2021 год в России запомнится беспрецедентной волной судебных и внесудебных блокировок ресурсов средствами DPI. 26 июля Роскомнадзор заблокировал множество наших ресурсов: блог Навального navalny.com, сайт сети региональных штабов shtab.navalny.com, сайт Фонда борьбы с коррупцией fbk.info и другие. Под блокировки попали даже сайты проектов «РосЯма» и «РосЖКХ». Все перечисленные ресурсы были заблокированы на основании требования Генеральной прокуратуры РФ как содержащие призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка, и информационные материалы организаций, деятельность которых признана нежелательной. Сайт проекта «Умное голосование» заблокировали за неделю до выборов — 6 сентября. С конца августа РКН развернул настоящую войну с приложением «Навальный» и чуть не сломал весь российский интернет.
В этом посте мы расскажем о противостоянии, которое развернулось между нашей командой и РКН летом — осенью 2021 года: о технологиях по обходу блокировок, о собственной системе мониторинга, о том, как нам удалось «обучить» РКН регулярным выражениям. Расскажем, как РКН был вынужден пойти на крайние меры, попытавшись заблокировать публичные DNS в России, и каких результатов нам удалось достичь.
Введение
Наша команда рассматривала сценарий блокировок заранее. Еще в 2020 году было решено использовать мобильное приложение как основной инструмент доставки до пользователей постов в блоге и рекомендаций «Умного голосования».
С момента введения повсеместного DPI в России за доступность сайтов стало бороться все сложнее. Дело в том, что протокол TLS не предусматривает шифрование изначального «рукопожатия» между клиентом и сервером. Когда во всем мире обнаружился дефицит IPv4-адресов, виртуальный хостинг (когда несколько разных доменов работают на одном IPv4-адресе) пришлось широко использовать и в TLS. Клиент во время рукопожатия передает доменное имя сайта (SNI — Server Name Indication), а сервер в ответ отправляет сертификат для этого домена. Этим и пользуются разработчики DPI, позволяя различать трафик, идущий на один и тот же адрес, по SNI и блокируя только тот, что им нужно. Во время разработки стандарта ESNI (Encrypted SNI, позволяющего шифровать заголовок SNI) обнаружились неустранимые проблемы, и на замену ESNI пришел протокол ECH (Encrypted Client Hello), в котором шифруется все рукопожатие со стороны клиента.
Стандарт ECH еще не стал всеобщим. В IETF он находится в фазе активной разработки в статусе draft. Последнее обновление документа с описанием стандарта было как раз в августе 2021 года. Следовательно, поддержки этого протокола на конечных клиентах (браузерах) не предусматривалось. Мы понимали, что успешно скрыть домен в HTTPS-трафике от РКН нам не удастся. Поддержка доступности web-сайта стала весьма проблематичной задачей.
Когда требование Генпрокуратуры о блокировке было исполнено, сетевое сообщество начало организовывать прокси до заблокированных ресурсов команды Навального, однако на практике это оказалось неэффективным. Любой адрес, замеченный РКН, рано или поздно попадал под внесудебную блокировку и моментально становился недоступным. Было понятно, что любые публично распространенные прокси, вне зависимости от доменного имени, будут успешно заблокированы.
После вступления блокировок в силу мы первым делом провели простой эксперимент: переключили домены наших ресурсов на IP-адреса AppEngine. Были возможны три варианта: либо блокировка полностью отключилась бы (если айпишники AppEngine находились в белом списке у РКН), либо весь AppEngine в российском сегменте интернета оказался бы заблокированным, либо осталась бы только блокировка по DPI. Результаты теста подтвердили наши ожидания — доступность не возросла. Надо отметить, что РКН хорошо подготовился и начиная еще с 2016 года явно обеспечил покрытие DPI на большинстве провайдеров России, в том числе DPI «по сигнатурам» (он же ТСПУ).
Система мониторинга
Здесь стоит рассказать о средствах мониторинга, с помощью которых мы проверяли доступность наши ресурсов.
Блокировки через «технические средства противодействия угрозам» (ТСПУ) нельзя отследить традиционными методами, с помощью реестра РКН или так называемых «Дельт». Нет никакого подлинного списка ресурсов, которые блокировались на уровне ТСПУ. Блокировки приобрели не подотчетный и непрозрачный характер. Поэтому, чтобы отслеживать работоспособность ресурсов, пришлось разработать систему отслеживания на уровне провайдеров РФ.
Для реализации такой системы мы приобрели комплекты Raspberry Pi 3B. Наши читатели наверняка знают, что мы фанаты «Малинок», и в этот раз выбор снова пал на них. Эти микрокомпьютеры обладают полноценной Linux-системой на борту, а также оборудованы сетевой картой с портом RJ45, дешевы и просты в обслуживании.
Мы подготовили комплекты Pi для волонтеров, которые согласились установить у себя эти импровизированные «зонды». В каждом из них была скомпилирована ОС на базе Ubuntu 20.04 — так, чтобы волонтеру было достаточно просто подключить Raspberry Pi в сеть. Малинки совершали попытки обращения к нужным ресурсам и отслеживали статус, отсылая его нам.
Для безопасности мы скрыли весь служебный трафик Pi в VPN-сеть. Оставили только GET-запросы и скачивание пакетов при обновлении.
Мы постарались охватить своей сетью провайдеров по всей стране. В первую очередь, конечно, нас интересовали провайдеры с ТСПУ, но в связи с тем, что нет никаких официальных публичных списков провайдеров с этим «черным ящиком» на борту, мы пытались придерживаться самых крупных — большой тройки, Ростелекома, Дом.ру и подобных. Сеть составляли где-то 50% провайдеров с ТСПУ и 50% без.
Для отправки запросов, хранения полученных данных и алертов мы воспользовались Zabbix. Чтобы отслеживать блокировки сайтов, использовалась встроенная функция «веб-агента» и кастомные скрипты, исполняемые на зондах.
Для обработки и вывода данных использовалась Grafana.
В дополнение был написан API-микросервис, которому мы дали имя «Navalny Hello». Его основной задачей было выдавать по любому домену информацию о блокировке. Сервис работал на основе Pi-сканеров и выдавал скоринг для каждого запрашиваемого адреса.
Требования к приложению
В приложении «Навальный» важнее всего было обеспечить доступность блога и проекта «Умное голосование». Мы публикуем свои рекомендации по голосованию за три дня до выборов, чтобы власти не могли снять кандидатов, за которых мы советуем отдать голос. При этом основная функция приложения — поиск кандидата по адресу (пользователь вбивает свой адрес и получает конкретную рекомендацию). Таким образом, залить список кандидатов прямо в приложение через стандартное обновление было проблематично, — тем более что обновление в Google Play и Apple Store могут рассматривать от нескольких суток до нескольких недель, и такого запаса времени у нас просто не было.
Учитывая необходимость постоянной синхронизации приложения с адресами нашего бэкенда, мы выделили в основных требованиях несколько пунктов:
защита от блокировки IP-адресов;
защита от блокировки доменных имен;
обход DPI-средств провайдеров.
Был подготовлен специальный протокол, который поддерживал технологии DoH-резолвинга и SNI-фейкинга. С помощью закодированного дискавери, представляющего собой JSON-структуру с электронной подписью для защиты от replay-атак, мы смогли «научить» приложение обнаруживать через публичные DNS актуальные адреса бэкенда для обновления контента. Когда РКН банил наш адрес, мы создавали новый, обновляли дискавери, контролировали значение TTL записи, чтобы избежать ненужного кэширования, и таким образом перед очередным запросом пользователя сообщали для него новый маршрут обращения. К моменту блокировки сайтов приложение работало в Google Play и Apple Store с данной версией протокола.
Ротация «на опережение»
В «мирное время» секретные механизмы предусмотрительно не были включены. Специалисты РКН не совершали никаких дополнительных действий после блокировок сайтов и только 20 августа перешли в наступление и предприняли первые попытки заблокировать адреса приложения. Чтобы не раскрывать все наши возможности до дня выборов, мы решили поиграть в «догонялки» с РКН — обновляя дискавери и доставляя пользователю необходимые адреса.
По первым наблюдениям, РКН осуществлял мониторинг чуть ли не вручную. Мы запустили скрипт, который генерил доменные адреса третьего уровня, например 1np13q836n.rkngov.com, готовил для них необходимый бекенд и отдавал в дискавери. Согласно нашему мониторингу, каждый новый адрес третьего уровня попадал в реестр и разливался в качестве правила по провайдерам в течение 13 минут. Когда в РКН удостоверились, что мы осуществляем ротацию доменов исключительно третьего уровня, они наконец решились блокировать всю вторую зону целиком.
Мы вернулись к варианту хостинга на AppEngine. Каждый проект в AppEngine автоматически получает служебное доменное имя, соответствующее идентификатору проекта. Скажем, проект navalnyapp был доступен на домене navalnyapp.appspot.com. Однако в документации на AppEngine мы обнаружили, что сайты получают и другие служебные домены, например <версия>-dot-<проект>.appspot.com. Если в качестве версии указать любую строку, для которой даже нет версии приложения, то осуществляется fallback на основную версию. В итоге адрес для ротации в дискавери был заменен на *-dot-navalnyapp.appspot.com. Основная задумка заключалась в том, что в данном случае нам не обязательно было «заранее готовить» новый адрес. Достаточно было дописать перед «dot» любое слово, и такие адреса моментально мапились на наш проект. РКН стал получать на своих сканерах «адреса-приветы» от нашей команды — putinprivet-dot-navalnyapp.appspot.com, putinvor-dot-navalnyapp.appspot.com, 123putinuhodi-dot-navalnyapp.appspot.com, 321putin… и т.д.
Вы можете проверить это сами: придумайте любой аналогичный адрес, вбейте его в браузер — и обнаружите на корневом адресе блог Навального. Впрочем, сейчас все эти адреса заблокированы.
Подобным образом мы могли осуществлять ротацию в любом объеме и в любое время. На сканерах своего мониторинга мы мгновенно увидели 100% доступность, и РКН встал перед выбором: либо обучить свой блокирующий софт регуляркам, либо заблокировать всю зону appspot.com целиком.
Интересно заметить, что на любой «нестандартный» ход РКН реагировал с предсказуемой задержкой. Если мы что-то меняли в будни, условно говоря, с 9 до 17, то реакция следовала в течение часа. А если дожидались вечера (лучше, конечно, вечера пятницы), то 100% доступность сохранялась до 9 утра следующего рабочего дня. Видимо, у РКН была дежурная смена юных падаванов, которые делали какие-то совсем простые вещи, и настоящие специалисты, доступные только в рабочее время.
Пока РКН «учился в регулярки», мы смогли выиграть время и апгрейднуть скрипт ротации наших адресов. В связи с тем, что любые из них блокировались сразу по второй зоне целиком, мы написали обновление. Скрипт заблаговременно и массово регистрировал домены второго уровня у одного из хостеров. Затем регистрировал их в CloudFlare, добавлял в качестве кастомного домена к нашему проекту в AppEngine (это было сделано для того, чтобы исключить блокировки на тех провайдерах, которые не умели в DPI), ждал выпуска сертификата гуглом и каждые n минут подсовывал эти домены приложению, предварительно проверяя через наш вышеупомянутый сервис «Navalny Hello», не заблокированы ли они. Таким образом мы могли переиспользовать адрес, если РКН со временем внезапно решил бы его «разблокировать». Благодаря непрерывному мониторингу, ускоряя или замедляя скрипт, мы могли определить, за какое время РКН замечал новые адреса второго уровня. В очередной раз на сканеры нашего противника посыпались «адреса-приветы» самых дешевых доменных зон, например: www.roskomnadzoruhodi.website, www.svobodypoltzakluchennym.xyz, www.rknidiotdohni.fun, www.privetput1nu.online, www.rknprivet.club и т.д.
