(Добавить комментарий)

	cyberloh01 2017-12-03 00:25 (ссылка)
	а айпи по днс у тебя и там один и тот же выдётся? 192.155.89.253? (Ответить)

	wieiner_ 2017-12-03 00:31 (ссылка)
	сертификат бесплатный и две недели осталось, скорее всего поэтому. (Ответить)

	(Анонимно) 2017-12-03 00:33 (ссылка)
	зашёл через тор, вроде всё норм - Let's Encrypt, serial number 04:09:76:2D:3A:06:92:49:A4:6C:36:95:14:B2:01:B7:D3:CE (Ответить)

	zim 2017-12-03 00:37 (ссылка)
	нам всем пиздец, мишаня (Ответить)

	(Анонимно) 2017-12-03 00:38 (ссылка)
	если погуглить "Internet Widgits Pty Ltd", то результаты не из России в основном похоже, что это дефолтное значение где-то >instead, they'd used the default option for a self-signed certificate, "Internet Widgits Pty Ltd". http://blog.talosintelligence.com/2011/07/do-you-really-trust-that-certificate.html (Ответить)

	wieiner_ 2017-12-03 00:43 (ссылка)
	даже если не бесплатный, скорее всего контора маргинальная. напишите им в поддержку. (Ответить) (Ветвь дискуссии)

perfect_kiss 2017-12-03 01:23 (ссылка)

Саш let's encrypt это очень хорошая контора, вкрации поясню почему. много лет механизм цепочки доверия сертов абузился гэбэшниками, секрет полишинеля такой. понятно что принципиально цепочка доверия была выдумана американскими гэбистами, но выпускающие центры сотрудничают с секретной полицией любых государств, потому страдали люди везде. понятно, что умные хорошие эльфы давно пытались совершить комьюнити усилие, и запилить центр сертификации в обход основной цепочки (google: CACert), но усилие это всячески подавлялось, не выходило ничего как-то, постоянно дъявольские совпадения не давали проекту выстрелить. несколько лет (а именно в 2014) назад амеро гэбисты решили что позволять шифровать траффик диссидентам в гос-вах с авторитарным режимами важнее, нежели прослушивать своих олухов (которые и так поголовно уже сидят с троянами, встроенными прямо в железо), и появился let's encrypt (который развивали с 2012, но до 2014 плохо получалось); let's encrypt делает EFF вместе с Mozilla и в privacy policy у них написана следующая немыслимая для традиционных центров сертификации вещь: If we are required by law to disclose the information that you have submitted, we will attempt to provide you with prior notice (unless we are prohibited or it would be futile) that a request for your information has been made in order to give you an opportunity to object to the disclosure. We will attempt to provide this notice by whatever means is reasonably practical. If you do not challenge the disclosure request, we may be legally required to turn over your information. поэтому let's encrypt очень хорошие; конечно, амерам они сливают тоже всю инфу наверняка шлангом, но рашко гэбистам сольют вряд ли, EFF очень хорошая организация всё-таки. (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 02:46 (ссылка)
	>вкрации поясню почему. потому что состоит полностью из криворуких долбоёбов, сверху донизу, да. (Ответить) (Уровень выше) (Ветвь дискуссии)

	perfect_kiss 2017-12-03 05:01 (ссылка)
	других к проектам такой важности и не допустят, макака должна быть в состоянии запилить код по подробной спецификации, но недостаточно умна, чтобы впилить бэкдор для себя (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 05:21 (ссылка)
	угу. поэтому имеем эпические проёбы перед стартом, уровня первоклашки с приветмиром. но я, конечно, абсолютно верю, что те же самые люди, которые сделали такой проёб, свидетельствующий о полной профнепригодости, больше никогда‐никогда подобного не допустят. подумаешь, один раз не пидарас ведь, всегда security так работало. (Ответить) (Уровень выше) (Ветвь дискуссии)

	perfect_kiss 2017-12-03 05:47 (ссылка)
	А что они там сделали ? Генерили серты своей кривой наколеночной реализацией SSL, или просто пароли на фронт серваки придумывала жена сисодмина, и пару сбрутили и редиректнули десяток юзеров на гоатсе ? (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 06:25 (ссылка)
	мне лень опять это всё искать. как минимум — проёбывали мыла клиентов (тупая макака не ту кнопочку в гуе клацнула в рассылке, лол), и были детские проблемы с автоапдейтером сертификатов. ещё что‐то, кажется, точно не помню: мне, в общем, неинтересно, чем там выпускники пту для даунов занимаются. (Ответить) (Уровень выше) (Ветвь дискуссии)

perfect_kiss 2017-12-03 06:48 (ссылка)

если серьёзно. инфо сесурити практики в больших организациях всегда исходят из того факта, что люди ошибаются, а также подвержены коррупции, а ещё легко выдают любую информацию при применении довольно простых методов физического воздействия. и вылизываются хорошо, покрывая пространство возможностей наотличненько. потому большие компании серьёзно ломают редко, а если ломают серьёзно, это потому что у архитектора-дизайнера политик безопасности в голове (и, как следствие на бумаге и в документации) картинка всего многообразия обмена конфиденциальной инфой внутри организации не сложилась. А такое бывает только при выполнении одного из следующих 2х условий: организация либо растёт настолько быстро и динамично, что потоки обмена информацией просто не успевают покрываться нужными практиками безопасности; ну либо вышеозначенный архитектор-дизайнер долбоёб (на практике в больших организациях такое бывает только в постсовке правда, и то уже начинают отвыкать). Но большие организации быстро и динамично не растут. А вот стартапы всякие, особенно на публичном фандинге вроде let's encrypt, архитекторов-дизайнеров безопасников выделенных не имеют, поэтому инфо сесурити занимаются челы по совмещению с основной специализацией на проекте; а ещё сраные стартапщики в сраном сан франциско много работают (зачастую глупо и впустую), и бывает выгорают так, что падают в обморок прямо на клавиатуру в сраных душных офисах; а ещё многие стартапщики действительно заканчивают пту для даунов, или, например, попадают на проект потому, что хорошо умеют верстать, а потом в долине начинается хайп "full stack engineer", и версталы начинают работать над бэкендом авторизации... вполне естественно, что в таких условиях продукты сраных стартапов будут содержать ошибки и уязвимости. вообще по возможности пытайтесь избежать бытия стартапщиком или пересечений с таковыми. вот математики много лучше и приличнее: имеют много денег, связи в калабрийской мафии, ходят в дорогих костюмах, дают интервью lenta.ru. а стартапщику подойдёт и конура в общаге в чёрном квартале сан-хосе, которую он будет делить с тремя такими же, коротая вечера за просмотром techcrunch, вместо званых ужинов, премий и встреч с уважаемыми людьми. потом ещё удивляются, почему у них данные воруют, ага. (Ответить) (Уровень выше) (Ветвь дискуссии)

ketmar 2017-12-03 07:05 (ссылка)

