да и запретить рекомендовать в службе техподдержки, а не запретить использовать.собственно только подтверждает что новость фэйк
(DIR) Post #ABORTB3ACFlujd1CAS by vegan@mastodon.ml
2021-09-15T08:28:56Z
0 likes, 0 repeats
@iron_bug а этот eSNI какой-то софт поддерживает?я помню, когда Mozilla и Cloudflare только завезли его, всё работало, я проверял.Сейчас в Firefox ESR eSNI уже не работает, по непонятным причинам, а в Firefox Stable он уже выпилен (похоже) в пользу следующего стандарта - ECH (encrypted client hello).Только поиск мне не помог найти DNS-сервер, поддерживающий ECH.я бы захостил у себя такой.@sss @weter
(DIR) Post #ABORTBdg0UykYs6M52 by sss@pleroma.dark-alexandr.net
2021-09-15T17:56:42.838328Z
0 likes, 0 repeats
@vegan @iron_bug @weter https://blog.mozilla.org/security/2021/01/07/encrypted-client-hello-the-future-of-esni-in-firefox/ - вместо того чтобы уходить от dns, они делают еще больше днса, ну не идиоты ?"ECH also changes the key distribution and encryption stories: A TLS server supporting ECH now advertises its public key via an HTTPSSVC DNS record, whereas ESNI used TXT records for this purpose. Key derivation and encryption are made more robust, as ECH employs the Hybrid Public Key Encryption specification rather than defining its own scheme. Importantly, ECH also adds a retry mechanism to increase reliability with respect to server key rotation and DNS caching. Where ESNI may currently fail after receiving stale keys from DNS, ECH can securely recover, as the client receives updated keys directly from the server."это всё .....
(DIR) Post #ABORTCrXSRf4M9awKG by vegan@mastodon.ml
2021-09-15T08:41:20Z
0 likes, 0 repeats
@iron_bug @sss @weter в общем да, из Firefox Stable выпилили eSNI (https://blog.mozilla.org/security/2021/01/07/encrypted-client-hello-the-future-of-esni-in-firefox/) , а ECH , как пишут на реддит, ещё никем не поддерживается.
(DIR) Post #ABORYZzWtOurXMtWVs by iron_bug@friendica.ironbug.org
2021-09-15T17:55:06Z
0 likes, 0 repeats
я уже выше писала, что был опубликован документ от этих придурков. это не фейк. хотя по степени маразма в этой стране уже нельзя отличить фейки от не-фейков. и да, при выборе между Гуглом и товарищем майором я лучше выберу Гугл. и всем юзерам порекомендую. потому что там хотя бы понимают, что такое сети, и не пытаются заниматься подменой трафика.
(DIR) Post #ABORYabScNG1R0dodU by sss@pleroma.dark-alexandr.net
2021-09-15T17:57:42.952141Z
0 likes, 0 repeats
@iron_bug @weter а можно его тут опубликовать, если не сложно ?, потому что то что на скрине выше - рекомендации по раздаче не гуглового днс по dhcp
(DIR) Post #ABOSSIJ7pOtguMcwam by sss@pleroma.dark-alexandr.net
2021-09-15T18:07:46.900241Z
0 likes, 0 repeats
@vegan @iron_bug @weter тоесть на митм гейте достаточно отдать свой левый SvcParamKeys, а дальше им расшифровать clienthello , очень безопасно )
(DIR) Post #ABOUGDkL9yhPCBj9t2 by vegan@mastodon.ml
2021-09-15T18:18:13Z
0 likes, 0 repeats
@sss да, на реддит тоже отметили этот моментне знаю, спецификацию я не читал, может есть какие-то подробности там...@iron_bug @weter
(DIR) Post #ABOUGELuuGkz4jJASO by sss@pleroma.dark-alexandr.net
2021-09-15T18:28:00.008347Z
0 likes, 0 repeats
@vegan @iron_bug @weter мельком пробежался, через dns раздается паблик кей для шифрования всего блока clienthello, собственно подменить этот паблик ей свиом задача тривиальная, они ссылаются на щазиту в виде dnssec, dnssec тоже вырезается из dns пакетов тривиально, кроме того он нигде не используется принудительно, и опять же, это еще большая привязка к старому dns.
(DIR) Post #ABObNkcO2d5CqrXqam by iron_bug@friendica.ironbug.org
2021-09-15T19:28:21Z
0 likes, 0 repeats
https://www.securitylab.ru/news/524349.phpты Федивёрс-то читай, а то я не секретарь, вообще-то.
(DIR) Post #ABObNlBTw99ibhxsIK by sss@pleroma.dark-alexandr.net
2021-09-15T19:47:47.677536Z
0 likes, 0 repeats
@iron_bug @weter ну так правильно, я на этот документ и откоментировал https://pleroma.dark-alexandr.net/@sss/posts/ABOQCcHbr5HL1TzTOq
(DIR) Post #ABObSsUwAi4ejqVO88 by sss@pleroma.dark-alexandr.net
2021-09-15T19:48:44.894073Z
0 likes, 0 repeats
@iron_bug @weter там ведь про запрет использования пользователями не написано ничего, там написано про запрет сотрудникам рекомендовать это как решение всех проблем с днс, и про запрет раздачи его по dhcp, и то и другое вполне разумно.
(DIR) Post #ABObiaOvDvzpFFBKym by iron_bug@friendica.ironbug.org
2021-09-15T19:45:23Z
0 likes, 0 repeats
я не без оснований полагаю, что они ведут подготовку к Чебурнету. потому что никакими здравыми соображениями такое распоряжение не объяснить. и мне это особенно очевидно, потому что я сама писала серверы DNS и я могу себе представить, какая жопа начнётся, если все юзеры пойдут на их корявый сервер и он рухнет. а это так и произойдёт, вот в этом я не сомневаюсь ни грамма.
(DIR) Post #ABObidbnIX4jC2E9xY by sss@pleroma.dark-alexandr.net
2021-09-15T19:51:32.912729Z
0 likes, 0 repeats
@iron_bug @weter ну, по хорошему на каждый сегмент сети должен быть свой кэш, и тогда ничего не рухнет, использовать локальные кэши тоже вполне здравый шаг, собственно почти все isp это делают уже очень давно
(DIR) Post #ABOd8eIJTEwins59iS by iron_bug@friendica.ironbug.org
2021-09-15T20:00:17Z
0 likes, 0 repeats
кэширование - это хорошо. тут никто ничего против не скажет. ненормально пытаться закуклить децентрализованный протокол на какие-то колхозные сервера у себя в подвальчике.
(DIR) Post #ABOd8exmz27gsVUHMe by sss@pleroma.dark-alexandr.net
2021-09-15T20:07:29.323044Z
0 likes, 0 repeats
@iron_bug @weter ну вот прочитав документ по ссылке, я сделал вывод что это рекомендация внутренняя для сотрудников котнторы и суть её заключается в том что они должны использовать локальный кэш вместо глобальных серверов, и мне это не кажется чем то не правильным, опять же, читая документ со скриншота, я не вижу в нем каких либо запретов касающихся конкретно пользователей.