Казахстан: дважды на одни грабли-2

Dec. 19th, 2020 11:33 am
beldmit: (Программизм)
[personal profile] beldmit
Казахстан в начале декабря опять попытался устроить MITM национального масштаба. В этот раз новый корневой сертификат ведущие браузеры выпилили за 2 недели, а не за месяц.

Уже не в первый раз слышу аргумент "ну ок, выпилили корневой сертификат из браузера - сделаем свой браузер".

Сделаете вы свой браузер. Собирать Мозиллу или Chromium научиться можно, хотя лично я бы этим предпочёл не заниматься, потому что выяснится, что там по 100500 нетривиальных деталей, которые сами разработчики обложили костылями и давно забыли. Но самое интересное тут только начнётся.

Дальше правительству Нагонии и Гориваса придётся обеспечить установку этого добра на все компы и смартфоны. Да, и на тот телефон с Android 6.0 от давно покойной фирмы "Noname Inc" с уставным капиталом 10 юаней. И много куда ещё. Иначе 30% пользователей без любимого YouTube на вас тупо обидятся, даже если они сознательные граждане. В общем, придётся искать баланс между геморроем в разработке и поддержке и долей обиженных пользователей.

При этом Apple, Google и Microsoft вам способствовать в установке этого поделия не будут, а скорее наоборот.

Короче, лояльное население обидится, нелояльное будет сидеть через Tor, ну и сколько-то денег уйдёт. С другой стороны - может, тех денег на что-то более вредное не хватит...
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2020-12-19 11:20 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Про собирание мозиллы и хромиума надо у [personal profile] avnik спросить. Он этим занимается в своем Nix. На ряду с парой сотен других пакетов. И ничего. С другй стороны вот лично я собираю v8 под хренову кучу дистрибутивов linux (ради plv8). v8 конечно, не весь Chromium, но по-моему достаточно большая его часть, чтобы хуже уже не было. А к февралю, глядишь и под винду сподоблюсь собирать.

Date: 2020-12-19 08:22 pm (UTC)
beldmit: (Манул)
From: [personal profile] beldmit
Я подозреваю, что у него (и у тебя) это отлаженная система, которая содержит некоторое количество тайного знания, которое туда попало в процессе отладки. И дальше вопрос, насколько шевелится код.

Date: 2020-12-19 03:41 pm (UTC)
gegmopo4: (Default)
From: [personal profile] gegmopo4
Ну, деньги-то уйдут не в воздух, а в чей-то карман. Для чего и пилят.

Date: 2020-12-19 08:23 pm (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Это конечно...

Date: 2020-12-19 04:38 pm (UTC)
brmail: (Default)
From: [personal profile] brmail
вы воспринимаете ситуацию как оно должно быть. А поступят как проще. Оно просто перестанет коннектится вовне казахстана и не начнет обратно, пока юзеры не поставят себе "правильный браузер". С песней и строем. А за всякие противные vpn и прокси будут как в китае - карать сильно и эффективно.

Date: 2020-12-19 08:57 pm (UTC)
livelight: (Default)
From: [personal profile] livelight
А каким образом при наличии правильного браузера оно таки начнёт коннектиться? И можно ли это эмулировать?

Date: 2020-12-19 09:24 pm (UTC)
brmail: (Default)
From: [personal profile] brmail
А что, установка в систему "правильного" сертификата во время установки браузера это проблема? Этакая фигня во многих корпоративных системах легко организована, почему это будет проблемой в масштабах страны?

Date: 2020-12-19 09:31 pm (UTC)
livelight: (Default)
From: [personal profile] livelight
Я про другое спрашиваю: как отрубить все коннекты вовне из неправильных браузеров, оставив притом коннект из правильных, и можно ли имитировать для фаервола желаемые им свойства правильного?

Date: 2020-12-19 10:19 pm (UTC)
brmail: (Default)
From: [personal profile] brmail
подменой DNS адресов на уровне провайдера, и блокированием ip адресов при попытки их прямого использования. Тут изобретать ничего не надо - все именно так работает в корпоративных системах, которые ограждают служащих от использования всяких вконтакте и гмейлов во время работы.
Да, естественно это подразумевает, что провайдеры находятся под контролем. Но это как раз дело плевое.
Edited Date: 2020-12-19 10:21 pm (UTC)

Date: 2020-12-20 11:52 pm (UTC)
drraug: (Default)
From: [personal profile] drraug
ну тащемта старлинк для того и делают

Date: 2020-12-21 12:25 am (UTC)
brmail: (Default)
From: [personal profile] brmail
да брось, показательно посадят десяток человек лет на пять, после запрета использования этого чуда на определенной территории, и все сразу решится - старлинк есть, но не применим.

Date: 2020-12-19 11:59 pm (UTC)
ufm: (Default)
From: [personal profile] ufm
Никогда не интересовался - а в случае МИТМ к гуглу и прочим - обязательно в сторону абонента по HTTPS отдаваться?

Date: 2020-12-20 10:16 am (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Чтобы отдаваться не по HTTPS, придётся дополнительно извращаться

Date: 2020-12-20 04:06 pm (UTC)
ufm: (Default)
From: [personal profile] ufm
Если обмен трафиком по https не захардкожен (в том числе и на уровне браузера) - то не вижу преград. Даже наоборот - нагрузка на точку в которой МИТМ делается будет ниже, так как не нужно шифровать трафик идущий в сторону абонента.

Date: 2020-12-21 12:27 am (UTC)
brmail: (Default)
From: [personal profile] brmail
я несколько не понимаю, это как бы гипотетический вопрос? попробуй например сейчас открыть UI гмейла без https, получится?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

beldmit: (Default)
Dmitry Belyavskiy

December 2025

S M T W T F S
 123456
78910111213
14151617181920
2122 2324252627
28 29 3031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 30th, 2026 06:45 am
Powered by Dreamwidth Studios