Популярный торрент-трекер Rutracker подключил шифрование HTTPS. Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.

«Это нововведение планировалось давно, но несколько раз откладывалось. Сначала мы планировали блокировать отдельные темы по запросам Роскомнадзора, потом, когда это стало неактуальным , совмещали работу сертификата с зеркалами форума, а потом тестировали работу с плагинами обхода блокировок», — говорится в официальном сообщении.

Сертификат TLS для rutracker.org выдан 9 апреля 2016 года, тогда же началось тестирование.



Опцию HTTPS при авторизации добавили 24 апреля. Если активировать её, то все ссылки на http будут переадресовываться на https.



HTTPS защищает от перехвата паролей, прослушки трафика и MiTM-атак. Например, некоторые провайдеры внедряют в код страниц собственные скрипты (как «Билайн») и рекламу. При использовании HTTPS это сделать невозможно без подмены сертификата.

Обход блокировки трекера на территории РФ с помощью IPv6-адресации обсуждается на форуме.

Комментарии (55)


  1. Meklon
    28.04.2016 13:28
    +7

    Дико веселит концепция обсуждения вариантов обхода на уже заблокированном форуме ресурса.


    1. e_butcher
      28.04.2016 14:13
      +2

      Видимо, логика такая: прочитал сам — скопируй и отправь менее прошаренному другу!)


      1. GennPen
        28.04.2016 14:29
        +3

        Обошел сам — помоги обойти другому. =)


        1. LoadRunner
          28.04.2016 14:53
          +10

          И не уходи с обхода.


          1. truggvy
            29.04.2016 12:34

            А вы на ссылку-то жать пробовали? Сюрприз, сюрприз — она открывается! По крайней мере у меня на Ростелекоме. Вот что https животворящий делает :)


            1. Mad__Max
              30.04.2016 19:57

              А причем тут https? Это вопрос к Ростелекому почему он не блокирует ресурс (внесенных в списки запрещенных полностью).
              Ну или все еще проще и кто-то просто забыл отключить у себя обход блокировок.


              1. truggvy
                01.05.2016 10:56

                Ни 1-е ни 2-е :)
                При попытке зайти на http://rutracker.org выдается заглушка, а вот через https всё открывается.
                Разумеется провайдер провайдеру рознь, поэтому я и уточнил условия «эксперимента».


    1. Charg
      28.04.2016 15:22

      Вполне нормально. На этом форуме, не считая людей которых блокировка не коснулась, есть и те, кто её успешно обошел. Они соберутся, обсудят и в результате выдадут в паблик советы, следовать которым максимально просто тем кто не разбирается. Как собственно и произошло.
      А как по другому то?


    1. Ra-Jah
      28.04.2016 15:48

      Использование проксирвоания не отменяет факта необходимости доступа не используя прокси. Резюмируя: на сайте можно прочитать какими другими способами можно работать с API


      1. Sadler
        29.04.2016 17:19

        Так сойдёт?

        https://translate.google.ru/translate?hl=ru&sl=ru&tl=en&u=https%3A%2F%2Frutracker.org%2Fforum%2Fviewforum.php%3Ff%3D1958&anno=2


        1. Ra-Jah
          03.05.2016 19:08

          TLO не поймет.


    1. MartinX
      28.04.2016 21:00

      Чем больше людей знает об обходе блокировок — тем лучше. Хотя это приведет к более продвинутому фаерволу, который будет резать все Tor, VPN, SSH и прочие.


    1. IRainman
      02.05.2016 19:32

      В контексте просто обязана быть эта картинка.

      https://habrastorage.org/files/933/96d/eb4/93396deb446546059263d9fd6d21100d.png


  1. skyramp
    28.04.2016 14:12

    «а скоро будет включено по умолчанию для всех пользователей». и сразу же сломают этим работоспособность data compression плагина в хроме?


    1. Noa69
      28.04.2016 14:51
      +11

      То что кокой-то плагин не в состоянии работать с https проблемы исключительно этого плагина


      1. stepik777
        28.04.2016 15:16

        И тех людей, кто пользуется им для обхода блокировок. Он не работает с https, так как создан для сжатия трафика, с перенаправлением его через гугловские сервера, а для https это не имеет смысла.


