Безопасность, удобство и РКН

[beldmit]

Итак. Есть система блокировок по URL. При доступе к сайтам по https блокируется весь сайт, потому что отделить легитимный URL от нелегитимного не получается.

Часть провайдеров для удобства пользователя пытается в такой ситуации не резать всю свинью из-за холодца, и предлагает свой сертификат, генерирует по сути MITM, и локализует блокировку. Если сайт не персонализирован, то оно в принципе и не страшно, пароли никуда не утекут. С интернет-банком такие вещи делать не надо.

Дальше. С 2013 примерно года, после казуса Diginotar, Google встроили в Chrome защиту от MITM. Особенно на свои, гуглёвые сайты.

Ещё дальше. На выходных РКН в попытке борьбы с Telegram заблокировал часть IP-адресов Google. Когда я пишу этот пост, по данным Фила Кулина, заблокировано 118 из 600 IP-адресов Гугля, отдающих контент на Россию.

Соответственно, если DNS отдаёт один из этих IP, то провайдер подсовывает MITM-сертификат, Chrome это видит и, несмотря на согласие пользователя, дальше не пускает.

Finita. Как водится, борьба за мир такая, что камня на камне не остаётся.

Comments

[nataraj]

Долго ль это будет продолжаться, знают только я и дядя Вася...

// Не смотря на строго выдержанный тон заметки цензурных комментариев у меня, простите, нет :-)

[yurikhan]

Для того, чтобы пускать пользователя на легитимные URL’ы через https хоть через левый сертификат, хоть через нюхание SNI, нужно, чтобы запрет в реестре был про доменное имя. А IP-адреса, в которые резолвится www.google.com, прямо сейчас забанены полностью.

[elglin]

Не скажу за IE/Edge, а вот FF тоже алертит на MITM, более того, если на сайте HSTS, то не даже не дает цапнуть "окей, согласен, но пустите все равно". У нас на работе "прозрачный прокси", который работает по тому же принципу MITM, так что я, например, сейчас через него пишу :).

[as_me]

> то не даже не дает цапнуть "окей, согласен, но пустите все равно".

Для Chrome должно сработать волшебное слово "thisisunsafe" ("badidea" в версиях до 65); и для FF, возможно, есть аналог.

[beldmit]

А куда это волшебное слово говорят?

This is unsafe! Bad idea, really!

[phd_ru]

В окно с ошибкой, как я понимаю: https://stackoverflow.com/q/35274659/7976758

[as_me]

Как чит-код, просто набирают на клавиатуре (при активном окне браузера).

[beldmit]

Спасибо!

[kouzdra]

Собственно а почему бы не взять Chromium и не отрубить в нем эту хрень просто в сорцах?

[yurikhan]

По-хорошему, в некотором другом месте нужно отрубать эту хрень в сорцах.

[beldmit]

В ДНК, ага.

[freya_victoria]

Почитала новости, местами прям взоржала:
"Мне кажется, что для чиновников сейчас единственно верное решение — это прекратить использование Телеги и перейти на другие средства коммуникации", — написал на своей странице в Facebook советник президента России по вопросам развития интернета Герман Клименко, добавляя, что сам он уже "убыл в ICQ".

Как одиноко ему там, наверно... :D