>и вылизываются хорошо, покрывая пространство возможностей наотличненько. это было бы так, если бы инфосекурити действительно заведовали профессионалы, в работу которых никто не вмешивается. а на деле — как показывала куча исследований — простейшая подброшеная на стоянку флэшка мгновенно суётся в технику. а техника у какого‐нибудь босса средней руки всенепременно подключена к корпоративной сети, и засовывание флэшек с автостартом не заблокировано, потому что среднебоссу очень напряжны все эти «меры безопасности». поэтому он ультимативно потребовал сделать как ему хорошо, а не как безопасно. «большие конторы» не ебёт только очень ленивый. а если большую контору выебали, и это заметили — то большая контора постарается этот факт максимально умолчать, так что Широкая Общественность может и не узнать, что кого‐то raped. (Ответить) (Уровень выше) (Ветвь дискуссии)

perfect_kiss 2017-12-03 07:26 (ссылка)

https://cloud.google.com/security/security-design/resources/google_infrastructure_whitepaper_fa.pdf вот эту штуку ты наверняка читал же (изложение маркетинговый булшит конечно но за ним скрываются тысячи реальных внутренних практик) у реально технологичных ребят у всех подобно организовано. чувак который вставляет флэшку он просто пришелец из 20го века, ретроград, ну вроде Путина. (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 07:32 (ссылка)
	так, поржать. это, на минуточку, ребята, специализирующиеся на security были. (Ответить) (Уровень выше) (Ветвь дискуссии)

perfect_kiss 2017-12-03 07:56 (ссылка)

> For example, unlike Gamma Group, their customer support site needed a client certificate to connect. What they had was their main website (a Joomla blog in which Joomscan[2] didn't find anything serious), a mail server, a couple routers, two VPN appliances, and a spam filtering appliance. Чёто как то забавно, хакеры-хуякеры, роутеры торчат прямо в сеть. Ну понятно, что за журналистами другие шпионить и не будут. Руткиты писать и в сетях шаманить это кстати два разных навыка, может их руткиты писать в пту для даунов научили, а ipsec настраивать через гейт в облаке не научили. Но их тоже там 40 человек всего, типичные стартаперы же, только итальянские, эти могут и с калабрийской мафией связи особо тесные иметь, математикам носы хоть в чём-то утрут. (Ответить) (Уровень выше)

perfect_kiss 2017-12-03 05:53 (ссылка)

В EFF кстати исторически кодеры криворукие, это потому что там не умняша Столлман рулил, а всякие гуманитарии типо укурка Джона Перри Барлоу; наверняка совершивший проёб сисодмин/кодер был из EFF, отвисал под грибами вместо того чтобы маны читать. Но в плане чистоты идеологии конечно EFF на уровне Столлмана и пропаганда у них прикольная, и логотип клёвый: (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 06:26 (ссылка)
	вот людям сильно легче будет от того, что ебанашка не злонамеренная, а Идеологически Чистая. (Ответить) (Уровень выше) (Ветвь дискуссии)

	perfect_kiss 2017-12-03 06:53 (ссылка)
	Но ведь ебанашки будут всегда, всегда будут как ломать умышленно, так и сливать по тупости, пока есть сети для обмена информацией, разделяемые кучей разных людей и организаций, эта хуйня не исчезнет. (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 07:07 (ссылка)
	именно поэтому централизованые системы с «довереными узлами» никогда и не будут работать. (Ответить) (Уровень выше) (Ветвь дискуссии)

	perfect_kiss 2017-12-03 07:58 (ссылка)
	всё "работает" и всем норм, а ты тссс! не хочешь в эквадорское посольство часом погостить ? (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 08:00 (ссылка)
	а мне давно всё можно, Там знают, что я диванный экстремист, сам ничего делать не буду, и никто меня не слушает. удобно. (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 10:56 (ссылка)
	Поебитесь вы уже (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 00:52 (ссылка)
	Странно. Но у меня защищенное соединение в опере через vpn и в последнем фаерфоксе (тож через vpn). Сертификат действителен по 18 февраля 2018 г. Могу скрины выложить. Может Дима Б. что-то в настройках браузера переборщил? (Ответить)

	(Анонимно) 2017-12-03 00:58 (ссылка)
	Не знаю, у меня через прокси всё норм, а у того МТС провайдер, не надо вообще обращать внимание на жалобы пользователей с русским, снговским, украинским и бывшеюгославским айпи - они вообще ничего должны не видеть (Ответить)

	madfrequency 2017-12-03 01:02 (ссылка)
	в 2х браузерах проверял - везде стои Let's Encrypt со сроками действия с 20.11.2017 по 18.02.2018. Там либо гебня что-то опробирует, какую-нибудь Man in the middle с подменой серта, либо Беломестнов дятел. Сам усматриваю в разы больше первое. (Ответить) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 01:07 (ссылка)
	>в 2х браузерах проверял - везде стои Let's Encrypt со сроками действия >с 20.11.2017 по 18.02.2018 аналогично (Ответить) (Уровень выше)

	anti_myth 2017-12-03 01:30 (ссылка)
	От дятла слышу. Не я писал эти браузеры. И, похоже, не только я наблюдаю эту штуку: https://lj.rossia.org/users/autist/5944.html (Ответить) (Уровень выше)

perfect_kiss 2017-12-03 01:03 (ссылка)

Что первое пришло в голову: таки завернули весь DNS трафик на свои сервера, отрабатывали такое в 2014 ещё, и сразу подходящая новость нашлась: В 2014 году Минкомсвязи проводило учения по устойчивости Рунета к внешним угрозам, на которых проверялась возможность нарушений в системе адресации, рассказывал ранее в интервью газете «Коммерсантъ» Алексей Платонов, гендиректор компании ТЦИ. «По условиям учений сеть DNS работала неадекватно из-за того, что информацию о домене.ru убрали из базы данных ICANN. ТЦИ, MSK-IX и другие телекоммуникационные компании должны были сохранить работоспособность национального сегмента интернета, естественно, на уровне модельной сети», — излагал Платонов условия учений. Он отмечал, что при наличии в России «зеркала» корневого DNS-сервера можно добиться того, чтобы система продолжала работать: «То есть ICANN убирает информацию о домене с корневых серверов, но на нашем сервере она сохраняется. И если весь российский интернет замкнуть на этот сервер, то все будет работать, как и работало. Именно это на учениях и отработали». Но речь шла не о постоянном функционировании системы, а о чрезвычайной ситуации, уточнял один из участников учений. Разумеется, работать по задумке минкомсвязи это должно наоборот, просто убирать со своих серверов будут то, что б-гомерзский ICANN распространяет на погибель русской земли, или выдавать айпи адреса своих honeypots. Проверить гипотезу просто: ребята у кого проблемы с доступом попробуют скачать и установить dig, и выполнить такую команду: dig +trace lj.rossia.org чтобы посмотреть куда ходит DNS трафик и вот такие две вдобавок: ping 8.8.8.8 ping 8.8.4.4 чтобы проверить, не порезали ли доступ к нормальным ДНС серверам. результаты можно запостить сюда. (Ответить) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 01:16 (ссылка)
	такая вот хрень ещё есть в сети, которая детектит, какие днс сервера реально используются клиентом: www.dnsleaktest.com (Ответить) (Уровень выше)

	cyberloh01 2017-12-03 01:40 (ссылка)
	вижу так: для амеров рашка - поле экспериментов. Зачем у себя проверять и думать если за тебя подумают и проверят на своём биомясе кремлепидоры. (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 03:31 (ссылка)
	DNS тут не при чём, не гоните волну. (Ответить) (Уровень выше) (Ветвь дискуссии)

perfect_kiss 2017-12-03 06:04 (ссылка)