        1. o4kareg
          28.04.2016 16:06

          Zenmate ставьте, и будет вам счастье. Самый годный плагин для обхода.


          1. cyrsap
            28.04.2016 16:11

            Когда я последний раз его смотрел, бесплатная версия не умела шаблоны. Что-то изменилось?


        1. ClearAirTurbulence
          28.04.2016 17:38

          Может быть, они тогда узнают, что такое
          https://antizapret.prostovpn.org/proxy.pac
          и куда его прописывать.

          Ну и всякие фригейты с зенмэйтами тоже вариант, хотя лично у меня фригейт как-то странно работал, и с момента установки PAC я о нем забыл, как о страшном сне.


          1. skyramp
            28.04.2016 18:29

            [sarcasm on] а следующим шагом будет введение администрацией рутрекера блокировок exit-нод тора и этого списка проксей например потому что «с них регистрируются боты и рассылают спам в форуме»? [sarcasm off]

            а если серьезно — обязаловка использования https ломает тривиально настраиваемую удобную тулзу от доверенного разработчика для обхода ограничений доступа. получаемый бонус в виде шифрования трафика выглядит не на столько убедительным, ибо это все-таки не интернет-банкинг.


            1. Ra-Jah
              29.04.2016 08:35

              Это не интернет банкинг, там все намного хуже. Если вы рядовой пользователь, то вам конечно все равно.


    1. darkdaskin
      28.04.2016 15:31

      Так на rutracker уже имеется Content-Encoding:"gzip", зачем ещё какой-то плагин?


      1. shep
        28.04.2016 15:38

        Плагин data compression самый простой доверенный способ открыть тот же рутреккер. Помимо компрессии конечно.


        1. niks255
          28.04.2016 16:33
          +1

          Я пользуюсь fri-gate, заодно в режиме инкогнито работает.


          1. imhoil
            29.04.2016 08:17

            а разве чекбокс «разрешить использование в режиме инкогнито» в chrome://extensions/ не катит для Data Compression Proxy?


  1. FFiX
    28.04.2016 14:59

    >Пока что шифрование доступно в виде опции при авторизации, а скоро будет включено по умолчанию для всех пользователей.
    Эх, похоже, что скоро нельзя будет пользоваться альтернативными доменами — блочить будут сразу по IP, как это делают со всеми остальными HTTPS-only ресурсами.


    1. Meklon
      28.04.2016 15:00

      .lib пока жив. Может из-за редкости.


      1. FFiX
        28.04.2016 15:05

        .lib спасает только от блокировки по URL/домену.
        В случае перехода на https-only, как я уже писал выше, блокировать будут по IP. Ну есть еще вариант — MITM-proxy на стороне провайдера, чем он плох, думаю, писать не надо.


        1. Tatikoma
          28.04.2016 15:13

          Разве блокировки по SNI будет недостаточно? — Искренне не понимаю, зачем блокировать по IP.


          1. FFiX
            28.04.2016 15:16
            +1

            Честно говоря, я не видел еще ни одного провайдера, который бы блокировал по SNI.


            1. iChaos
              28.04.2016 21:29

              Ростелеком-Сибирь (бывший Сибирьтелеком): SNI
              МТС Дальний Восток: SNI с подменой сертификата (но MiTM не устраивают – просто блочат весь домен)


        1. Ra-Jah
          28.04.2016 15:59

          Блокировка IP из диапазона Амазона или облачного провайдера сразу рубанет массу сайтов от Ютуба до Гитхаба.


          1. FFiX
            28.04.2016 16:01

            Скажите это тем, кто умудрился в свое время заблокировать часть ip-адресов cloudflare.


        1. asdfghjk12
          28.04.2016 19:07

          В Беларуси на выборах 2010 года поступили ещё проще — заблокировали весь https…


  1. locutus
    28.04.2016 15:30

    Забавно, по http доступа нет, по https все работает. Не знаю, какой у нас провайдер, институтская сеть.


    1. dan0ne
      28.04.2016 15:41

      Попробовал на работе, провайдер Citytelecom, пропустил, через http — нет.