Вы можете проверить — эти адреса и сейчас заблокированы у провайдеров с ТСПУ.
CDN вступают в борьбу
Мы в очередной раз выиграли время. Но предварительная покупка доменов, пускай даже в самых дешевых доменных зонах, в долгосрочной перспективе и в больших объемах требует затрат, а от идентификации адреса до распространения блокировки на провайдерах, согласно нашим сканерам, стало проходить не больше минуты. Так что мы решили обратиться за адресами к известным CDN-провайдерам, таким как Bunny, Fastly, Amazon.
Идея заключалась в том, что РКН не решится целиком блокировать доменную зону второго уровня, предоставляемую публично известными CDN-провайдерами, и мы сможем относительно дешево проксировать трафик на бэкенд с их помощью через дискавери приложения. Пошаманив с настройками кэширования, мы запустили скрипт ротации доменов с CDN от Bunny.
К моменту, когда мы израсходовали более 6000 подобных адресов, РКН также провел несколько тестов и все-таки решился на полную блокировку b-cdn.net на ТСПУ. Практически сразу мы получили письмо от основателя Bunny о том, что они вынуждены приостановить действие нашей учетной записи, поскольку это негативно сказывается на доступности их сети. Вероятнее всего, блокировкой РКН был задеты крупные пользователи Bunny в России.
В качестве резервного варианта мы переключили ротацию на Fastly CDN. Это работало нормально, и на этот раз РКН уже не решался блокировать весь второй уровень более известного CDN. Но из-за ограничений по количеству создаваемых зон на аккаунт (мы не всегда могли освобождать старые зоны, и из-за багов в приложении в некоторых случаях приходилось их «копить», чтобы устройства, получившие старую запись дискавери, могли их использовать неограниченно долго) в конечном счете мы перешли на адреса Amazon. Довольно легко получилось арендовать на старте квоту со значением около 10 тысяч адресов в доменной зоне cloudfront.net.
На этот раз мы наконец создали очевидную проблему для РКН. Адреса пачками и довольно быстро готовились по ранее опробованному скрипту. Наши сканеры зафиксировали рост доступности.
DNS под угрозой. Domain Fronting, DOH-резолвинг и NewNode
РКН оставалось разве что блокировать Amazon целиком. И в этом случае у нашего приложения в запасе еще оставался секретный механизм SNI-фейкинга. Именно в этот момент в РКН впервые задумались о запрете на использование публичных систем доменных имен и начали готовить российских провайдеров к отключению Google и CloudFlare DNS, рассылая соответствующие письма с требованиями.
В РКН даже провели тесты кратковременной блокировки DNS, что и зафиксировал наш мониторинг и пользователи российского сегмента интернета:
Мы были готовы и к такому развитию событий. Все это время параллельно работали над дополнительными обновлениями по обходу блокировок для нашего приложения. Мы полагали, что на один день забанить Tor ради большой цели для РКН, в принципе, не будет проблемой. Конечно, у этого был бы медийный эффект, но, вероятнее всего, кроме гиков, этого бы почти никто не заметил. Так что идею использовать Tor мы отложили. Была подготовлена имплементация технологии Domain Fronting в качестве дополнительного инструментария, которым мы могли аналогичным образом управлять на стороне клиента через дискавери. А также DOH-резолвинга на случай полной блокировки DNS в России и решения проблемы обновления самого дискавери.
Идея была проста. Вышеупомянутый navalnyapp.appspot.com, (а вообще говоря, любой *.appspot.com) можно фронтить в любой ${garbage}.appspot.com. Мы также нашли возможность фронтинга еще через пару популярных ресурсов, которые РКН вряд ли решился бы полностью отключить в России (мы намеренно не хотели бы раскрывать их в этом посте). Добавили этот функционал в приложение. А в качестве DoH-резолвинга расширили параметры нашего дискавери до получения записей с нескольких storage-провайдеров, таких как Google Cloud Storage и Amazon S3, на случай блокировки Google и Cloudflare DNS.
Помимо всего прочего, в приложении закладывались и альтернативные, весьма экспериментальные способы обхода блокировок, включая использование механизмов P2P-обмена данными. В конце августа нам удалось сделать экспериментальную сборку приложения с внедренным SDK под названием NewNode. NewNode, а также экспериментальный мессенджер FireSide — продолжение исследовательских работ, которую ведет команда, известная другим инновационным мессенджером FireChat. Они же разработчики известного протокола BitTorrent. По задумке, эта штука должна обеспечивать связность даже при полном отключении интернета — просто передавая данные от клиента к клиенту через встроенные в мобильные телефоны модули беспроводной связи Bluetooth и Wi-Fi. SDK NewNode специально создан, чтоб научить мобильные приложения использовать для передачи данных встроенные механизмы BitTorrent, LEDBAT и передачу данных от устройства к устройству (Device-to-Device Communications — D2D). Эта тема, пожалуй, заслуживает отдельной статьи, но если коротко объяснять принцип работы, то для разработчика SDK выглядит как прокси, который использует собственный транспорт для передачи данных: сильно переделанный DHT в качестве транспорта, D2D для организации каналов в случае недоступности интернет-ресурса и LEDBAT, который оркеструет все доступные способы коммуникации, выбирая самый эффективный в данный момент времени.
В постановлении РКН о блокировке публичных DNS для провайдеров предполагалась также блокировка DNS-over-UDP. Именно этот сервис использует библиотека NewNode, что только укрепляет нас в мысли о направленности данных действий исключительно против нашего приложения. Примерно в то же время была замечена и блокировка приложения NewPipe в части YouTube-клиента по TLS-отпечаткам. РКН, по всей видимости, проводил предварительные тесты (или перепутал NewNode или NewPipe? :))
Последняя сборка приложения «Навальный» содержит NewNode и потенциально будет работать (в крупных городах с большой плотностью населения) даже при полном отключении интернета.
Заключение
Паралельно с ежеминутными блокировками, РКН продолжал отправлять запросы в Apple и Google с требованиями удалить приложение «Навальный». Письмами дело не ограничилось — представителей Apple и Google вызвали в Совет Федерации на заседание комиссии по защите суверенитета: неисполнение требований РКН было воспринято как иностранное вмешательство в выборы. В московский офис Google незадолго до выборов приходили силовики. Дошло и до прямого шантажа — по данным издания Bloomberg, российским сотрудникам Google угрожали тюрьмой, если компания не исполнит требования властей.
Само собой, все эти процессы усложняли ревью любых наших обновлений. Рассмотрение зависало на несколько дней. Последние обновления, c domain-fronting и DoH-резолвингом, мы отправили 10 сентября. Очевидно, РКН рассматривал два сценария: либо приложение удастся удалить, либо придется ломать половину российского интернета, отключив публичные DNS. К счастью для РКН, им удалось добиться первого сценария. В конце концов, после почти недельного ожидания, наши обновления были подтверждены магазинами приложений, но одновременно с этим их моментально удалили из магазинов. Это случилось утром 17 сентября, в первый день выборов. А в ночь на 18 сентября Павел Дуров, сославшись на действия Apple и Google, заблокировал телеграм-бота «Умного голосования».
Наша команда распространяла списки с рекомендациями кандидатов через репозиторий в Github, Google Docs, YouTube и APK-сборку Android c последними алгоритмами обхода блокировок. Аккурат перед днем голосования мы успели закинуть в магазины приложений и последнее обновление с обычным PDF-файлом, где содержался список рекомендованных кандидатов. Так что те немногие пользователи, которые все-таки успели обновить или загрузить сборку, могли потрясти телефон и посмотреть в PDF список кандидатов даже без активного подключения к интернету.
В РКН понимают, что, как только будет принят стандарт ECH и его реализация доедет до серверов крупных сервисов и в популярные браузеры, бороться с непокорными сайтами станет намного сложнее. DPI придется полагаться исключительно на фингерпринтинг со всеми вытекающими ложноположительными и ложноотрицательными проблемами. Иными словами, им придется или поломать весь интернет, или сдаться. Поэтому на следующий день после выборов Министерство цифрового развития, связи и массовых коммуникаций РФ разместило для общественного обсуждения проект федерального закона, устанавливающего запрет на использование на территории РФ протоколов шифрования, которые позволяют скрыть имя (идентификатор) интернет-страницы или сайта. Нет никаких сомнений, что это происходит для «легализации» борьбы с новыми методами обхода блокировок, подобными тем, над которыми работала наша команда в этом году.
Такие законы с каждым днем делают российский сегмент интернета все хуже — менее безопасным и менее приватным. Наша задача — отстоять его.
Комментарии (221)
amarao
28.12.2021 13:19+28А почему вы не используете iodine? Насколько я понимаю, A-протокол заблокировать практически не возможно.
Алсо, есть ещё одна прелюбопытная зона in-addr.arpa, не пробовали туда пристроиться?
Ещё пара интересных идей: почему вы не используете социальные сети как fallback? Пост в инстаграмме ничем не хуже любого другого discovery-механизма, а банить instagram... Интересная эскалация.
unsignedchar
28.12.2021 14:09+15Dns over Instagram :)
amarao
28.12.2021 14:15+23discovery over social. Если настроить fallback на -цать социальных сетей, то либо РКН устраивает РКН интернетам (проще линк положить), либо РКН бегает по всем сайтам и пытается их убедить забанить аккаунт, который никаких правил не нарушал, а всего лишь использовал простейшую стеганографию.
Например, если мне нужно закодировать IP 62.228.206.173, то пост может выглядеть так:
I visited my mom 6th of Jan, she was OK. She gained 2 more pounds, but it was just 2 pounds, nothing more. I won't bother for 2 poinds, but she reacts like it was 8. I think her 2 pounds was just excuse. Even she gain 0, it wont changed much. Since 6th I was in a bad mood, but my next visit is planned at 17th, and I really hope she wont get 3rd pound by that time.
unsignedchar
28.12.2021 14:28+11Ещё лучше кодирование внутри фоток котиков. Но абсолютной надёжности это тоже не гарантирует.
artemisia_borealis
28.12.2021 16:50+1Такой способ может быть неоднозначным. Т.к. гомоморфный образ IP адресов
12.13.17.19 и 121.31.7.19 (а также ряда других), совпадают.
romancelover
28.12.2021 17:19если добавить определенные условия (например, что значение любой из первых трёх компонент должно быть не меньше 26, но может быть 0), то неоднозначности не будет. Подпадающих под эти условия адресов не очень много.
amarao
28.12.2021 17:53Да, нужно ещё маркеры положения точек расставлять.
Хотя проще всего кодировать адрес как u32, плотнее кодирование будет.
irondsd
29.12.2021 10:46+1Расставлять точки определённым образом. Потом regex почистит всё, что не цифра и не точка, и мы получаем IP-адрес. Сделать генерацию таких предложений. Даже лишённые смысла тексты подойдут - это не противоречит правилам. А вот публиковать эти посты стоит только вручную - чтобы не нарушать правила социальных сетей.
Сделать поиск таких постов по нескольким вариантам. В определённых аккаунтах, и по хэштегам, если вдруг аккаунт забанят. Чтобы обычные пользователи могли тоже постить по этим хэштегам. РКН может разве что эти хэштеги заспамить, но людей много, а РКН один.
YMA
29.12.2021 10:57+1Тогда, если развивать мысль дальше - такие данные должны быть защищены цифровой подписью, чтобы отреверсив приложение - нельзя было перехватить управление, опубликовав сообщение с нужным хэштегом и данными внутри. А это сильно больше битов выходит...
irondsd
29.12.2021 11:05Хорошая идея. Но и минус тут тоже есть. Условно, запретить публиковать текст с цифрами инстаграм и твиттер не могут. А вот запретить публиковать цифровую подпись, под угрозой ареста сотрудников, могут.
unsignedchar
29.12.2021 11:11запретить публиковать цифровую подпись, под угрозой ареста сотрудников
WAT?irondsd
29.12.2021 11:19+4Росгвардия арестовывает секретаршу из офиса твиттера, и угрожают твиттеру, что если они не запретят публиковать xxx, она сядет на n лет.