Ну да: когда в вашей библиотеке начнут переписывать формуляры, чтобы в случае чего послать читателя на в отдел с томами научного православия/марксизма если тому вдруг интересна запрещёнька типо генетики/лжра (подменять нормальный ДНС на рашко маня ДНС), вместо того, чтобы заменять запрещённых авторов плакатами с изображением огня и цифрами "451" (вычленять запросы на запрещёньку и блочить только их), вот тогда и пиши пропало. Однако "переписывание формуляров" уже практиковали на учениях, в 2014 году. Где-то с год назад прочитал мнение анонимное на имиджбордах, что нынешняя реальность переплюнула по накалу абсурда почти что все антиутопии созданные в 20м веке; всё так и есть. Но, люди по этому поводу не парятся: им норм, что в этом море за них решают как и чем думать, когда и что читать, даже не пытаются спросить свои права. Учёные назвали этот феномен "невероятной способностью homo sapiens к адаптации", и с нетерпением ждут, когда в эксперимент введут изнасилования по выходным. (Ответить) (Уровень выше) (Ветвь дискуссии)

	perfect_kiss 2017-12-03 06:09 (ссылка)
	> в этом море безграничном море легкодоступного контента размера беспрецендентного для человеческой истории. (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 01:08 (ссылка)
	Поиск по Internet Widgits Pty Ltd выдаёт малвару. У Глиномесова триппер. (Ответить) (Ветвь дискуссии)

perfect_kiss 2017-12-03 05:12 (ссылка)

Internet Widgits Pty Ltd это имя организации которое openssl по дефолту ставит. Там вообще в фифе похоже разобрались, МТС начал просто выгребать server_name из SNI хендшейка и по нему перенаправлять на свои хосты: http://lj.rossia.org/community/ljr_bugs/105717.html?nc=1 Решение дубовое конечно, но видимо прост пришли к ним проверяющие в штатском, выебали сисодминов за то что читають холопы запрещёночку по HTTPS, пришлось на коленке что-то делать. (Ответить) (Уровень выше) (Ветвь дискуссии)

	polytheme 2017-12-03 06:44 (ссылка)
	похоже, так оно и было - теперь ljr закрыт через МТС, приходится через тор что не совсем так уж удобно, например (Ответить) (Уровень выше) (Ветвь дискуссии)

	perfect_kiss 2017-12-03 06:56 (ссылка)
	кстати, опера впн у вас работает ещё ? (Ответить) (Уровень выше) (Ветвь дискуссии)

	siblington 2017-12-03 17:21 (ссылка)
	У меня пока работает. (Ответить) (Уровень выше)

	polytheme 2017-12-03 17:21 (ссылка)
	никогда ей не пользовался, но - работает, сволочь. спасибо, буду иметь в виду. (Ответить) (Уровень выше)

	wieiner_ 2017-12-03 01:11 (ссылка)
	у нас сертификат let's encrypt, есличо, и он истекает 12/19/17. ... в 2х браузерах проверял - везде стои Let's Encrypt со сроками действия с 20.11.2017 по 18.02.2018. в Let's Encrypt баги с продлением сертификатов (скорее всего). (Ответить)

	madfrequency 2017-12-03 01:12 (ссылка)
	как вариант разработчики Pale Moon могут оказаться хуесосами. (Ответить) (Ветвь дискуссии)

	anti_myth 2017-12-03 01:47 (ссылка)
	Pale Moon ни при чем. Опера пишет: Издатель Internet Widgits Pty Ltd Some-State AU Истекает 12.11.2014 12:46:00 GMT (Ответить) (Уровень выше) (Ветвь дискуссии)

	lookatindivid 2017-12-03 02:16 (ссылка)
	Беломестнов, это только у вас. Поздравляю, гебня за вас плотненько взялась. Вы теперь сертифицированная жертва режима. Готовьте чемодан (и сухари на всякий случай). А нефиг было на агента Sadko бочку катить. (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 03:14 (ссылка)
	чёрный ворон, чёрный ворон, чёрный ворон! переехал мою маленькую жизнь! я буду так страдать, так страдать без репостов радио "швабодка" как жить теперь? (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 08:14 (ссылка)

Дмитрий Беломестнов был уже на полпути к русско-латвийской границе. В его рюкзаке был только старый ноутбук с Ubuntu 16.04 и браузером Pale Moon последней версии, две пары теплых носков, литр водки "Путинка", три томика Солженицина и полкило гречки. Он был возбужден в предвкушении интересного и опасного приключения. Снег плотно облепил лохматую бороду, но чистить её не было времени: нужно пройти ещё 20 километров до наступлния темноты. Он ещё не знал, что следующие два года проведёт в СИЗО "Матросская тишина". А в это время в Киеве (матери городов русских) агент Sadko раздавил клопа, который укусил его в плечо, причиняя боль и зуд. Понюхал пальцы, посмотрел на них, слизал остатки насекомого и вернулся к экрану компьютера. Пришло письмо от куратора: "уничтожить агента MINIPIG". Sadko ухмыльнулся, проклял про себя русских, и без задержки приступил к выполнению нового задания. (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 01:23 (ссылка)
	МНЕ СЕЙЧАС СТРАШНО! СТРАШНО ЧТО В ЛЮБОЙ МОМЕНТ У ПОДЪЕЗДА ОСТАНОВИТСЯ МАШИНА И В КВАРТИРУ ВОРВУТСЯ ЧЕКИСТЫ В ШИНЕЛЯХ! СТРАШНО ЧТО ПРОДЕРЖАТ ПАРУ ЛЕТ В СИЗО И ПОТОМ ОТПРАВЯТ В МОРДОВИЮ ЛЕТ НА ВОСЕМЬ ЗА ТО ЧТО ПИСАЛ АНОНОМ ГАДОСТИ И ХУЙНЮ ВСЕМ, У КОГО АНОНЫ РАЗРЕШЕНЫ! (Ответить)

	(Анонимно) 2017-12-03 01:37 (ссылка)
	А что это за параша кстати такая "Internet Widgits Pty Ltd" по гуглопоиску выдаёт вот такое https://pikabu.ru/story/sertifikatyi_s_uma_soshli_3997410 (Ответить) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 03:05 (ссылка)
	Это значение OU по-умолчанию в openssl при генерации сертификата. (Ответить) (Уровень выше)

(Анонимно) 2017-12-03 02:02 (ссылка)

