beldmit: (Любовь к ближним)
Dmitry Belyavskiy ([personal profile] beldmit) wrote2018-04-23 01:22 pm
  • Add Memory
  • Share This Entry
Entry tags:

Безопасность, удобство и РКН

Итак. Есть система блокировок по URL. При доступе к сайтам по https блокируется весь сайт, потому что отделить легитимный URL от нелегитимного не получается.

Часть провайдеров для удобства пользователя пытается в такой ситуации не резать всю свинью из-за холодца, и предлагает свой сертификат, генерирует по сути MITM, и локализует блокировку. Если сайт не персонализирован, то оно в принципе и не страшно, пароли никуда не утекут. С интернет-банком такие вещи делать не надо.

Дальше. С 2013 примерно года, после казуса Diginotar, Google встроили в Chrome защиту от MITM. Особенно на свои, гуглёвые сайты.

Ещё дальше. На выходных РКН в попытке борьбы с Telegram заблокировал часть IP-адресов Google. Когда я пишу этот пост, по данным Фила Кулина, заблокировано 118 из 600 IP-адресов Гугля, отдающих контент на Россию.

Соответственно, если DNS отдаёт один из этих IP, то провайдер подсовывает MITM-сертификат, Chrome это видит и, несмотря на согласие пользователя, дальше не пускает.

Finita. Как водится, борьба за мир такая, что камня на камне не остаётся.
Flat | Top-Level Comments Only
nataraj: (Default)

[personal profile] nataraj 2018-04-23 11:01 am (UTC)(link)
Долго ль это будет продолжаться, знают только я и дядя Вася...

// Не смотря на строго выдержанный тон заметки цензурных комментариев у меня, простите, нет :-)
yurikhan: (Default)

[personal profile] yurikhan 2018-04-23 11:17 am (UTC)(link)
Для того, чтобы пускать пользователя на легитимные URL’ы через https хоть через левый сертификат, хоть через нюхание SNI, нужно, чтобы запрет в реестре был про доменное имя. А IP-адреса, в которые резолвится www.google.com, прямо сейчас забанены полностью.
elglin: (Default)

[personal profile] elglin 2018-04-23 11:33 am (UTC)(link)
Не скажу за IE/Edge, а вот FF тоже алертит на MITM, более того, если на сайте HSTS, то не даже не дает цапнуть "окей, согласен, но пустите все равно". У нас на работе "прозрачный прокси", который работает по тому же принципу MITM, так что я, например, сейчас через него пишу :).

[personal profile] as_me 2018-04-23 03:20 pm (UTC)(link)
> то не даже не дает цапнуть "окей, согласен, но пустите все равно".

Для Chrome должно сработать волшебное слово "thisisunsafe" ("badidea" в версиях до 65); и для FF, возможно, есть аналог.

Edited 2018-04-23 15:25 (UTC)
beldmit: (Default)

[personal profile] beldmit 2018-04-23 07:28 pm (UTC)(link)
А куда это волшебное слово говорят?
phd_ru: (Default)

This is unsafe! Bad idea, really!

[personal profile] phd_ru 2018-04-23 08:50 pm (UTC)(link)
В окно с ошибкой, как я понимаю: https://stackoverflow.com/q/35274659/7976758

[personal profile] as_me 2018-04-24 01:44 am (UTC)(link)
Как чит-код, просто набирают на клавиатуре (при активном окне браузера).
beldmit: (Default)

[personal profile] beldmit 2018-04-24 07:15 am (UTC)(link)
Спасибо!

[personal profile] kouzdra 2018-04-23 11:39 am (UTC)(link)
Собственно а почему бы не взять Chromium и не отрубить в нем эту хрень просто в сорцах?
yurikhan: (Default)

[personal profile] yurikhan 2018-04-23 12:08 pm (UTC)(link)
По-хорошему, в некотором другом месте нужно отрубать эту хрень в сорцах.
beldmit: (Любовь к ближним)

[personal profile] beldmit 2018-04-24 07:15 am (UTC)(link)
В ДНК, ага.
freya_victoria: (Default)

[personal profile] freya_victoria 2018-04-25 04:40 pm (UTC)(link)
Почитала новости, местами прям взоржала:
"Мне кажется, что для чиновников сейчас единственно верное решение — это прекратить использование Телеги и перейти на другие средства коммуникации", — написал на своей странице в Facebook советник президента России по вопросам развития интернета Герман Клименко, добавляя, что сам он уже "убыл в ICQ".

Как одиноко ему там, наверно... :D

Flat | Top-Level Comments Only