Этим самым они воспользовались, чтобы заставить гугл и эппл удалить приложение.
Druj
29.12.2021 11:40По итогу гражданка РФ работающая на твиттер получает срок, какие потери несёт иностранная компания?
irondsd
29.12.2021 11:43+5Моральные. Это в России жизнь человека ничего не стоит. Жители цивилизованного мира относятся к жизни человека очень серьёзно. Любая иностранная компания скорее полностью свернёт работу в РФ, чем подставит под удар своих сотрудников.
Druj
29.12.2021 11:52Очень наивный взгляд на вещи, хотя и я могу ошибаться. Не приплетаю сюда рассуждения о «капитализм -> прибыль > мораль», просто напомню что на регулярной основе в СМИ поднимаются скандалы про отношение компаний к своим сотрудникам, чего уж говорить о сотрудниках находящихся в другой части планеты
YMA
29.12.2021 11:19+1Имел в виду не размещать в соцсетях файл с ЭЦП установленного формата, а прятать в стеганографии блоб, содержащий в себе данные и цифровую подпись к ним. ;)
Но это надо будет уже не 32 бита, как для IP адреса, а как минимум бит 300 прятать, насколько я понимаю, чтобы хотя бы 256 бит сертификат был.
izogfif
29.12.2021 17:08256 бит сертификат
Вроде ED25519 и ECDSA (ну или как там стандарты на основе эллиптических кривых) позволяют меньшие по размерам делать при сравнимой степени безопасности. По крайней мере ключи, которые приходится прописывать в
authorized_keys, гораздо короче тех, что сгенерированы RSA-2048.
irondsd
29.12.2021 11:24В целом, продумать систему, которую будет очень болезненно заблокировать. То есть сделать несколько хэштегов, причём достаточно популярных и актуальных, чтобы их нельзя было безболезненно заблокировать даже для твиттера. То есть хэштег #Gq4H7d заблокировать можно. А вот хэштег #путин во время выборов - это уже совсем другое. Условно, в такой-то день, мы используем такой хэштег, на следующий, другой.
1) Сделать ротацию хэштегов по датам, чтобы в разные дни использовались разные
2) Обновлять списки хэштегов по датам, когда произойдёт коннект на бэк
3) Приложение мониторит хэштег, пока не находит какой-то айпи адрес, дальше пробует на него постучаться
4) Успешно - устанавливаем соединение. Нет - продолжаем мониторить
vgogolin
28.12.2021 20:13+1DoS - просто и со вкусом ???? Можно даже через комменты на Хабре )
unsignedchar
28.12.2021 21:18+3Dns over bitcoin. Кодировать биты полезной информации в суммах транзакций между N кошельками.
anydasa
28.12.2021 21:35Так не обязательно точки точками писать. Придумайте шифр
unsignedchar
28.12.2021 23:16+1Тут важна сама концепция. Блокировка bitcoin обернется реальными финансовыми потерями, в том числе и для блокирующих. Заблокировать отдельный кошелек невозможно. Фальсифицировать перевод между 2 кошельками практически невозможно.
Есть и готовый dns over Blockchain, но это немного не то
AAbrosov
29.12.2021 00:26+2IP v4 адрес вполне очевидно описывается 32-битным числом, более того эта форма представления вполне стандартна. Цифр конечно чуточку больше. Вообще, такой обмен десятизначными числами через соцсети - вполне разумный ответ на такое поведение самизнаетекого. Чем-то напоминает распространение md5 от запрещенных торрентов.
Попробуйте "ping 2130706433"
ku4in
30.12.2021 22:14А в чем идея использовать iodine? Это же тунуль через DNS? В чем сложность его заблокировать, поясните, пожалуйста, не понял.
amarao
31.12.2021 00:20iodine невозможно заблокировать, оставив рабочим dns. У iodine есть разные протоколы (типы записей). Наименее эффективный, но самый пуленепробиваемый - это A-записи. Он неотличим от обычного dns-query, и может производиться даже через ресолверы провайдера.
При том, что конкретную зону можно заблокировать, и довольно эффективно, его очень трудно обнаружить, особенно на не очень больших объёмах данных.
maxnosib
28.12.2021 14:07-103опять тут политоту разводят
YMA
28.12.2021 15:10+31Да ладно, вполне техническая статья про противостояние "меча и щита". Предмет, конечно, политотный, но читается хорошо.
Интересно, а почему не использовать полностью децентрализованные системы? Типа той же банальной DHT? Блочить будет просто или нечего - или всё.
Pas
28.12.2021 15:31+1DHT отлично блокируется в бытовых условиях, собственно, попытка этого была уже реализована и на стороне DPI: https://roskomsvoboda.org/post/rkn-blochit-protokoly-i-dns/
vikarti
28.12.2021 15:17+32А где тут политота? Тут решение конкретной технической задачи.
Могли с тем же успехом заменить название приложения и органа цензуры и так далее — и задача и методы решения — остались бы интересными.
Pas
28.12.2021 15:40+37
hMartin
28.12.2021 14:48+32Хорошо, что готовились.
Плохо, что вы и некоторые другие активисты, транслировали мнение о том, что appspot и приложения не заблокировать. А после победы другого лагеря, еще и не признали своих ошибок, говоря, что все было правильно(см спойлер)
Главное, когда борешься с кем-то, не стать похожим на этих людей
this
Pas
28.12.2021 15:36+6При признании всех заслуг Климарёва, у него очень часто проскакивают весьма пафосные и не до конца проработанные утверждения. Это факт.
Учитывая, что appspot выделяет клиентским инстансам поддомены, они также прекрасно блокируются парсингом SNI и отправкой следом TCP-флага RST в сессию.
wanderer_from
30.12.2021 21:44+1Хех. Таки у меня есть какие-то заслуги. А то меня всё синдром самозванца мучил
Pas
30.12.2021 22:30+2Конечно. Нельзя одним качеством обесценивать иное, так и до "культуры отмены" рукой подать. А с синдромом самозванца — это к психологу )
На мой взгляд, российская бюрократически-репрессивная машина, безусловно буксует, но всё же показывает всё более слаженную работу. Вероятно всё же нащупан "стержень", на который нанизываются до этого неработающие узлы сей машины, так что я бы не стал недооценивать негативные регулятивные перспективы в ближайшем будущем. Да и морально-этические "понятия" что можно делать с инфопространством, а что нельзя, неукоснительно снимаются и барьеры рушатся. Ваша частая бравада на фоне этого иногда выглядит нелепо, что искажает результаты действительно полезной деятельности по гражданскому информированию. Без обид )
leonwolf
28.12.2021 15:41+11Но ведь статья ровно об этом: о том, что ничего нельзя заблокировать, и что путем определенных усилий РКН можно победить. И мы были к этому готовы, и работали, и вот — отчитываемся об этой работе
bgBrother
28.12.2021 15:47+4Это вечная борьба, при которой у «щита» периодически заканчиваются инструменты, а «меч» всё более острый, не говоря уже о снижении скорости, низкой доступности относительно человека и повышении затрат.
Vilgelm
28.12.2021 20:15+2Заблокировать можно, вопрос в сопутствующем ущербе. Но судя по тому что в последнее время происходит — плевать они на него хотели. Например, ни у меня, ни у моих знакомых приложение Навальный не работало в дни голосования, показывались или «сказочные кандидаты», или ничего вообще при подключении напрямую (через VPN все работало).
Пользуясь случаем спрошу — а почему вы не залили списки УмГ в какую-нибудь распределенную сеть? Точнее я примерно понимаю что ответ будет в духе «туда пойдут только 2.5 анонимуса с Хабра», но можно, например, записать информацию в блокчейн и распространять хэш транзакции с небольшой инструкцией что с этим делать (в том же приложении при недоступности серверов), в таком случае вся задача поиска списков сводится к «просто загуглить хэш и найти незаблокированный эксплорер», которых довольно много и бегать блокировать руками каждый РКН просто замучается.
На мой взгляд нужно переходить на какие-то децентрализованные решения во всем. Рано или поздно все крупные компании или продавят, или заблокируют, все идет по китайскому сценарию. Скажем создать зеркала информационных ресурсов в каком-нибудь условном Aether, Minds или другом аналоге, который наиболее сложно заблокировать через DPI, и распространить среди аудитории информацию из разряда «когда заблокируют, вы знаете где нас искать». При выборе технического решения можно ориентироваться на Китай — если там это работает, то и в России скорее всего будет, ничего хуже чем Золотой Щит они тут все равно ничего не сделают.amarao
28.12.2021 22:32+1Блокчейн по сигнатуре протокола блокируется ещё проще, чем SSL. Я тоже хотел сначала написать про смарт-контракт или что-то такое, а потом понял, что ledger distributed, а протокол - single, так что блочить его - одно удовольствие.
Vilgelm
29.12.2021 08:30+1Блокчейн (*coin network) блокируется. А вот огромное множество блокчейн эксплореров (например), которые берут данные из блокчейна и отображают просто в web по http(s) — нет. Их нужно каждый блокировать вручную. При этом единожды записав данные в блокчейн они автоматически разойдутся на все эти эксплореры.
Таким образом мы получаем тысячи, а то и десятки тысяч несвязанных друг с другом зеркал, которые нельзя заблокировать единой регуляркой, через DPI или как-то там еще, только вручную сидеть и искать. Что явно не задача для 5 выборных дней, ни один РКН такое не осилит.
А для того чтобы найти такое зеркало достаточно просто загуглить хэш транзакции, они вроде бы неплохо индексируются. При этом закон о том, что «запрещенку» нужно удалять из выдачи тут только на руку, не надо будет натыкаться на заблокированное.
snizovtsev
29.12.2021 09:50Заблокируют сразу, как ссылка на эксплорер разойдётся по соцсетям. И сотню, и тысячу заблокируют, потому что там нет ни бизнеса, ни зрелищ.
Vilgelm
29.12.2021 10:25Конечно заблокируют. Но одну конкретную ссылку. А эксплореров разных (на разных доменах, от разных владельцев итп) тысячи. И заблокировать их все можно, но это придется сделать руками. А на это уйдет больше, чем 3 дня выборов (т.е. времени, когда эта информация актуальна).
Приведу пример: допустим я хочу чтобы этот комментарий могли всегда найти. Я напишу здесь что-нибудь типа dshciwhef83h48fh48dh8234hf83hf98ewh и теперь человек загуглив эту белиберду всегда попадет на эту страницу с моим комментарием.
Злодей не хочет чтобы этот комментарий был доступен, поэтому он берет и блокирует эту ссылку. Возможно Хабр даже удалит комментарий чтобы не оказаться под блокировкой.
Но при этом существуют сайты, которые Хабр парсят (например Сохабр и так далее, в случае с блокчейном их тысячи). На которых этот комментарий тоже появится после того как я его написал на самом Хабре. И заблокировать их через DPI или как-то еще сразу разом невозможно, это нужно делать руками, на что уйдет больше 3 дней.
Поэтому в соцсетях мне нужно будет распространить не ссылку, которую можно заблочить, а примерно такую инструкцию: «загуглите dshciwhef83h48fh48dh8234hf83hf98ewh и на первой незаблокированной странице будут нужные данные». И все.
Единственный способ с этим бороться резко и сразу — заблочить Гугл и прочие поисковики. Что в день выборов никто делать не будет, потому что зачем людей злить?
tyomitch
29.12.2021 10:28+1А в чём разница, постить в соцсетях сам список, или волшебный хэш, ведущий к нему?
Vilgelm
29.12.2021 11:25Если говорить про ситуацию на данный момент, то списки с большей вероятностью удалят, как в итоге удалили приложение Навальный или заблокировали бот Умного Голосования. Заставить западные компании заблокировать некий хэш сложнее, сам по себе хэш не может нарушать законов (да, про это я знаю, но это все же другое).