Уважаемый Михаил Сергеевич, я удивлён, что эта штука дошла до публики только сейчас, хотя провайдеры делают так уже не первый год, и я хуею от отписавшихся выше опытных пользователей, которые обвиняют всё подряд, от палемуна до летсенкрипта. Как происходит блокировка контента в рашеньке, если коротко: - Незащищенное соединение (http, порт 80 по-умолчанию): если у провайдера нет dpi, то единственное, что можно сделать - заблокировать по айпи или днс-у. Если у провайдера есть dpi, то можно вытаскивать из запроса конкретный урл и блокировать только его, что и делают, так как по закону надо блокировать именно урлы (за исключением ситуации, когда внесли весь домен). В случае с dpi сайт может открываться, даже имея ссылки в реестре. - Защищённое соединение (https, порт 443 в браузере всегда). Тут ситуация хуже для провайдера, так как нельзя получить ссылку из запроса, не расшифровывая его. А для расшифровки нужно устанавливать соединение с браузером, который ждёт в ответ сертификат. Так как выписать настоящий сертификат на lj.rossia.org провайдер не может, он использует свой, какой придется. Этот internet pidgits - дефолтное значение для самоподписанного сертификата, который можно сгенерить самому, вот провайдер сгенерил и использует. В итоге получается, что весь сайт имеет некорректный сертификат, так как провайдеру надо перехватывать и расшифровывать запросы ради блокировки. Никакой полноценной подмены сертификата тут нет, никто не выписывает поддельный валидный сертификат, никто не меняет сертификат на самом сервере. Решение достаточно простое технически, просто прокси перехватывающая, применяется давно. (Ответить)

lookatindivid 2017-12-03 02:10 (ссылка)

>Здесь тоже жалуются: >https://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721 >(на то же самое явление). Прошу объяснить, кто знает. Миша, это анти_миф и жалуется, посмотрите на циферки внимательнее. Больше ни у кого такого нет. >у нас сертификат let's encrypt, есличо, и он истекает 12/19/17. Я туплю или с датой что-то не так? У меня такие значения VALIDITY PERIOD Issued on 20 Nov 2017 Expires on 18 Feb 2018 (Ответить) (Ветвь дискуссии)

	lookatindivid 2017-12-03 02:22 (ссылка)
	>это анти_миф и жалуется хотя может я дебил (это вряд ли) но пока того анона не видно, да и стиль димы бэ очень узнаваем (Ответить) (Уровень выше)

	tiphareth 2017-12-03 03:04 (ссылка)
	он постоянно продлевает даты (Ответить) (Уровень выше)

(Анонимно) 2017-12-03 02:42 (ссылка)

Tor с ExcludeNodes {ru} при обращении к https://lj.rossia.org показывает нормальный сертификат - Let's Encrypt Тот же сертификат показывается при обращении из Tor к https://192.155.89.253 (в этот IP резолвится lj.rossia.org из России и не из России) При доступе напрямую из России сертификат ложный Internet Widgits Pty Ltd Widgits Pty - это значение по умолчанию "Organization Name" при генерации openssl req -new -key server.key -out server.csr В общем, яровизация https в России идёт полным ходом - по иранскому сценарию. Видимо, это делают с теми хостами, кто не представил ФСБ ключи для дешифрования https-трафика. Провайдер МТС. (Ответить) (Ветвь дискуссии)

	lookatindivid 2017-12-03 03:05 (ссылка)
	Проверил МТС - не происходит такого. (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 03:30 (ссылка)
	Проверил ещё раз: если принять фейковый сертификат, происходит редирект на blocked.mts.ru (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 05:39 (ссылка)

да, от браузера зависит и от конкретных серверов мтс описываемое глушение происходит больше года просто они в разных местах немного разные способы используют как следствие, где-то https работает, где-то не работает буквально на разных краях города может отличаться замечал не только по ЛЖР меня димкина паника сбила с толку и этот пост сразу начал рассматривать только вариант mitm но думал это сифак у анти_мифа на компе а оказалось так банально тю (Ответить) (Уровень выше)

	ketmar 2017-12-03 02:51 (ссылка)
	да ничего сложного: провайдер же весь канал контролирует. вклинить в это прозрачный проксь — вообще не проблема. я, например, это на локалхосте делаю, чтобы мои инструменты видели нормальные байты, а не мусороговнище. а провайдеры у себя. дел — на час от силы. (Ответить) (Ветвь дискуссии)

	ketmar 2017-12-03 02:53 (ссылка)
	то есть, сложно подменить так, чтобы браузер не вякал: надо у какого‐нибудь trustwave покупать. а если покупать давит жаба — то суют всякое говно, да. а могли бы и купить, «траст‐центры» официально продают же. за копейку удавятся, говноеды жадные. (Ответить) (Уровень выше) (Ветвь дискуссии)

	lookatindivid 2017-12-03 03:01 (ссылка)
	но это же элементарно палится юзером при смене провайдера? браузер будет недвусмысленно верещать, если посидеть через такой подставной прокси, а потом через другого прова выйти. то есть тут надо на машине пользователя городить этот прокси. а если у него несколько устройств? муторно и грязно это. (Ответить) (Уровень выше) (Ветвь дискуссии)

ketmar 2017-12-03 03:18 (ссылка)

верещать оно будет только если жадные говноеды зажали копеечку на официальную покупку mitm-сертификатов у «удостоверяющих центров». все «удостоверяющие центры» барыжат такой хуйнёй, некоторые (типа trustwave) даже рекламировали эти услуги прямо на своих страницах. поскольку они прописаны как «довереные» у браузеров, то в таком случае никто верещать не будет. потому что всё ssl — это ебала жаба гадюку. (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 03:44 (ссылка)

ничего не понял, извиняюсь за тупость, если что описанный mitm с прокси работает так: прокси работает с сайтом, используя актуальный сертификат прокси работает с юзером, используя липовый сертификат но в браузере юзера этот липовый сертификат привязывается к сайту если юзер пойдет на сайт не через прокси (например, сменив провайдер), то его браузер будет считать актуальным липовый сертификат, тогда не произойдет успешного соединения выскочит предупреждение типа "бля, чето на этом сайте хуйня с сертификатом, теперь акуальный вот такой-то. хотите продолжить?" если согласиться, то все будет окей. но тогда при возвращении к старому ровайдеру снова вылезет такое предупреждение. разве можно это не заметить? (Ответить) (Уровень выше) (Ветвь дискуссии)

ketmar 2017-12-03 03:52 (ссылка)

да не выскочит ничего, если оба сертификата выданы Уважаемым Довереным Центром (любым, прописаным в браузере как довереный). в случае, описаном здесь, жадные дебилы не купили у УДЦ нормальный сертификат, и получились обосратушки. а если бы купили — никто бы ничего не заметил, потому что с точки зрения браузера всё ок, центр‐то Довереный. вся эта система defective by design, потому что построена на безусловном доверии неким «удостоверяющим центрам», которые сами не отвечают вообще ни за что, ничем и ни перед кем. trustwave, как я говорил, вполне открыто предлагал продажу mitm-сертификатов. типа для «контроля трафика внутри организации», ага. вся суть подобных сертификатов в том, что никакой браузер никогда аларм не поднимает. ну, обновился fingerprint. подумаешь. с одного УДЦ на другой УДЦ. даже в том случае, если браузер покажет юзеру подобное окно, что может сделать юзер? сертификат‐то не липовый, не левый, выдан довереным центром, все подписи на нём валидные. и чо дальше? любой нормальный человек тупо кликнет «принять» — ведь Доверено же. (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 04:10 (ссылка)