      1. enDal
        28.04.2016 17:41

        Аналогично, провайдер Ростелеком


    1. SamVimes
      28.04.2016 21:30
      -1

      Ну естественно. По HTTPS не передаётся имя хоста (вернее, обычно не передаётся, есть всякие SSL-бампинги). Поэтому пока не заблокировали по IP — всё ок.
      Ещё может быть проблема (с которой столкнулся я), что DNS сервис провайдера возвращает то, что хочет. (я просто ip руками в hosts прописал)


      1. xforce
        29.04.2016 01:11

        Как раз имя хоста передается сейчас почти всегда. В гугл — SNI.


        1. SamVimes
          29.04.2016 08:41

          Про SNI я знаю (написал же про ssl-bumping). У меня нет статистики по использованию несколькими сервисами одного IP, поэтому не могу сказать как часто используется SNI.
          Если бы я был провайдером, я бы просто смотрел на имя хоста в сертификате. Не виже смысла им завариваться с SNI, там более что имя хоста (в client hello) хотят шифровать в новых версиях tls


          1. sumanai
            29.04.2016 16:18

            > У меня нет статистики по использованию несколькими сервисами одного IP, поэтому не могу сказать как часто используется SNI.
            Браузер никак не может угадать, использует ли сервер SNI или нет, поэтому шлёт имя хоста в каждом запросе.


            1. SamVimes
              29.04.2016 16:20

              Браузер и не должен угадывать. Ему эту информацию сообщает сервер, отдавая специальный сертификат.


              1. sumanai
                29.04.2016 16:36

                Вы по моему что- то путаете. SNI это когда браузер с запросом отправляет имя хоста, а вебсервер предоставляет ему сертификат именно этого хоста, а не первый попавшийся.
                То, что вы описываете, похоже на WildCard cертификаты, которыми подписаны несколько хостов, это совсем другая технология, предназначенная для других целей. И SNI ту не нужен, имя хоста при WildCard может быть получено после рукопожатия из стандартного HTTP заголовка.


  1. mva
    28.04.2016 15:59
    +1

    А сколько лет до этого им говорили это сделать? Почему они начали пить боржоми маленькими глотками, когда почки уже отвалились?


  1. Eugeny1987
    28.04.2016 16:14

    Ну наконец-то! А что-то в последнее время провайдер рандомно при кликах по ссылкам перебрасывал на блокировочную заглушку


  1. Astrohas
    28.04.2016 16:31
    +1

    некоторые провайдеры внедряют в код страниц собственные скрипты (как «Билайн») и рекламу
    Что? И почему они все еще живы ?!


    1. RiseOfDeath
      28.04.2016 16:43
      +3

      По-тому, что монополисты.


    1. Ra-Jah
      28.04.2016 16:45

      А кто заявление в прокуратуру писал? Это уголовочка массового масштаба и шило в стенку не получится.


      1. sumanai
        28.04.2016 19:16
        +1

        >Что? И почему они все ещё живы ?!
        Потому что пользователям это нравится, типа уведомления о низком балансе прямо на странице.
        > Это уголовочка массового масштаба
        К сожалению, мне кажется, что нет.


        1. bfDeveloper
          29.04.2016 01:46

          пишите в саппорт, потом просите кого-то постарше. Мне отключили в мобильном, и при раздаче интернета с него в том числе.


          1. sumanai
            29.04.2016 16:29

            Мне тоже мой проводной провайдер отключил после того, как я права покачал, но осадочек остался.


  1. truemutant
    28.04.2016 21:27

    Очень хорошо, т.к. это решает проблему прослушки трафика на выходном узле при заходе через TOR.


  1. shaukote
    28.04.2016 23:19
    +2

    Кто-нибудь может объяснить, что за мода делать HTTPS по чекбоксу?
    Сначала ВК такое сделал, теперь вот RuTracker.


    1. user343
      28.04.2016 23:47

      peers.fm ещё раньше :)


  1. Pakos
    29.04.2016 15:45

    http заблочен, https пытается подменить сертификать (а потом, наверное, заблочить)