Если говорить про будущее с тотальной цензурой как в Китае, то распространить некий случайный набор данных незаметно проще, чем распространить что-то такое, за чем охотятся. Можно нейросеткой распознавать и блокировать картинки с Винни-Пухом, но довольно сложно сделать тоже самое с каким-нибудь хэшем, особенно если он подвергнут какой-нибудь обсфукации (типа как seed word или что-нибудь такое).
PsyHaSTe
29.12.2021 10:52+1Что мешает заблокировать все популярные эксплореры? Что мешает заблокировать вообще все сайты в которые входят слова eth и coin?
Vilgelm
29.12.2021 11:29А чем вам непопулярные не угодили? Они точно так же индексируются.
В домен эксплорера не обязательно должно входить слово eth, coin, bit и так далее. Одна из первых ссылок в Гугле ничего из этого в домене не содержит, например. Лазить внутрь https трафика они не умеют и я надеюсь не научатся.PsyHaSTe
29.12.2021 12:06Ну так раз индексируется значит оно и блокируетяся на основе тех же данных, нет? Что мешает забанить все сайты скажем с первых 100 страниц гугла по запросу blockchain explorer?
Vilgelm
29.12.2021 12:18Время. Забанить их можно все, но это нужно сделать в течении 3 дней пока списки актуальны. Это придется делать руками (если просто спарсить 20 (больше он не даст, можете проверить) страниц гугла и автоматом забанить, то это может и не помочь, выдача вещь довольно персонализированная, зависит от запроса, локации и так далее).
То есть суть идеи именно в противодействии автоматизации: нельзя просто взять и заблокировать определенный домен или домены по маске, либо подсеть или AS, либо определенный протокол через DPI, нужна ручная и относительно продолжительная работа.
PsyHaSTe
29.12.2021 12:30+1Какие 3 дня? Васе дается задание за неделю подготовить список из ~1000+ биткоин эксплореров. Пете то же задание для эфира. В определенный момент эти списки улетают в блеклист, всё.
тут нечего автоматизировать, эксполреры не появляютя как грибы после дождя сами по себе, если поднять собственную ноду то пользовтаели на ней сами не заведутся тоже.
Vilgelm
29.12.2021 13:22Это если сильно заранее знать какая именно монетка\технология будет использоваться. А если такого знания нет и Вася с Петей об этом узнают за пару дней до часа X (сколько там обновление приложения занимает в сторе), то тогда не получится так.
PsyHaSTe
29.12.2021 14:06Если мы про блокчейн то я по сути назвал всё что есть. Ну может парочку следующих по популярности тоже взять — всё. А то что там хакеры в столовых будут перемигиваться азбукой морзе, передавая таким образом настоящие списки кандидатов — это все игры в песочнице. Главное чтобы 99 Иван Иванычей из 100 придя вечером с завода не смогло нажать на синий глаз внизу монитора и узнать что там ФБК ему советует.
Vilgelm
29.12.2021 14:23Подойдет любая конкретная реализация, которая позволяет «одним махом» распространить информацию по тысячам уникальных и не имеющих ничего общего между собой сайтах, которые работают по обычному https и не имеют запрета на индексацию. Ничего сложного в том чтобы загуглить какой-то набор символов вроде бы нет, даже Иван Иванычу доступно. По крайней мере это проще чем настроить себе VPN, который сможет обойти блокировки РКН.
amarao
29.12.2021 11:28+1Дело не в наличии информации, а в использовании их приложением. Откуда приложение их знает? Список? Вот этот список и будут блокировать. Это мало отличается от описанных в статье блокировок по url'ам.
Vilgelm
29.12.2021 11:40Возможно я как-то неправильно объясняю, попробую еще раз: приложение берет данные с какого-то сервера. В случае недоступности этого сервера оно показывает ничего либо сообщение об ошибке.
Я говорю о том, что в случае недоступности серверов можно показывать не сообщение об ошибке, а сообщение с неким хэшем и краткой инструкцией что с ним делать чтобы найти данные (взять некий набор букв и цифр, загуглить, найти незаблокированный ресурс, там окажутся нужные данные).
Единственное что хэш неизвестен заранее (что я не учел в предыдущем комментарии), поэтому этим набором цифр и букв будет не хэш, а адрес кошелька (который известен изначально), но это не меняет самой сути идеи.
А сама идея тут в том, что при помощи записи данных в блокчейн можно получить тысячи зеркал данных, которые не будут связаны между собой чем-либо (т.е. их нельзя просто взять и заблокировать по маске, типа *.appspot.com) и которые нельзя заблокировать по сигнатурам через DPI (придется блокировать весь https).
Естественно тот же эффект можно получить и просто регой кучи доменов и покупкой кучи vps в разных местах, но это дорогое удовольствие, о чем и упоминается в статье.amarao
29.12.2021 11:48В биткоин вы ничего не закодируете, а ссылаться на smart-контракт вполне можно, да. Но тогда под раздачу попадёт etherium (или ещё меньшие chain'ы).
Ещё ipfs есть, но там нужно хеш заранее знать (чтобы было на что ссылаться), а по условиям ТЗ контент нельзя публиковать до дня X.
bgBrother
28.12.2021 15:44+10От себя тоже добавлю, что нет смысла сильно прислушиваться к Климареву из ЗаТелеком. Многие его тезисы действительно не соответствуют текущему положению дел.
Alexsey
28.12.2021 17:15+18Отписался от ЗаТелеком после того как товарищ заявил что ничего такого страшного в недавней уязвимости в log4j нет, все это истерия и в реальной жизни использоваться не может. Если человек так уверенно лезет в тему в которой вообще ничего не понимает, то как то резко уменьшается доверие к любым его высказываниям.
AntonAlekseevich
28.12.2021 22:28+2Насчет Log4J.
Эта проблема появилась с момента когда JNDI Lookup стал частью кода Log4J и об этой проблеме вещали если мне память не именяет с 2016 года.
Говорить о том, что "ничего страшного в уязвимости нет" при текущем количестве софта написанного с этим журналлером просто недопустимо, но и говорить что "все это истерия и в реальной жизни использоваться не может" незначительно оправдано поскольку конфигурационный файл log4j может быть написан так `%C: %m{nolookups}` что при выводе сообщения мы не исполним объект переданый через JNDI хотя напишем про него в том же сообщении и кто за это отвечает.
romancelover
28.12.2021 15:15А если в приложении разрешить p2p? особенно с распространением IPv6 с полносвязностью стало бы актуально, хотя и по IPv4 на домашних Wi-Fi скорее всего тоже получится установить входящее соединение. Обновление адресов по принципу торрент-трекера с DHT.
Хотя в таком случае РКН попытался бы отслеживать такие адреса с целью потом предъявить пользователям претензии за распространение нелегального с точки зрения РКН контента. Хотя можно было бы ограничить распространение пользователями за пределами России или использующими VPN с зарубежными IP.
И встал бы вопрос, откуда получить первичный адрес для инициализации системы (общий вопрос при создании любой системы борьбы с блокировками). Запросы в DNS можно отфильтровать, или быстро банить по IP. Может быть через push уведомления? или всё же через DNS с очень быстрой сменой адресов?
emashev
28.12.2021 15:27+36Лет 7-8 назад, многие смеялись, что что интернет в РФ власти вообще могут хоть как-то контролировать, что нельзя построить китайский вариант, так как в него вбухано гораздо больше и существует он давно и нам "до их технологий" еще очень далеко.
Думаю, что лет через 5 такими темпами по закручиванию гаек, уже никто не будет удивляться "социальному рейтингу". А через 10, вместо людей на зарплате, писать про плохие 90е, кто если не он и тп - будет уже прокачанная нейросетка или "туповатый" ИИ. Хотя мне порой кажется, что там уже нейросеть работает.90korolev
28.12.2021 20:24-11А 90е были хорошие?
zxcvbv
28.12.2021 21:53+9А это смотря чем мерять. Кому-то паханом на зоне быть лучше, чем бомжом на воле, ну а многим, скорее, наоборот.
HenryPootle
29.12.2021 10:53"Те, кто готов пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности." (с) изобретатель громоотвода.
Я вас, возможно, огорчу, но для большинства людей верно обратное вашему утверждение. Общества (индо-арии в момент расселения, ранние США и Старый Запад США, etc), в которых дела обстоят именно так, как вы написали, крайне редки и относительно быстро переходят в обычное состояние.
stalker_by
28.12.2021 15:36+55Жителю РБ очень забавно читать предложения вроде "Не будут же они ..." в отношении Интренета. Смешные Вы как дети, ей Богу.
P.S. Никаким образом не могу расширить свой комментарий из-за причин юридического характера.
P.P.S Читайте Солженицына или новости из РБ, вполне себе образ будущего.
Weron2
28.12.2021 21:31+6Ага. Я из Казахстана, у нас блокировали жж и blogspot. Просто тупо целиком.
У меня потому и возник вопрос интересный: а почему нельзя заблокировать целиком appspot? Что такого там есть важного из-за чего может народ взбунтоваться?..
bee4
28.12.2021 15:41+25Вам это сто раз говорили, наверное, но спасибо за то, что стали более прозрачными. Это важно, правда.
bee4
29.12.2021 00:09-3Получил на почту письмо о собственной захабренности, весь такой из себя гордый пытаюсь нажать на первый свой хабраплюс, а не получается. Захожу в профиль - и нахожу миниатюру о воздействии политики на умы.
tyomitch
28.12.2021 16:02+19www.rknidiotdohni.fun"иди, отдохни" или "идиот, дохни"?
osipova
28.12.2021 17:01+1вообще, они могли бы так много горячих приветов передать, но конкретно эти перечисленные очень приличные. я бы, наверное, на их месте не смогла сдержать свою фантазию))
DerBad
29.12.2021 14:22Нууу… вряд ли креативщики были ограничены количеством используемых символов и зажали букву «s» для полноценного «sdohni»)) Так что, скорее всего, «otdohni»)
Kkse
28.12.2021 16:38+7Из статьи не совсем понял, последний вариант приложения реализовывал все-таки esni или ECH или нет? Если да, то как ркн его блочил/не блочил, а если нет, то почему нельзя было реализовать esni/ecp в виде какой-нить кастомной либы для андройд/иос. ??? Ведь, вроде как реализация этих вещей (esni или ECH на базе той же клаудфлары) например в виде отдельной либы в приложении, должна напроч обставить тпсу - тогда ркн придётся полностью блочить флару - а это фактически 3.14дец всему. В чем же была проблема, интересно узнать?
На счёт объединения малинок в впн - надо быть осторожнее. На месте тов майора, я б обязательно выпросил бы у вас такую малинку, отреверсил бы её и "посмотрел бы внутрь" вашего впн...
Vilgelm
29.12.2021 10:47+5РКН уже блочил полностью (частично оно работало, но только если сайт за Cloudflare был на платном тарифе, там были другие айпишники) Cloudflare во времена, когда DPI мало у кого стоял. Ничего такого не произошло, хотя пользователи испытывали кучу неудобств.
Во время борьбы с РКН у клиентов почти любого мелкого провайдера (а это 28% рынка) не работал google.com и прочие гуглосервисы. Или работали через раз (у Гугла так сеть интересно устроена, что на фронт почти любого своего сервиса они отдают случайный айпи из небольшого пула где-то на 100 айпи, РКН тогда поблочил процентов 30-40 из них). По сути это означало неработоспособность интернета для большинства пользователей из этих 28%. И что, это остановило их?
Давно уже пора понять, что властям в целом плевать на ваши неудобства. Они стараются не навредить крупному бизнесу и по возможности не злить лишний раз людей, но это не что-то что находится в приоритете и не что-то, что остановит их от блокировки в случае необходимости.
osipova
28.12.2021 16:58+13Восхищена таким упорством и подходом!! И это в условиях неограниченного бюджета и всех возможных ресурсов ркн!