понятно мне казалось, что видел такое с хромом на андроиде ходил на какой-то сайт через свой wifi и через 4g - все оk попытался зайти через общественный wifi - вылезло красное предупреждение о смене сертификата - не пошел и отрубился от этой сети, посчитав её опасной, другие браузеры не проверял может ложные воспоминания, конечно, логов не осталось, воспроизвести пока не могу и в настройках хрома не вижу похожих параметров (Ответить) (Уровень выше) (Ветвь дискуссии)

	lookatindivid 2017-12-03 04:11 (ссылка)
	>не пошел и отрубился от этой сети, посчитав её опасной, другие браузеры не проверял ну и сразу подключился к 4g - все нормально стало, хороший сертификат (Ответить) (Уровень выше)

ketmar 2017-12-03 04:18 (ссылка)

да, браузеры иногда (по желанию рандомного полужопия разработчиков) показывают предупреждения о смене fingerprint. это ещё хуже, чем вообще ничего не делать, на самом деле: приучает пользователей к тому, что предупреждение о смене «отпечатка» — информационный шум, на который не стоит обращать внимание. просто потому, что у пользователя нет никакой возможности как‐то удостовериться в том, что сертификат не mitm, если он выдан УДЦ. то есть, вся «секурити» в этой модели — snake oil. самый удобный метод использования https — пропатчить браузер, чтобы он молча принимал любой сертификат, игнорируя все ошибки. степень твоей «защищённости» совершенно не изменится (ниже нуля не падает), а клацать на дурные подтверждения надо будет меньше. (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 04:34 (ссылка)

>пользователя нет никакой возможности как‐то удостовериться в том, что сертификат не mitm ну можно как минимум проверить поведение браузера через tor/vpn обход такой проверки значительно усложняет жизнь злоумышленнику лично никогда не тыкал на предупреждения сходу, всегда впадаю в дикую паранойю и до сих пор не знаю подробностей ssl и реализаций - надо бы исправить (Ответить) (Уровень выше) (Ветвь дискуссии)

ketmar 2017-12-03 04:43 (ссылка)

>ну можно как минимум проверить поведение браузера через tor/vpn максимум, что это покажет — что потенциально есть два разных mitm-сертификата. НИКАК невозможно убедиться, что это не mitm. вообще никак. технически невозможно. поэтому если ты параноик — то для тебя там никакой security нет изначально, и можно спокойно игнорировать весь механизм, автоматически принимая все сертификаты: с точки зрения параноика они все скомпрометированы. а если ты обычный юзер, то ты не можешь знать, нормальный сертификат или нет, поэтому можно спокойно принимать все сертификаты, ведь опять без разницы. любая security, основаная на доверии неким центрам, которые ты не контролируешь — snake oil, бессмысленна, и служит только для торговли воздухом. дело твоё, конечно — но ты зря тратишь усилия на попытки что‐то перепроверить в заведомо нерабочей системе. (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 04:58 (ссылка)

я как бы умом понимаю, но душа отказывается принимать столь суровые реалии >НИКАК невозможно убедиться, что это не mitm. вообще никак. технически невозможно. но ведь владелец сайта может выложить характеристики актуального сертификата в открытый доступ, или даже разослать юзерам их физической почтой на бумаге > но ты зря тратишь усилия на попытки что‐то перепроверить в заведомо нерабочей системе. я исхожу из того, что только что появившийся сайт не представляет интереса для злоумышленников значит до организации ими mitm пройдет какое-то время и появятся признаки нормального функционирования ssl плюс можно использовать e2ee коммуникацию между владельцем ресурса и юзерами (но такое кажется не практикуется в реальности) для уточнения подробностей о нормальной работе ssl (Ответить) (Уровень выше) (Ветвь дискуссии)

ketmar 2017-12-03 05:06 (ссылка)

>но ведь владелец сайта может выложить характеристики актуального сертификата в >открытый доступ …которые ты скачаешь через недовереные каналы, с нулевой гарантией того, что трафик не подменили. >разослать юзерам их физической почтой на бумаге где гарантия того, что пришло то же самое, что ушло? централизованые системы с «довереными центрами» не работают. не «иногда не работают», не «бывает, что не работают», а вообще не работают. никогда не работали, и никогда работать не будут, это технически невозможно. >я исхожу из того, что только что появившийся сайт не представляет интереса для >злоумышленников тогда опять таки можно принимать все сертификаты и не париться. без разницы, совершенно без разницы. пока безопасность зависит ещё от кого‐то кроме тебя и Того Парня, она не существует. это включает в себя и фиготень типа «банк выдал сертификат на флэшине при личном визите»: точно так же не работает. потому что безопасность зависит не от двух людей, желающих договариваться, а от тебя и «сотрудников банка», которым похуй. просто позволь себе забить на эту промывку мозгов. она затеяна исключительно для того, чтобы «удостоверяющие центры» продавали ничто за деньги. именно для этого она сдизайнена централизованой, именно для этого её пиарят. если бы ты был удостоверяющим центром — для тебя в этом хоть профит был бы. а так — и профита нет, и время с нервами зря тратишь. просто поставь расширение, которое будет принимать любой сертификат — и не парься. (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 07:03 (ссылка)

изначально, когда узнал об ssl/tls, то не задумывался о подлостях со стороны удц почему-то по умолчанию они воспринимались, как надежный элемент системы (гипнотическая сила слова trust лол) потом казалось, что конкуренция и чисто коммерческие соображения должны служить гарантией сейчас уже не уверен, но все же масштабы косяков не впечатляют если это так плохо, то почему так мало жертв? хотя в теории понятно, почему оно так плохо, но не понятно за счет чего такие случаи не происходят каждый месяц можно только предположить, что это точечные атаки, информация о которых просто не вылазит на публику а массовые трудно заметить и о них тоже никто не рассказывает (Ответить) (Уровень выше)

(Анонимно) 2017-12-03 15:17 (ссылка)

Сразу видно человека с черно-белым мышлением. Как в анекдоте про блондинку, которую спросили, какова вероятность того, что выйдя на улицу она встретит динозавра. И она отвечает, конечно же 50%, либо встречу либо нет. Первый же вопрос сразу возникает, автоматически, когда вижу такие размышления - кому это надо? Кому ты нахер нужен, сертификаты тебе подменять в почте? Если ЦРУ или китайцам надо, они тебя через бэкдор в железе будут слушать, а если родным гэбульникам понадобится, они тебе паяльником жопу прозондируют, и не будут возиться с какими то подменами сертификатов (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-05 00:40 (ссылка)
	а тебя просто клювом в угол посадят щелкать (Ответить) (Уровень выше)

perfect_kiss 2017-12-03 06:30 (ссылка)