(подумалось, может, там внутри есть своя маааленькая оппозиция, которой приходится шифроваться, но они всегда могут работать чуть медленней, иногда с ошибками, а после 5 вечера вообще не работать...)
andy_p
28.12.2021 20:41+3Тут вообще возникает вопрос, что за люди там работают ?
stalker_by
28.12.2021 23:10+5"... кто то же написал 4 млн доносов"
Pavel1114
29.12.2021 05:32+3важно понимать, что для написания 4 млн доносов не нужны 4 млн человек
stalker_by
29.12.2021 15:57Ну так и РКН не 4 млн сотрудников нужны.
А вообще в ветке ниже уже ответили на оригинальный вопрос.
lunacyrcus
28.12.2021 17:11+12Ну даже не к чему особо придраться с того как вы действовали на протяжении всей этой "кампании", вообще приятно видеть явно неплохой уровень тех. грамотности и даже по статье видно что многие детали понимаются и учитываются, и подходы выбраны хорошие (как вот тот же распределенный мониторинг доступности).
Я бы даже сказал что именно касательно технических действий, то это бесспорная победа с вашей стороны. Другое дело что только этого все равно не будет достаточно.
me21
28.12.2021 17:42запрет на использование на территории РФ протоколов шифрования, которые позволяют скрыть имя (идентификатор) интернет-страницы или сайта.
То есть VPN?
Vilgelm
29.12.2021 10:49VPN де-юре запретили уже несколько лет назад, а это про всякие DoH.
me21
29.12.2021 11:00Подождите, де-юре запретили? Это как?
Vilgelm
29.12.2021 11:44+5Какое-то время назад был принят закон, что VPN сервисы обязаны подключиться к реестру РКН и блокировать то, что в него входит, либо они считаются угрозой устойчивости сети Интернет (или как-то так, точную формулировку не помню) и должны быть заблокированы. Собственно на основе этого и строится нынешняя война РКН с VPN сервисами.
Пока это происходит в виде черных списков, но ничто не мешает в будущем блокировать VPN по сигнатурам с исключением в виде белого списка для корпоративных и тех, что подключились к реестру РКН. Собственно, на мой взгляд, сейчас оттачиваются механизмы для этого (РКН делает запросы к предприятиям не просто так, ровно как и блокировка Tor похожа на бета-тест).
Kkse
29.12.2021 12:17Тут реч не про впн, а про протокол tls1.3. В случае tls 1.2, когда ты идёшь на navallny.com, твой браузер посылает первый tls пакет, в котором пишет запрещённое в РФ слово открытием текстом. Именно по этому слову и блокируют тпсу у провайдера.
Протокол tls 1.3 это запрещённое слово как раз шиырует, а ключи для шифрования и берутся как раз из txt записей запрещённого домена по протоколу doh.
Т.о.повсеместное внедрение tls 1.3 на клиентских устройствах каждой домохозяйки в РФ поставит раком все тпсу и ркн вместе ними. (всякие гики вроде нас -им не интересны. Они всегда смогут по впн работать. Тут именно борьба идёт за массовое использование)
Именно поэтому tls 1.3 является главной угрозой щейчас для тпсу..
F0iL
30.12.2021 22:01+1То, про что вы говорите (шифрование доменного имени при хендшейке) относится к eSNI/ECH. К сожалению, оно не вошло в TLS v1.3.
Nekit1234007
30.12.2021 22:38+2В tls1.3 домен точно так же в открытую отсылается. Вы наверно путаете с ECH, о котором в статье тоже говорится. Но это расширение ещё нигде не используется.
MihMuh
28.12.2021 17:49+6А зачем вообще нужно было держать бекенд доступным? Кажется, что главной задачей было донести списки в тот момент, когда их больше нельзя менять.
И это проще сделать путем публикации постов в соцсетях (youtube/twitter/github/facebook etc) со встроенной инфой (видео-фотки-аудио-текст - не важно). Остается передать адрес одного из этих постов в нужный момент. А это можно сделать ничего не передавая непосредственно, а просто имея любую общую инфу. E.g. берем первые 10 байт любого из топ-10 видео на Youtube и идем на адрес {bytes}.appspot.com, там получаем один из адресов постов (можно более умный алгоритм сделать, но идея понятна). И это надо сделать 1 раз на пользователя, после чего он имеет все нужные данные, а не обеспечивать выполнение каждого запроса из приложения.
Я пробовал пользоваться приложением в день выборов (Питер, Теле2), работало очень плохо. В итоге всем друзьям искал кандидатов через документ вручную
PsihXMak
28.12.2021 23:35+5Мне, лично, пришло сразу несколько документов, за кого голосовать, из разных источников. И непонятно было, какой из них настоящий. В этом плане, приложение помогло.
MihMuh
28.12.2021 23:41+3Я писал о том, что _приложение_ должно было скачать правильный список. Для вас как пользователя это ничего не меняет. Но будет нужен всего 1 сеанс связи per user для скачивания списков вместо сервера, который должен обработать кучу запросов per user.
UPD: перечитал еще раз свой пост. Криво написал, поясню: "со встроенной инфой (видео-фотки-аудио-текст - не важно)" значит, что из этого источника можно получить txt-файл с нужными данными (watermark-данные в видео, exif в фото etc), и приложение умеет это делать.
По сути в нужный момент вы публикуете "ссылку" (URI). Причем публикуете так, что до этого момента никто не знает, ГДЕ вы ее опубликуете, потому что это зависит от "Youtube top-10" на тот момент в будущем; поэтому заранее заблокировать это место нельзя. При помощи этой ссылки можно сходить на кучу заранее приготовленных источников данных на всех платформах, из которых получить список. Файлы заранее тоже не заблочить, потому что вы не знаете, какие файлы блочить. Таким образом, получается список. И желательно, чтобы, на самом деле, это был не только список, но и инфа про адреса, то есть чтобы функция адрес-> кандидаты после этого работала полностью локально
Gumrak
28.12.2021 19:24+6Немного, чего понял, но красиво. Строчите ещё. И где прочитать версию от РКН, может кто подскажет?
ky0
28.12.2021 20:10+12Версию от РКН почитаем, когда на соответствующем суде очередь защиты озвучивать свои аргументы будет.
vikarti
28.12.2021 20:31+11Видимо пока нигде. Примерно с тех пор как Жарова на хабре встретили… понятно как. Хотя может быть и стоило общаться нормально… в том числе и чтобы иметь в таких вот случаях "версию от РКН". Техническую.
robert_ayrapetyan
28.12.2021 19:40+6Интересно узнать где РКН берет довольно неплохих по уровню специалистов. Вряд ли настоящие спецы по доброй воле туда сами пойдут работать. Скорее, им вынужденно помогают работники самих провайдеров? Или сотрудникам условного Яндекса делают предложения, от которого те не могут отказаться?
nidalee
28.12.2021 19:55+14Вряд ли настоящие спецы по доброй воле туда сами пойдут работать.
Деньги для многих не пахнут. Плюс, возможно, им силовые структуры в этом помогали, там вопроса доброй воли не стоит. Ну и есть некоторый процент идейных все же, куда без них.
amarao
28.12.2021 22:36+16У меня как-то была дискуссия с таким товарищем, всё просто, он себя с властью ассоциирует. Мол, мы можем. А вас тут не спрашивали.
BeMySlaveDarlin
29.12.2021 00:48+10Вы, наверное, страдаете, когда вокруг столько людей, чьи взгляды не совпадают с вашими?)
Рассуждая в рамках "мое мнение адекватное и обоснованное, а моих оппонентов мнение - чистой воды идиотизм или оплачено хорошо", вы становитесь в один ряд с провластными ботами и активистами.
Свобода слова и прав предполагает именно свободу любого, а не конкретного слова.
Qubc
29.12.2021 10:37+7Вы, наверное, страдаете, когда вокруг столько людей, чьи взгляды не совпадают с вашими?)
Когда вокруг столько людей, чьи взгляды не совпадают с постулатомСвобода слова и прав предполагает именно свободу любого, а не конкретного слова.
и чьи материальные действия ограничивают и оспаривают постулатСвобода слова и прав предполагает именно свободу любого, а не конкретного слова.
, вопрос наступления реальных страданий и цензуры становится лишь вопросом времени.
Vilgelm
29.12.2021 10:51Скорее всего в Китае, сотрудничество в рамках цензуры интернета с Китаем ведется и никто это не скрывает. Общая концепция и многие детали заимствованы напрямую оттуда.
usr00210
28.12.2021 20:53+5в ближайшие 2-3 года Чебурнет придет к россиянам. советую айтишникам перебираться в страну эльфов ибо в мордоре в ближайшем будущем на всех баланды не хватит.
lizardus
28.12.2021 21:41+16Да, бегите пока не поздно. Когда будет поздно провторится картина давки в Кабульском аэропорту. Все нужно стараться делать заранее. Направление движения вашей страны давно предсказуемо начиная с 14 года. "Бегите глупцы."
zxcvbv
28.12.2021 21:59+2Есть мнение, что в 2023-2024 из-за выборов ничего кардинального трогать уже не будут, поэтому успевать шуровать шваброй нужно в 2022м.
Ar0x13
28.12.2021 21:34+1Та да смотрю чет соседи у вас совсем там гайки прикручивают - го к нам в Украину:). Тут и зп повыше и привязка к $$$ и к Европке ближе)
General_Failure
28.12.2021 21:46+3В Украине норм, но есть беда с видом на жительство. Мимокрокодил, не имеющий родственников в Украине или чемодана баксов, может получить ВНЖ только через разрешение на работу, а айтишные компании в основном работают через ФОП вместо найма в штат.
Есть ещё левые схемы через волонтёрство, но если она реально левая — могут вскрыть и тогда гоу хоум форева. А через убежище получать — надо во-первых иметь основания, во-вторых можно не суметь покинуть свою прекрасную родину, когда они реально будут.
wa_Nadoo
29.12.2021 02:33+2В Украине можно получить постоянный ВНЖ по квоте для высококвалифицированных специалистов. Здесь https://t.me/bel_IT_UA/44984 и здесь https://www.immigration2ukraine.org/specialists.html есть подробные гайды, как это сделать. Написано для граждан Беларуси, но для россиян будут минимальные отличия. Инициативу продвигает местное Минцифры https://thedigital.gov.ua/quotas. Обязательное требование - 3-года опыта в ИТ. Профильный диплом и ЗП $24000 будут плюсом.
General_Failure
29.12.2021 09:37+1Очень интересно, большое спасибо!
Здесь первый же шаг — найти работу:Крок 1.
То есть всё равно нужна работа? У меня есть, но у тех кто только собрался переезжать, ещё нет.
Підготовка
Зібрати пакет документів. Для цього можна активно залучати компанію, яка запрошує іноземця на роботу. Юристи компанії можуть отримати вичерпні консультації та практичну допомогу в територіальному підрозділі ДМС України та Міністерстві цифрової трансформації.
Правда, ниже вот что:Крім того, Мінцифри має можливість офіційно підтримувати таке клопотання про отримання дозволу на імміграцію
Минцифры может помочь и без трудоустройства?Профильный диплом и ЗП $24000 будут плюсом
Вышки нет, диплом из колледжа наверное не сильно поможет. А с зп на работе схитрожопили ради экономии на налогах. Эти пункты сильно влияют на решение? Правда опыта у меня побольше 3 лет, может это скомпенсирует другие два пункта :)wa_Nadoo
29.12.2021 17:01Минцифры может помочь и без трудоустройства?
Да, программа квот рассчитана именно на релокацию без трудоустройства. Если у вас есть оффер от местной компании, то для этого есть другая программа с получением временного ВНЖ на время действия контракта. Лучше читайте ссылки на гайды, что приводил выше (особенно https://t.me/bel_IT_UA/44984). Там суперподробно разобраны все возможные варианты.
Если совсем кратко, то присылаете доки в подтверждение опыта работы в ИТ (выписка из трудовой, либо договоры подряда, либо другие договоры на оказание ИТ услуг). Опционально можно справку о ЗП за последний год, либо другие доки, подтверждающие получение денег за ИТ-услуги. Их проверят и пришлют официальное ходатайство в миграционку, что вы высококвалифицированный спец. С этим ходатайством уже можно подаваться на разрешение на миграцию и постоянный ВНЖ.
То есть всё равно нужна работа? У меня есть, но у тех кто только собрался переезжать, ещё нет.
В 2021 г. приняли много упрощений, не все сайты ведомств оперативно обновляют информацию. Самые надежные способы, либо читать гайды, где описан личный опыт, либо читать законы в оригинале.
А с зп на работе схитрожопили ради экономии на налогах. Эти пункты сильно влияют на решение?
Это опциональный пункты. Если $24000 в год наберется, то будет плюс, если нет, то подавайтесь только с подтверждением опыта.
Pas
30.12.2021 22:43Чем-то похоже на Эстонскую программу Digital Nomad Visa, для релокации IT Self Employeed.
Vilgelm
29.12.2021 10:57+1Те, кто может получить постоянный ВНЖ по квоте для высококвалифицированных специалистов скорее поедут куда-нибудь в ЕС по blue card. Украина прекрасная страна, я ничего не хочу плохого сказать, но обычно люди стараются поехать туда где платят побольше и вообще страна побогаче и тут выбор плюс минус очевиден.
Но насколько я знаю в Украине можно получить ВНЖ на основании рождения тебя или родителей на территории Украины, что для многих должно подойти.wa_Nadoo
29.12.2021 17:20Для blue card нужен контракт на год и в случае увольнения вы должны найти новый контракт, на основании которого вам продлят программу. Так же blue card разрешает работать членам семьи только через 18 месяцев. Получается больше ограничений.
Преимущество постоянного ВНЖ по квотам в Украине, что он не требует трудоустройства и позволяет познакомиться со страной, городами, походить по собеседованиям и выбрать не ту компанию, которая захочет возиться с миграционными документами, а ту, где комфортнее работать. Выдают его примерно через полгода после подачи документов, потом вся семья получает ВНЖ и возможность работать на основании вашего.
Pas
30.12.2021 22:53Ну, про Blue Card вы загнули, конечно. Не смотря, что это обще-ЕС инициатива, в разных странах реализована она по-разному. Другое дело, что Blue Card может не потянуть работодатель, если он совсем небольшой и с малым оборотом, в основном эта программа рассчитана на средних и крупных работодателей. В Эстонии, например, для IT-компаний есть статус компании-стартапа, позволяющей обходить квоты по ежегодному найму нерезидентов ЕС, по уровню оборотов компании и по минимальной зарплате для работника стартапа.
PsyHaSTe
29.12.2021 11:04Вы цифры-то уточняйте пожалуйста со временем. $24k может быть и в год, и в месяц. А разница везьма велика
tvr
29.12.2021 15:39Мимокрокодил, не имеющий родственников в Украине
А какой степени родства достаточно будет для упрощения процесса?
cofob
29.12.2021 00:00+2Почему не используют i2p? Протокол же как раз создаётся для обхода блокировок, приватности и анонимности, отлично работает на телефонах.
Bonio
31.12.2021 11:10Потому что в сети i2p полтора забытых ресурса. Сеть мертвая, а ее система dns со скачивание txt файлов непонятно откуда не выдерживает критики.
DaytonCavalet
29.12.2021 00:00-26Статью было почитать, конечно, интересно, но в какой-то момент меня посетила мысль о том, как все это дело выставляется?
Мы нарушили закон некой страны (беспредел это был или нет, правильное решение или нет - это вопрос, в данном случае, второй) и нас заблокировали.
Мы всеми силами пытаемся обойти блокировку, используя ухищрения и используя рынок в своих интересах (что нормально), но при этом подставляя сотни и тысячи людей, а также бизнесы, которые попадают "под раздачу" совершенно случайно или просто за то, что предоставили нам свои услуги или "сидели рядом" (это уже эгоцентризм. Мне плевать на всех - главное, чтобы моя цель была достигнута).
Повторяем почаще "РКН готов на все. Даже поломать половину Рунета", хотя в данном случае РКН просто делает то, что контора выше сказала и выполняет пункт 1. Но народ и массы клюют и наживка успешно проглочена: виноват не ФБК, который нарушил закон (см. пункт 1) и всеми правдами и неправдами пытается продолжать его нарушать, а РКН, который пытается его реализовать.
Профит.
Напоминает детский анекдот о разговоре системного блока и монитора, где первый хохочет над глупым юзерами и монитором: как бы не тупил компьютер - под горячую руку пользователя все равно попадет один лишь монитор.
ctocopok
29.12.2021 00:48+11Виктимблейминг во все поля.
Вы говорите, допустим, ырк нарушил закон, далее цепочка рассуждений, и вывод, ырк негодяи, потому что нарушили закон, зря они его нарушили.
Acuna
29.12.2021 00:48+16В фашистской Германии (и в любом другом тоталитарном государстве) тоже было много разных законов. Тоже втирали бы всем что нарушение законов какой-либо страны это плохо и что нужно свесить лапки и смириться с тяжелой долей народа?
Хотя профиль говорит сам за себя: 4 комментария, и из них три под статьей об Эльбрусе, один под этой. Я всегда в таких ситуациях очень радуюсь, так как понимаю почему оставляются такие комменты, грустно было бы если бы их обычные люди оставляли бы. Простыня конечно обширная вышла, видно что старались подражать комментариям аудитории тут, тут и мысли по пунктам (это же умно), и смищнявочка под конец, да только все-равно болно палевно вышло, ибо сильно выбивается из общей канвы.
P. S. И да, скорость режут и "половину инета ломают" не потому-что бложик Навального никак не блокировался, если вы вдруг не знали. Причина в другом. И вы ее знаете.
tyomitch
29.12.2021 01:27+5Тоже втирали бы всем что нарушение законов какой-либо страны это плохо и что нужно свесить лапки и смириться с тяжелой долей народа?
Но ведь ничего из этого @DaytonCavalet не утверждал.
Acuna
29.12.2021 02:03+7Именно это и утверждал. Именно это и утверждал. Принимается закон, ущемляющий права некоторых граждан (не важно по беспределу или нет). Эта группа граждан автоматически его нарушает (так как закон нарушает их права и свободы, так как они сами не делают ничего противоречащего здравому смыслу) потому-что они пользуются своим законным правом не соблюдать законы, принятые по беспределу (с чем вы спорить не будете, ибо это здравый смысл). Из-за действий этой группы страдает бизнес и "сотни и тысячи людей" (из разряда "кто же подумает о детях?!"). Однако то что от их действий пострадал бизнес и "сотни и тысячи людей" (эти утверждения еще стоит не один раз перепроверить, но даже предположим что это так), значит что? Правильно, нарушать законы страны (любые, не важно по беспределу или нет) - это плохо. А то что в этих последствиях виновата не та группа людей, против которых приняты эти законы, а те, кто реализовывает требования по ним, и главное принимает законы, из-за которых граждане вынуждены отстаивать свои права любыми доступными методами - стыдливо умалчивается. Значит не затыкайте несогласным рты, либо не принимайте таких законов, которые ущемляют права людей, все просто.
Я наверное вас с кем-то путаю, но мне казалось вам не нужно объяснять очевидные вещи. Возможно путаю. Но ник уж больно знакомый. Странно это конечно. Но да ладно.
vikarti
29.12.2021 07:17+2Однако то что от их действий пострадал бизнес и "сотни и тысячи людей" (эти утверждения еще стоит не один раз перепроверить, но даже предположим что это так),
Когда ложится гитхаб — "сотни и тысячи людей" как бы не имеет уже смысла доказывать. Берем количество пользователей хабра кто читал топики под разработке под iOS(cocoapods имеет репозитории на гитхабе) или там на всем что js использует (насколько помню там многое тоже репозитории на гитхабе использует) и т.п. и смотрим. Почему то мне кажется что число будет как минимум четырехзначное.
Когда куча бизнеса прямо говорит что ложится (а всякие КРОКи в блоге на хабре прямо пишут что были клиенты у кого падающий AWS стал проблемой) — проверять сколько там точно бизнеса пострадала — не особо смысл имеет.
DaytonCavalet
29.12.2021 02:13-2Даже и не подозревал, что "выбиваться из общей канвы" и иметь своё собственное мнение, отличное от общего тренда где-либо = являться агентом РКН/Кремля/ботом.
Спасибо, многое нового узнал.
Acuna
29.12.2021 03:08+9Ну да, человек, зарегистрированный в сентябре и с тех пор высказавший свое собсственное мнение только про Эльбрус и про то что нарушать законы, даже принятые по беспределу, это плохо, хотя статьи тут охватывают практически все сферы жизни. Лидер мнений, не меньше.
DaytonCavalet
29.12.2021 09:23+1А ничего с того, что здесь систематически всплывают комментарии из рода:
"Читаю Хабр 5/10/100 лет, но зарегистрировался и комментарий пишу впервые"?
Ах, да. Это совсем другое, наверное. Все ж регистрируются сразу, чтоб у них что-то там где-то отображалось на случай, если такой "бдительный" гражданин бота приметит. Точно, подзабыл!
Или погодите.. Неужто ваши боевые друзья уже закидали минусами мой комментарий? Правильно ли я понимаю, что произошло это за то, что вам: во-первых, показалось, что я не живой человек и во-вторых, не понравилось мое, отличное от вашего, мнение?
Кто-то здесь говорил про цензуру? Про нацистов в Германии? И ругал все тоже самое в тоталитарной РФ?
Как насчёт Хабра и его жителей, которые неприемлют другого мнения, отличного от своего настолько, что первым же делом предполагают в оппоненте бота и сгоняют толпу, чтобы заминусить карму?
"Чтоб поменьше комментариев всяких писал, выскочка", да?
iMedved2009
29.12.2021 08:43+2Проблема что вы как раз не выбиваетесь из общей канвы. Эта общая канва валится на всех проживающих в РФ из каждого утюга. Так что Джордано Бруно из вас не получится - вы ближе к Торквемаде. И хабр благодаря своей системе кармы, позволяющий указать на дверь этой общей канве стал этаким заповедником в мире воплей "наш вождь ведет нас к счастью и процветанию. одобряй все".
З.Ы. А уж кивать на законы - закон звучит ноне так "все что связано с фамилией Навальный запрещено под корень". И найти примеры когда власть и ее сторонники делала ровно тоже что и стороники Навального - но при этом стороники Навального получали преследование, а власть ничего - можно миллион за пару секунд. И это тогда не закон а прямое воплощение "пятиминуток ненависти" из Оруэлла.
tyomitch
29.12.2021 09:27+3И найти примеры когда власть и ее сторонники делала ровно тоже что и стороники Навального
Вот в этом-то и проблема: чтобы претендовать на власть, нужно демонстрировать своё преимущество перед нынешней, а не «делать ровно то же».
Позиция «подотритесь своими законами, посмотрим что вы нам сделаете» хорошо подходит какому-нибудь Рутрекеру, предпочедшему подчинению копирастам вечную блокировку; но очень плохо подходит политической партии, критикующей ровно эту же позицию нынешней власти.iMedved2009
29.12.2021 09:38+9Вот в этом-то и проблема: чтобы претендовать на власть, нужно
демонстрировать своё преимущество перед нынешней, а не «делать ровно тоже».Что бы претендовать на власть - нужна работающая процедура смены власти. В данный момент ее нет. Кандидаты во власть выбираются в очень узком кругу "любителей текущего вождя".