> любая security, основаная на доверии неким центрам, которые ты не контролируешь — snake oil, бессмысленна, и служит только для торговли воздухом. дело твоё, конечно — но ты зря тратишь усилия на попытки что‐то перепроверить в заведомо нерабочей системе. А как же PGP ???? Там правда не центры, но абстрактные другие люди (в их числе могут быть и "центры" типо той же keybase, могут быть и простые авторитетные черты), которых ты натурально не контролируешь, вписываются за правдивость информации. По твоему, плохая система ? Кстати Циммерман - основной автор PGP - ещё и основной популяризатор термина "snake oil" применительно к криптографической софте, вот его известное очень эссе. (Ответить) (Уровень выше) (Ветвь дискуссии)

ketmar 2017-12-03 06:41 (ссылка)

>По твоему, плохая система ? а это другая система. и тоже не самая хорошая, да. но намного лучше, потому что там нет «довереных центров выдачи ключей». key servers — вещи исключительно справочные, и нет такой дискриминации между ключами, как между «самоподписаным сертификатом» и «выданым довереным центром сертификатом». проще говоря: свой приватный ключ ты генерируешь сам, и полностью контролируешь сам. равно как то, какие публичные ключи каких других людей ты считаешь довереными: нет никаких «бандлов» с кучей «довереных ключей». криптографические техники подтверждения того, что обе endpoints имеют одинаковые данные, без прямой передачи этих данных для сверки, давно существуют, и позволяют послать mitm нахуй: eavesdropper не сможет сгенерировать правильное подтверждение. (Ответить) (Уровень выше) (Ветвь дискуссии)

(Комментарий удалён)

	ketmar 2017-12-03 07:09 (ссылка)
	>с культурными штуками вроде доверия или недоверия это не «культурные штуки», а технологические. zero-trust systems — это технология, я не «культура не доверять». (Ответить) (Уровень выше) (Ветвь дискуссии)

perfect_kiss 2017-12-03 07:21 (ссылка)

обсрался в комменте (дислексия усиливается по мере наступления фазы быстрого сна), перепишу: наличие TLS/SSL у веб-сайта не означает, что трафик до сайта не будет дешифроваться, потому что гебе может на серверах провайдера подменить сертификаты, которые выдаёт в хендшейке сервер, на сертификаты (другие, но, например, с такими же метаданными, как и у оригинальных), которым "доверяют" центры: гебе сотрудничает с центрами, и это факт. поэтому вообще использование TLS/SSL для людей, которыми уже интересуются гэбисты, особой конфиденциальности не добавляет. другое дело, что исторический (до того как под колпак попал) трафик не дешифровать. но это другой разговор. палятся гэбисты на этой штуке редко, но бывает. с PGP ситуация иная: сертификаты никакие нигде подменяться не могут, потому что доверие идёт к айдентити одного ключа. "цепочку доверия" можно выстроить такую же проблемную как и в Web, просто доверяя айдентити сертификатов жуликов и воров, тогда появится возможность подмены такая же точно, но тут юзер сам себе злой буратино. а в случае с Web сертификатами, в роли буратино мы все. (Ответить) (Уровень выше)

	lookatindivid 2017-12-03 04:40 (ссылка)
	>у пользователя нет никакой возможности как‐то удостовериться в том, что сертификат не mitm, если он выдан УДЦ. из бытовой логики кажется, чтопо-хорошему УДЦ должен предоставить возможность проверки выскочило предупреждение - идешь в УДЦ, спрашиваешь "чо за серт?" они говорят "ООО ФСБиКо", пишешь письмо в ООН о репрессиях кровавой гебни (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 04:45 (ссылка)
	а тебе говорят: «нормальный сертификат». как ты проверишь ответ? центры не несут никакой ответственности за свои действия, вообще. (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 05:03 (ссылка)
	http://patrol.psyced.org/ (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 05:10 (ссылка)
	херота. всё, что «may be annoying» — будет юзерами скипаться на автомате, даже если они изначально поставят это с намерением честно читать каждый попап. (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 05:27 (ссылка)
	На юзеров плевать, это не для юзеров, а для параноиков. (Ответить) (Уровень выше) (Ветвь дискуссии)

	ketmar 2017-12-03 06:20 (ссылка)
	параноикам совершенно без разницы, потому что они знают, что вся система уже скомпрометирована. (Ответить) (Уровень выше)

	lookatindivid 2017-12-03 05:06 (ссылка)
	значит будет несколько "нормальных сертификатов" что само по себе подозрительно ответственность они несут в виде репутационного ущерба если какие-то будут замечены за такими делами, то их конкуретны сделают на этом профит в принципе, они должны друг друга контролировать и вылавливать такие проколы (Ответить) (Уровень выше) (Ветвь дискуссии)

ketmar 2017-12-03 05:12 (ссылка)

>значит будет несколько "нормальных сертификатов" >что само по себе подозрительно у гугеля вон несколько лет назад (как сейчас — по очевидным причинам не знаю) каждую неделю сертификат менялся. всем было похуй, все вставили для гугеля исключение. >ответственность они несут в виде репутационного ущерба лолбугога. те, кто разбираются в теме, знают, что никакой репутации у них нет. а остальным всем можно ссать в глаза без боязни «репутационных потерь». вон, комодо ломали несколько раз — и что, комодо закрылся, перестал сертификаты делать? ага, щаз. и делает, и покупают, и по‐прежнему продаёт «security solutions». это всё, что имеет смысл знать про «репутацию» в этой области. (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 06:48 (ссылка)

ладно, практически убедил (но говно я есть не брошу!) 1) что если организовать распределенную систему верификации сертификатов? каждый акт приобретения сертификата вносится в распределенную базу, по которой всегда можно проверить данный конкретный сертификат, если выскочило предупреждение. (хотя это кажется исключает необходимость удц лол) 2) решение социально. имеем множество удц, которые договариваются между собой о правилах выдачи сертификатов. типа: одному удц нельзя выдавать одной и той же конторе сертификат больше одного раза в год. следующий удц выдающий данной конторе определяется случайным образом. ну и вариации этого для разных уровней клиентов (организация, сайт, подсайт). кажется уже вообще утратил знание о необходимости существования удц лол (но говно я есть не брошу!) (Ответить) (Уровень выше) (Ветвь дискуссии)

ketmar 2017-12-03 06:59 (ссылка)

>ладно, практически убедил (но говно я есть не брошу!) ну, ssl — в принципе — защитит тебя от «кулхацкера пети, который слушает wi-fi», да. так что какая‐то минимальная польза от него есть, конечно. но на большее рассчитывать не стоит. и да, УДЦ не нужны, ты прав; разработать хорошую zero-trust схему без УДЦ вполне возможно. но зачем? в смысле — чтобы её внедрить, надо сначала сделать людям хотя бы минимальное понимание базовых вещей, а это сизифова работа. нужная, конечно, но ну его нафиг. я, в общем, писал не для того, чтобы ты сосвем бросил ssl, а больше для того, чтобы у тебя не было иллюзий, что оно способно защитить тебя от чего‐то большего, чем «кулхацкер петя». да и от пети, тащемта, не всегда… (Ответить) (Уровень выше)