Позиция «подотритесь своими законами,
Я не понимаю согласно какому закону список кандидатов от навального блочится, а список кандидатов от мэрии на их сайт существует. Кто и каким законом в этом случае подтирается? Я не понимаю в каком случае митинг в поддержку навального пресуется, а митинг "мы любим путина" одобряется. Здесь кто каким законом подтирается? Закон об иностранных агентах - перевод денег медиазоне из-за рубежа делает ее иностраным агентом, а перевод денег оттуда же какому нибудь 1 каналу - не делает. Опять подтираемся?
И прекращайте кивать на законы. У нас законы все действуют, принимаются, разрабатываются из одной простой аксиомы
самодержавие, православие, народность ой это прошлое"Есть Путин - есть Россия, нет Путина нет России". И если я с этой аксиомой не согласен - то меня выкинут из легального поля, при помощи законов или просто при помощи отморозков. Прежде чем требовать от меня уважения к закону - давайте от этой аксиомы откажемся.Pas
30.12.2021 23:04И если я с этой аксиомой не согласен — то меня выкинут из легального поля, при помощи законов или просто при помощи отморозков.
Хех, а по очередному предложению Хинштейна, ещё и гражданства лишат.
907
29.12.2021 10:48+1Зря вы так про рутрекер. Он как раз старается соблюдать законы , и если фильм идет в прокате , то вы его на этом ресурсе не увидите. И заблокировали его очень даже незаконно... Хотя, блокировка такая , что ее очень легко можно преодолеть...
PsyHaSTe
29.12.2021 11:01+4Позиция «подотритесь своими законами, посмотрим что вы нам сделаете» хорошо подходит какому-нибудь Рутрекеру, предпочедшему подчинению копирастам вечную блокировку; но очень плохо подходит политической партии, критикующей ровно эту же позицию нынешней власти.
Напомню что раньше трекер и аккаунты правообладателей был, и активно сотрудничал с РКН. И с удовольствием делал бы так и дальше, если бы РКН не наглел все дальше. В конце концов дошло уже и до них, что не в коня корм, и на шею уже конкретно сели.
iMedved2009
30.12.2021 12:34+3О. Реальность у нас опережает фантазии. Там у господина хинштейна появилась прекрасная правка для закона. Лишать оппозиционеров гражданства. Если это примут мне как - с уважением лишиться гражданства? С криком "dura lex" сдать свой паспорт?
vikarti
30.12.2021 21:01+1А вот интересно, если это реально "лишать оппозиционеров гражданства даже если оно по рождению" а не "лишать гражданства тех кто (по мнению кого то там) наносит вред" то тут как бы все ЕЩЕ хуже.
Вопросы про Конвенцию о сокращению безгражданства всплывают
Ну да — есть исключение к статье 8 — случай с нелояльностью. но в следующей статье 9 — сразу сказано что по политическим основаниям лишать гражданства нельзя. Исключений нет.
А еще есть есть Европейская конвенция о гражданстве (Россия — подписала но не ратифицировала).
Ну да — есть статья 7 пункт 1d — но подтянуть оппозицию под "поведение, причиняющее серьезный ущерб жизненно важным интересам государства-участника;" это… интересно и при этом в 7 пункт 3 — гражданства лишать нельзя если получается лицо без гражданство (кроме пункта 7 1b — но там не про гражданство от рождения)Ну и Всеобщая декларация прав человека — где и про право на гражданство и запрет произвольно лишать его.
А если "забыли" про такие обязательства — так найдется кому напомнить (
GDragon
31.12.2021 02:00+1Я напомню что РФ уже декларировала превосходство локальных законов над международными, например некоторые решения ЕСПЧ уже не исполняются.
vindy123
29.12.2021 04:16+12Предлагаю поразмышлять над несколькими вопросами:
1. Являются ли легитимными законы, принятые людьми, пришедшими к власти с нарушением законов?
2. Каков источник легитимности власти вообще (отгадка — общественный консенсус об этой легитимности).tyomitch
29.12.2021 09:38+2Во-первых, «общественный консенсус» стало невозможно определить: все механизмы для этого были намеренно ликвидированы. Во-вторых, вышеупомянутое «окончательное решение еврейского вопроса» вполне сопровождалось общественным консенсусом, как и расовые сегрегационные законы в США, и гонения религиозных еретиков, и многое другое. Так что апелляция к общественному консенсусу здесь вряд ли уместна.
Я бы привёл другой аргумент: если пострадавшие от блокировок РКН считают себя collateral damage, а не стороной нынешнего противостояния — значит, на следующем витке репрессии прокатятся уже прицельно по ним, повод найдётся. Примеров было множество, в т.ч. на хабре.vindy123
29.12.2021 15:47+2Легитимность власти — это такая штука, которая существует вне зависимости от наблюдателя, типа температуры воздуха за окном. Неважно, есть ли у вас градусник и посмотрите ли вы на него, лужи все равно замёрзнут при минусовой температуре и оттают при плюсовой. В 17 и 91 никому не нужны были результаты соцопросов или оформление мнения большинства в виде бумажки «ЗАКОН» с синей печатью. Это вторичные штуки, которые делаются, когда существуют каналы обратной связи через которые большинство мирным способом выражает свое мнение. Если такие каналы не работают по той или иной причине — то используются другие.
PsyHaSTe
29.12.2021 11:02+1- Являются, покуда есть инструмены принуждения к этим законам
- Росгвардия
vindy123
29.12.2021 13:001. 1917, 1991
2. 1917, 1991
Есть куча промежуточных менее экстремальных вариантов, но вобщем я продолжаю придерживаться утверждения, что никакого другого источника легитимности власти, кроме консенсуса большинства населения, быть не может по определению.PsyHaSTe
29.12.2021 14:02В любом учебние по истории перед главой про революцию/войну пишут "предпосылки: ...", которые могут на десятилетие в прошлое тянуться. Момент когда это происходит наступает намного позже того когда консенсус "поменялся". Если условно 8 из 10 россиян недовольны происходящим и хотели бы перемен но только 1 из 1000 готов пойти жечь покрышки — означает ли это что все легитимно? Silence is violence?
никакого другого источника легитимности власти, кроме консенсуса большинства населения, быть не может по определению.
Если выдумываете свои определения вместо общепринятых то уточняйте пожалуйста это предварительно. А то спор на ровном месте возникает.
vindy123
29.12.2021 14:41Мне лень спорить, если честно, я даже не уверен, что у нас существуют какие-то значимые разногласия, по крайней мере, я нигде не утверждал вроде, что потеря легитимности и смена режима должны происходить в одну и ту же секунду. Если вам в кайф — можете дальше язвительно посамоутверждаться, я не против.
vikarti
30.12.2021 21:05Есть несколько проблем:
- как нормально определить консенсус? Если уже есть конфликт — как минимум одна из сторон скажет что те кто определяют — действуют на стороне одной из сторон и даже не важно — правда ли это, все равно — выгодно это сказать.
- политики вообщем то — могут врать, перед выборами говорить одно а потом делать — другое. Или вообще тупо кинуть часть своего населения а потом сказать что так было надо.
- могут быть внешние заинтересованные силы. или те, которые кто-то внутри считает внешними хотя это — не так.
vindy123
31.12.2021 09:35+1Сменяемость власти через прозрачные выборные процедуры отлично помогает для первых двух пунктов. Демократию вобщем для этого и придумали. Консенсус определяется голосованием на выборах, плохо работает избранник — на следующей итерации будет выбран другой. Разделение власти на три независимые ветви тоже кстати придумано, чтобы труднее было разломать эту систему изнутри (хотя у некоторых получается, как все мы знаем).
vikarti
29.12.2021 07:09+1Есть законы которые выполнять не — следует а следует активно саботировать. По мнению какой то группы.
Иногда такие группы бывают довольно большие и состоящие из граждан этого же государства находящихся на его территории, которым не все равно.
Если есть (с точки зрения этой группы) действующие каналы довести свою точку зрения до властей — проще ими пользоваться, если же власти слушать не хотят (и без разницы почему — даже если правы вообщем то власти а не группа) то законы будут обходить. И хорошо если только те которые создали изначальную проблему.
nikolai7032
30.12.2021 23:07-1Хотел написать свой комментарий к этой позорной статье, однако увидел Ваш, согласен, добавить нечего.
1fid
29.12.2021 00:01+8Представляю, какой накал царил в момент Х в обоих штабах. Настоящее противостояние, с заготовленными стратегиями и решениями, принимаемыми на ходу. На обеих чашах весов будущее страны и судьбы героев. Хепи енд и последующий за ним неожиданный поворот, оставляющий пространство на сиквел. История, достойная экранизации!
i73610qm
30.12.2021 23:07Дополнение: с одной стороны люди работали на энтузиазме и 24/7, думая о работе даже во сне (я предполагаю), а с другой на страхе и обещании премии, если всё будет ок (снова мое предположение).
feeker
29.12.2021 00:01-4Если мне не изменяет память, после чистой победы акции миллиона фонариков бункер пал, РКН массово стрелялся из табельного, DPI запрещен. Но для чего тогда всё это?
1A1A1
29.12.2021 10:42+3Для того и щука в (нужное подчеркнуть), чтобы карась не дремал.
В подобных конфликтах есть возможность оценить аргументацию, мотивацию и применяемые способы противоборствующих сторон, чтобы сделать определённые выводы. Как лакмусовая бумажка или реакция Манту.
zzzzzzzzzzzz
29.12.2021 01:13+3Был подготовлен специальный протокол, который поддерживал технологии DoH-резолвинга и SNI-фейкинга. С помощью закодированного дискавери, представляющего собой JSON-структуру с электронной подписью для защиты от replay-атак, мы смогли «научить» приложение обнаруживать через публичные DNS актуальные адреса бэкенда для обновления контента.
Вот тут хотелось бы поподробнее, тут всё самое интересное должно быть.
Также непонятно, зачем вообще нужен бэкэнд. Мне кажется, что можно просто в текстовой записи DNS полезную нагрузку хранить.
ValdikSS
29.12.2021 01:30+11Последняя сборка приложения «Навальный» содержит NewNode и потенциально будет работать (в крупных городах с большой плотностью населения) даже при полном отключении интернета.
Вы не в курсе, что Роскомнадзор заблокировал в тот момент BitTorrent DHT, чтобы NewPipe не нашел пиров?
https://ntc.party/t/rkn-will-try-to-block-the-following-vpn-services/1022/47 и несколько постов ниже
Snarky
29.12.2021 01:52+24Дурной сон. Государство бегает и ломает всё вокруг не ради каких то настоящих террористов с инструкциями по сборке атомной бомбы, не ради борьбы с координацией реальных массовых беспорядков (а не таковых только в воспаленном мозге властей), а с рекомендациями одних граждан другим за кого голосовать на официальных выборах.
Это пипец.
qwertEHOK
29.12.2021 07:51+1То что мы ошибочно называем государством.
Мочему деньги не тратят на борьбу с закладчиками и мошенниками?
Mike_soft
29.12.2021 09:24+3добавлю, что это рекомендации (всего лишь рекомендации, а не «руководящие указания», не принуждение, не покупка голосов) голосовать (т.е. осуществлять вполне законные и даже одобряемые действия) за официально зарегистрированных кандидатов от легальных (и представленных в представительных органах власти) политических партий…
Snarky
29.12.2021 10:35+1Всё из за того, что в названии есть слово "Навальный", который враг №1 одного престарелого диктатора.
Darth_Malok
29.12.2021 10:57+1А почему не воспользоваться методами телеграма и не рассылать новые ip-адреса через push-уведомления? Вроде бы именно эта тактика позволяла телеге нормально работать во времена её блокировки.
bgBrother
29.12.2021 11:56+2рассылать новые ip-адреса через push-уведомления
Google и Apple быстро отключат, если сам РКН не решится заблокировать. Террористический шантаж сотрудниками, как видим, сработал.эта тактика позволяла телеге нормально работать
Позволяла. Тепер Дуров не такой уверенный и решается блокировать бота.
907
29.12.2021 11:02Я знаю одно, и в этом меня не переубедить... Силы добра всегда будут побеждать силу зла... Поэтому усилия роскомпозора по зажиманию свобод в интернете (кстати, запрещенные даже в новой Конституции ! ) абсолютно бесполезны. Всегда будут создаваться новые технологии , чтобы противостоять мракобесности...
YMA
29.12.2021 11:23+2Одно но... если люди сами не примут мракобесие в качестве стиля жизни.
Как в странах одной самой мирной религии - если принято побивать камнями за некоторые нарушения правил, типа исполнения светской музыки, и все это поддерживают - то бороться с этим просто некому будет.
Bazis007
29.12.2021 12:54+1Главный недостаток современного интренета- онлайн. Т.е. информация доступна только тогда, когда доступен сервер, на которой она храниться. Если заблокировтаь канал передачи даных или сервер - информация перестаёт быть доступной.
Давно уже в голове крутиться такое решение:
Мне кажется сообществу нужно задуматься о разработке иного подхода к обмену информацией, когда любой контетнт(статьи, файлы, комментарии) мог бы передаваться между пользователями с подходом P2P через точки обмена, поддерживаемых энтузиастами. Долгосрочно, данные хранились бы на устройствах абонентов, получивших сообщение. Краткосрочно - на точках обмена, например в течении суток. Обмен информацией происходит в виде потока сообщений, которые могут использовать, как интернет, так и любую другую среду (например открытый wifi, либо широковещательный радиоканал, или что угодно, что пожелает фантазия). Сообщения могут содержать помимо текста метаданные, которые относили бы их к сервисам(например статья на хабре была бы в виде сообщения, с тегом habr и цифровой подписью контента, что это действительно от хабра.)
В принципе все технологии для этого есть есть - большие объёмы памяти на мобильных устройствах, производительные и энергоэффективные CPU, технологии шифрования и цифровой подписи(ну или как модно говорить блокчейн).
Чтоб избежать флуда и информационного мусора - отлично подходит механизм лайков. Например если пользователь поставил лайк - то информация (пост, сообщение, комментарий), получает + 3 к TTL и распространяется друзьям, и друзей, и ещё на одну ступеньку. Поставил дизлайк (или пометил как спам) - то ни куда не уходит. Таким образом будет естественный контроль распространения информации. Если кто-то активно накручиават лайками спам - то пользователь заносится в список, чьи лайки не учитываются. Аналогично выбирается срок хранения информации на устройстве.
Как-то так.vikarti
29.12.2021 13:36Usenet
кстати он и сейчас потихоньку живет — хотя централизация потихоньку появляюстя + работать сложно.
Fidonet старый. Защита от флуда — тем в первую очередь что источник — известен (и по ФИО — тоже), либо хотя бы известен товарищ который этот источник знает и согласился за него отвечать. И наложить санкции можно.А так...Zeronet? IPFS? (очень очень упрощенно) лайки можно не ставить, если контент тебе нужен — он у тебя закешируется, если совсем уж сильно нужно — запинить его можно и тогда он не будет из кэша уходить. Подписи — как часть системы. IPFS еще и потихоньку в смарт-контракты интегрируют (вопросы конечно как это работать будет реально...)
Bazis007
29.12.2021 14:56+1Решения есть, но всё не то.
Анонимность необходима (в свете преследования за "чувства" лайки и репосты. Так же необходдимо, чтоб простой пользователь легко мог разобраться, иначе сетка останентся уделом небольшого круга энтузиастов.
Собственно фидо - что-то похоже, на то, что надо.
Зеронет - поигрался, но не то.. он сложноват для обывателя и мне показалось, что больше на онлайн заточен.vikarti
29.12.2021 18:25+1Фидо не имела анонимности.
Нодлист — вообще публичный документ(и с телефонами, не помню как для IP-only решалось но там точно был статик IP/dns и (насколько помню) мог быть и телефон)
А поинты — ну так они не члены сети + сисоп ноды их знает.IPFS — клиент даже вот в браузер Brave встроен.
janatem
29.12.2021 15:53+1Такая борьба за работоспособность «всего лишь» приложения, конечно, безусловно вызывает уважение, но мне кажется, что незаслуженно обойдены вниманием другие механизмы распространения (прежде всего тактической) информации от команды Навального пользователям. Наблюдая за кампанией Умного голосования, я подумал: зачем так сложно, да еще в некоторых аспектах компроментируя пользователей? Ведь исходная задача очень проста: донести саму идею, распространить инструкцию-описание (стратегическая часть, которая была решена успешно), и в час X распространить решение штаба — имена кандидатов (тактическая часть, которая была решена с переменным успехом и с большими затратами).
Идея очень проста: имея универсальный и, главное, стандартный и используемый в разных отраслях механизм PKI (инфраструктура открытых ключей), можно радикально расширить количество способов передачи информации. Ведь если единицей распространения информации будет сообщение, подписанное доверенным в PKI ключом (возможно, не одним), который считается принадлежащем команде, то такие сообщения можно передавать не только посредством https, но и вообще любыми средствами, которые считаются ненадежными: торрентами, мессенджерами, постами в соцсетях, почтовыми голубями, на флешках из рук в руки... (Правда, многие соцсети портят текст, заменяя некоторые символы на смайлики и пережимая изображения, но это — вполне разрешимая техническая проблема.) При этом, скорее всего, команда уже так или иначе использует PKI, чтобы создать сеть доверия внутри себя. Нужно лишь вынести часть ключей на публику и все значимые сообщения публиковать подписанными.
zzzzzzzzzzzz
29.12.2021 19:05Вот сейчас вы фактически говорите пользователю: как-нибудь "любыми средствами" найдите информацию, а потом уж сможете скормить её специальной программе, которая подтвердит, что это из нужного источника информация. Нет, так оно для массового пользователя не заработает. Нужно именно что ПО, которое само всё делает и просто выдаёт пользователю сообщение. А уж какие там "любые средства" это ПО внутри использует, пользователя не должно волновать.
janatem
30.12.2021 01:12Ну, примерно так и есть. Главное — отделить (верифицируемые) сообщения от носителя. А как их проверять — отдельная задача, для которое уже существует более-менее стандартный софт, нужно лишь популяризовать его и дописать простые инструкции, если мануалы слишком универсальны и сложны.
zzzzzzzzzzzz
31.12.2021 00:45Безусловно, сообщения должны быть отделены от носителя и подписаны. Но доставка и проверка должны быть автоматизированы. У многих людей банально подписать документ ЭЦП по инструкции не получается... Вы слишком многого от них хотите.
Galperin_Mark
30.12.2021 10:45На канале Revolver TV говорим о свободе, а точнее несвободе в интернете.
uis246
30.12.2021 13:20-1команда, известная другим инновационным мессенджером FireChat. Они же разработчики известного протокола BitTorrent.
Что за бред? И кто умудрился додуматься написать, что у открытого протокола и у закрытого мессенджера один разработчик?
dartraiden
31.12.2021 04:10+1Один из разработчиков NewNode и в самом деле работал над созданием протокола BitTorrent, в чём проблема?
То есть там цепочка примерно такая: разработчик BitTorrent → команда FireChat → команда NewNode.
xt_s_oul
30.12.2021 23:14Так уж и быть - стану частью этого сообщества комментаторов данной статьи. Ибо есть что сказать, даже если это просто поток мыслей, который не несёт содержательного значения по теме. Причём, без "политоты" (это новое для себя слово я узнал, пока читал коменты - значит всё было не зря).
Сам не разбираюсь в этой теме. Почти ни одного знакомого термина. Изучаю c++. Но статью прочитал на одном дыхании. И коменты, кстати, тоже.
Потрясно, что люди, работающие во имя идеи, учатся, пробуют и стремительно развиваются.
Незыблемый фундаментальный факт - эффективнее всего учишься на практике. Вот с чем, а с возможностью практиковаться ребятам кардинально повезло.
И в конце вопрос. Я слышал выражение или теорему, что процесс шифрования-дешифрования бесконечен. Работает ли этот принцип и здесь - в прстранстве интернета? Как я понимаю, этот процесс заканчивается, когда обрубают mother-кабель интернета.
dsprts
30.12.2021 23:14так вот почему интернет не работал. а то говорили какой то провод под морем порвался
OXYAMINE
30.12.2021 23:14А какой вообще смысл тратить столько сил и времени на DNS и доменные имена если заранее известно что это станет мишенью атаки и за имена ещё и платить нужно?
Не эффективнее ли написать свою систему роутинга на динамические адреса прямо из приложения? Заодно при недоступности само приложение может сразу рапортовать о недоступности адреса и составлять мониторинговую систему. Сам список узлов можно обновлять независимо от основного соединения. Технологии отработаны годами в любой пиринговой сети.
Bonio
31.12.2021 11:49А что если распространять информацию не со своих серверов, которые тут же банят, а используя соцсети? Вконтакте, одноклассники, что там еще самое у нас распространенное, что ни при каких условиях банить не будут. Причем информацию, в данном случае о кандитатах, шифровать в картинках или тексте. Объем информации там не настолько большой, чтобы сильно заботиться о большом оверхеде, зато сотрудники ркн увидят только обращение к условному vk.com и даже не поймут, на какие аккаунты заходит приложение. А даже если поймут, на каком основании они будут требовать их блокировки, если там будут выложены картинки котиков?
F0iL
31.12.2021 12:45зато сотрудники ркн увидят только обращение к условному vk.com и даже не поймут, на какие аккаунты заходит приложение
Даже если используется certificate pinning и само приложение крепко обфусцировано - то просто попросят содействия у админов ВК, чтобы те помогли им достать логи запросов с определенного адреса. ВК, по понятным причинам, долго спорить не будет. Ну либо подампают трафик сами, а за расшифровкой обратятся в соседнее ведомство - ВК уже обязан тем передавать сессионные ключи для расшифровки при необходимости.
на каком основании они будут требовать их блокировки, если там будут выложены картинки котиков
На основании "потому что нам так надо", как это давно уже происходит.
ky0
Сильнее всего, конечно, удивил и расстроил демарш Дурова. Стоило, блин, так долго бодаться с нашей венценосной ОПГ, провоцируя ковровые блокировки, чтобы при следующем конфликте просто взять — и начать удалять совершенно безобидных ботов. Видимо, стадия идеалистичных поступков и заявлений начала заканчиваться вместе с деньгами?
g0r4
Так Дуров в этом плане полностью зависим от apple/google. Если он не будет блокировать неугодный им контент, то лишится возможности обновлять приложение через их площадки, а то и вообще выкинут оттуда
dfgwer
Ну ничего, скоро гугл перестанет зависеть от РФ.
Spelov
К сожалению путем блокировки в рунете. Как в Китае будет.
stardust1
Дуров такой же бизнесмен как google/apple. И без них точно так же прогнулся бы под государство. Всё остальное - это маркетинг. Просто удобно свалить всё на google/apple как в том анекдоте про поручика.
izogfif
Ну вы бы хоть номер анекдота написали...
Elrond16
Не верю в такое объяснение. В случае с требованиями от Apple/Google, Telegram умел блокировать отдельных ботов только на данных конкретных платформах, а не глобально. Но в случае с ботом УмГ для Дурова почему-то оказалась принципиальна глобальная блокировка, причем с какими-то странными дополнительными оправданиями типа "мы за день тишины". Больше похоже на уступки под прямым давлением от властей, а не от компаний.
Bazis007
Так написал бы, что вынужден... извините... всё для вас. А не "это замечательный закон...."
nlykl
Не только ботов, но и все форварднутые сообщения от них.
zoroda
Просто Дуров решил, что это не его война. Бизнес. Ничего личного