(Анонимно) 2017-12-03 03:03 (ссылка)

P.S. Выяснил. Эта штука зависит от SNI в HTTPS Client Hello - https://en.wikipedia.org/wiki/Server_Name_Indication Если пользоваться более-менее новым wget, который посылает SNI (extension server_name: lj.rossia.org), то в Server Hello клиенту приходит фейковый сертификат, и если запускать wget с ключём --no-check-certificate то в ответе приходит редирект: Resolving lj.rossia.org (lj.rossia.org)... 192.155.89.253 Connecting to lj.rossia.org (lj.rossia.org)|192.155.89.253|:443... connected. WARNING: cannot verify lj.rossia.org's certificate, issued by 'O=Internet Widgits Pty Ltd,ST=Some-State,C=AU': Self-signed certificate encountered. WARNING: certificate common name '' doesn't match requested host name 'lj.rossia.org'. HTTP request sent, awaiting response... HTTP/1.1 302 Moved Temporarily Server: nginx/1.4.6 (Ubuntu) Date: Sun, 03 Dec 2017 00:22:33 GMT Content-Type: text/html Content-Length: 169 Connection: keep-alive Location: http://blocked.mts.ru/?host=lj.rossia.org&view=109765136 Location: http://blocked.mts.ru/?host=lj.rossia.org&view=109765136 [following] Если же юзать стырый wget до 1.14, который не посылает SNI (например, 1.11.4), то сертификат корректный и http-ответ нормальный: Resolving lj.rossia.org... 192.155.89.253 Connecting to lj.rossia.org|192.155.89.253|:443... connected. WARNING: cannot verify lj.rossia.org's certificate, issued by `/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3': Unable to locally verify the issuer's authority. HTTP request sent, awaiting response... HTTP/1.1 200 OK Server: nginx/1.11.3 Date: Sun, 03 Dec 2017 00:25:40 GMT Content-Type: text/html; charset=utf-8 Connection: close Last-Modified: Sat, 02 Dec 2017 23:00:26 GMT Cache-Control: private, proxy-revalidate ETag: W/"cf4c90a073d0409ec070063c82d16477" Content-Language: ru Length: unspecified [text/html] Вывод: это так работает блокировка МТС запрещённых https-сайтов. (Ответить) (Ветвь дискуссии)

	lookatindivid 2017-12-03 03:13 (ссылка)
	странный вывод 1) разговор был о ситуации, когда есть доступ к сайту, но сертификат левый. у тебя же провайдер выдает заглушку. 2) "Internet Widgits Pty " не говорит практически ни о чем, нужно хотя бы номер сертификата увидеть. (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 03:25 (ссылка)
	> о ситуации, когда есть доступ к сайту, но сертификат левый Нет такой ситуации. Если сертификат левый, то отвечает редирект (заглушка провайдера МТС), а не мишин хост. (Ответить) (Уровень выше) (Ветвь дискуссии)

lookatindivid 2017-12-03 05:33 (ссылка)

бляяяяяя "Браузер пишет: мол, lj.rossia.org использует устаревший сертификат. Это провайдер блокирует? Не могу зайти на lj.rossia.org через https." я дебил долблюсь в шары ещё удивился чего это димка написал провайдер блокирует? весь смысл в расстановке акцентов радует только, что дебилов более дебильных чем я тут оказалось целых несколько штук у мтс такая хуйня уже больше года происходит - димка только сейчас обнаружил, потому что софт сменил (Ответить) (Уровень выше) (Ветвь дискуссии)

	3d_camper 2017-12-04 23:57 (ссылка)
	У МТС недавно стало (Ответить) (Уровень выше) (Ветвь дискуссии)

	lookatindivid 2017-12-05 03:49 (ссылка)
	где-то давно, а где-то недавно у них же много узлов связи/серверов по всей стране и они часто принадлежат разным ООО на них не одновременно вводят эти изменения говорил уже, у них в один день на разных концах города сеть по-разному себя ведет наверное со временем выравнивается, но введение каких-то настроек может отставать на год (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 03:20 (ссылка)
	мммммм, ну то есть ситуация штатная ТИФАРЕТНИК ОПЯТЬ ЗАБАНИЛИ пиздец я хуею (Ответить) (Уровень выше) (Ветвь дискуссии)

	perfect_kiss 2017-12-03 07:35 (ссылка)
	банят банят всё никак не добанят красны прокладки мод-тян. (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 18:38 (ссылка)
	на этот раз - особо извращённым способом. (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 03:22 (ссылка)
	P.P.S. Дополнительно про SNI можно прочитать тут: https://www.bamsoftware.com/papers/fronting/ https://trac.torproject.org/projects/tor/wiki/doc/meek (вкратце, эта штука не только вредна из-за блокировки, но иногда и полезна для обхода китайского файрволла, если в SNI указывать ложный hostname, а в Host правильный - эта техника называется domain fronting) (Ответить)

(Анонимно) 2017-12-03 03:30 (ссылка)

Ага, вот, кажется, и объяснение: http://lj.rossia.org/users/tiphareth/2106128.html?thread=109764112#t109764112 http://lj.rossia.org/users/tiphareth/2106128.html?thread=109765136#t109765136 http://lj.rossia.org/users/tiphareth/2106128.html?thread=109766416#t109766416 Что характерно, в комменты прибежали всякие хеллоиды (аноним и lookatindivid, которые оба хуже известно кого) и стали вешать макароны. Хрен им на рыло, никто тут им не поверит. (Ответить) (Ветвь дискуссии)

	lookatindivid 2017-12-03 05:42 (ссылка)
	за такие предъявы без обоснования можно и в рыло получить а то и на петушатню заехать (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 10:37 (ссылка)
	раздался голос с петушатни (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 05:50 (ссылка)
	Да ты сам гавнон, тварь охуевшая! (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 07:16 (ссылка)
	это глиномёсов боится что пароль от блевничка перехватят пусть страдает, тупое гавно, говно должно страдать ирония момента, заодно с говноместновым страдает настоящий хеллоид додик (перу которого судя по всему и принадлежат комменты адекватного анона-специалиста) (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 03:42 (ссылка)
	P.P.P.S. В джавовских клиентах SNI отключается через jsse.enableSNIExtension Как отключить SNI в современных браузерах - фиг знает. Зато нашёл шикарный workaround в блокировшике МТС: https://lj.rossia.org./community/ljr_bugs/105296.html Если добавить точку в конец имени хоста - открывает нормально и сертификат подлинный. (Ответить) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 07:17 (ссылка)
	лооол, на ростелекоме тоже работает (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 04:17 (ссылка)
	Гебе запретило тор же. (Ответить) (Ветвь дискуссии)

	3d_camper 2017-12-04 23:58 (ссылка)
	ага-ага (Ответить) (Уровень выше)

autist 2017-12-03 04:45 (ссылка)

Проснулся утром - убери себя с планеты. Маша Sheridan Поковырялся с хорошим гайдом от EFF в своей сетевой ситуации. Выходит занятно вообще. Допустим, мой адрес это XXX.XXX.XXX.XXX, а адрес LJR это YYY.YYY.YYY.YYY. Запустил WireShark из-под NAT, и показалось, что пакеты режет мой роутер. Что маловероятно - я специально отрубил включенный хитрожопыми пидрасами ЯндексоDNS. Подрубился напрямую (у меня статический IP) - картина еще яроше. 172.60.20.25 -> YYY.YYY.YYY.YYY TCP 74 [SYN] YYY.YYY.YYY.YYY -> 127.60.20.25 TCP 74 [SYN, ACK] 172.60.20.25 -> YYY.YYY.YYY.YYY TCP 66 [ACK] 172.60.20.25 -> YYY.YYY.YYY.YYY TSLv1 293 Client Hello YYY.YYY.YYY.YYY -> 172.60.20.25 TCP 60 [RST] Моего айпишника в логе и вовсе на оказалось, он у меня в совершенно другой подсети. Прозреваю проксирование с последующей попыткой спуфнуть сертификатца, рубимой на корню LJR (да прославится их имя в веках). Чсх, 127.60.20.25 по всем данным whois находится в США вообще. Может добралась кровавая гебня? (Ответить) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 05:05 (ссылка)
	Докукарекались, блять. Теперь к ФСБ подключилась ФБР. Американо-российское сотрудничество, ага. Будут ебать вместе В ДВА СТВОЛА БЛЯДЬ! (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 11:13 (ссылка)
	лал ПИДОРАШКИ ДОЛЖНЫ СТРАДАТЬ! (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 04:45 (ссылка)
	Ещё один workaround - использовать IP-адреса вместо имени сервера https://192.155.89.253/users/tiphareth/ (Ответить) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 05:46 (ссылка)
	про точку баянище а с айпи прикольный хак, я думал доступ по айпи в строке адреса ушёл в далёкое прошлое (то есть этот способ в большинстве случаев давно не работает, по разным причинам, не только из-за DPI и пакетов яровой) (Ответить) (Уровень выше)

	polytheme 2017-12-03 06:48 (ссылка)
	да, это удобнее. спс (Ответить) (Уровень выше)

	polytheme 2017-12-03 06:49 (ссылка)
	а, нет, не удобнее ссылки-то не через ip (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 14:55 (ссылка)
	А если в /etc/hosts прописать? (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-12-04 16:01 (ссылка)
	Это не поможет. (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 16:43 (ссылка)
	Это уже к Мише. Попросите его поправить LJR так, чтобы в html выдавались относительные ссылки. (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 19:58 (ссылка)
	А Вы в hosts его (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 20:16 (ссылка)
	Можно в hosts добавить (Ответить) (Уровень выше)

	madfrequency 2017-12-03 07:36 (ссылка)
	прочитал тред дальше - ну в общем пониятно и как и предполагалось мною ранее работает mitm механизм блокировки доступа к сайту посредством подмены серта через расширение протокола TLS - SNI (Ответить) (Ветвь дискуссии)

	(Анонимно) 2017-12-03 16:51 (ссылка)
	SNI - расширение TLS. Попробуйте отключить в браузере TLS (оставив только "устаревший" SSLv3). В Firefox раньше это делалось так: security.tls.version.min = 0 security.tls.version.max = 0 Но сейчас не помогает - похоже, погроммисты огнелиса прибили TLS гвоздями. Поможет ещё умный socks или https-прокси, вырезающий этот SNI-extension из Client Hello. (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 14:12 (ссылка)
	не рестартанул нжинкс после того как certbot обновил сертификат? (Ответить)

(Анонимно) 2017-12-03 14:24 (ссылка)

Мне сообщение о недействительном сертификате выдается каждый раз, когда я захожу на заблокированный сайт по https без VPN. Объясняется это тем, что провайдер все запросы на внесенные в черные список IP перенаправляет на свою страницу-заглушку (сертификат которой выдан, разумеется, не на lj.rossia.org или куда я там иду). Если в ответ на предупреждение о недействительном сертификате нажать "все равно хочу продолжить" то просто открывается страница с сообщением о блокировке. Если бы это была подмена сертификата с целью осуществить атаку man-in-the-middle, открывался бы искомый сайт - но у цензурного ведомства нет цели изучать траффик к запрещенным сайтам, цель - просто препятствовать доступу. Автору баг-репорта стоит проверить, что откроется у него, если проигнорировать уведомление о недействительном сертификате. (Ответить) (Ветвь дискуссии)

	3d_camper 2017-12-04 23:59 (ссылка)
	+ (Ответить) (Уровень выше)

	(Анонимно) 2017-12-03 14:53 (ссылка)
	mitm это очень просто http://docs.mitmproxy.org/en/stable/transparent/linux.html (Ответить)

	(Анонимно) 2017-12-03 17:59 (ссылка)
	Вот нашёл аддон для подмены SNI в ClientHello: http://madynes.loria.fr/Research/Software#toc2 (аддон имитирует локальный прокси) (Ответить) (Ветвь дискуссии)

	Робит! (Анонимно) 2017-12-04 12:31 (ссылка)
	Пашет что надо. Но всовывает свой сертификат по ходу. Потому только для read-only или анонимных комментариев (где они возможны) подойдет. (Ответить) (Уровень выше)

	xaliavschik 2017-12-04 11:09 (ссылка)
	Да, есть какая-то несложная схема фильтрации https, когда нет DPI, тогда подсовывают левый самоподписанный сертификат. Уже забыл как там в деталях. (Ответить)

(Анонимно) 2017-12-04 12:36 (ссылка)

на ростелекоме нет левого сертификата, для статистики, там заблочено как обычно они блочат: http-версия: плашка "Доступ ограничен Доступ к запрашиваемому ресурсу ограничен по решению суда или по иным основаниям, установленным законодательством Российской Федерации" (редиректит на warning.rt.ru) [так уже сто лет] https-версия: ошибка "Не удается получить доступ к сайту Соединение сброшено. ERR_CONNECTION_RESET" [это недавно, пару дней как] вторым способом, без плашки, они всегда https блочат, так и рутрекер заблочен и archive.is (Ответить) (Ветвь дискуссии)

	3d_camper 2017-12-04 23:55 (ссылка)
	И на МТС (Ответить) (Уровень выше)

	wgent 2017-12-04 15:16 (ссылка)
	Смог зайти только через прокси. По-белому на страницу запрета кидает. (Ответить)

	3d_camper 2017-12-04 23:52 (ссылка)
	По хттпс мозилла перескала пускать. Пишет: Your connection is not secure (Ответить)

	3d_camper 2017-12-05 00:04 (ссылка)
	Был прикол с сайтом миротворец такой. Пытаешся на него зайти, попадаешь на сайт ФСБ. Но однакож я хитрованским способом сумел на него зайти. Нет, не только через TOR, через него тоже не пускает напрямую. (Ответить)