Cloudflare, ECH, РКН

Что: 9ec8af5c6c0a3d586e33640842652801f20d6f53

Когда: 2024-11-08 11:08:03+03:00

Темы: bgp crypto dns hate web

https://habr.com/ru/news/856928/
https://habr.com/ru/news/856354/
Чего все так разорались по поводу проблем с доступностью Cloudflare?

РКН конечно те ещё редиски, ибо блокируют не технологию/протокол обхода
блокировок, а технологию повышения приватности. Tor -- вот это обход
блокировок. А ECH это костыль к TLS (который тоже по сути является
костылём созданным из-за недостаточно быстрого внедрения IPsec с IPv6).
Проблема не с ECH, а с TLS, который исторически отсылает SNI в открытом
виде. Как, собственно, и SNI это ведь тоже костыль, связанный с не очень
быстрым внедрением IPv6.

Но ECH мне как не нравился, так и не нравится. Хочется зашифровать
handshake? Ну так поменяй протокол, сделай как старом древнем IKEv2, где
почти всё, сразу же после первого roundtrip, зашифровано. А не городи
костыль на костыле, ещё и с привлечением DNS, DNSSEC небось (лень
проверять). Ведь TLS 1.3 существенно отличается от всех предыдущих --
почти полностью иным образом устроен. Впилили же без проблем? Не
проблема же поменять его кардинально?

Но и Cloudflare та ещё параша. Почти всё что за ним размещается:
становится недоступно для web-обозревателей -- зачастую нужен
JavaScript, cookie, прохождение CAPTCHA. Если же он не даст тебе доступ
к ресурсу по этим техническим причинам, то не допустит из-за того что ты
из РФ/РБ. Плюс это, ��росто навсего, банальный такой большой MitM от США.

Если кто-то использует Cloudflare, то он и так уже давным давно
недоступен по одной из вышеназванных причин. Поэтому чего переживать?
Кто-то, кто из наших стран использует MitMed систему, позволяя скачивать
и выполнять произвольный код на своём ПК, потеряет возможность это делать.
Я вижу в этом перевешивающие плюсы. Много говорят о бесплатности Cloudflare.
Забывая, что бесплатный сыр только в мышеловке бывает. Не РКН отрубает
первым делом доступ к ресурсам, а сам Cloudflare уже задолго до СВО это
делает. Видимо, всё что остаётся -- это какие-нибудь явные анти-РФ/РБ
ресурсы, которые РКН и затронет.

Другой новостью было то, что РКН собирается что-то типа своего RPKI
делать. И опять же: не он первый начал рубить маршруты и всячески
вредительствовать нашим странам. Не он балканизирует Интернет, а Запад
уже много лет назад. Вроде бы, единственную блокировку которую я
встречал от РКН, был rutracker.org, наверняка из-за Михалкова
какого-нибудь. Все остальные ограничения -- со стороны сочувствующих
нацистам. РКН же в данном случае, как и в случае с нашей системой DNS,
просто заранее подстилает соломку и старается минимизировать ущерб от
очередных атак и зловредных действий.

оставить комментарий

комментарий 0:

From: kmeaw
Date: 2024-11-08 09:10:50Z

У Cloudflare есть одно очень полезное применение, бесплатных аналогов
которому я пока нигде больше не видел.

Если есть машина с только IPv6-связностью, но хочется разместить на ней
веб-сайт для пользователей IPv4-интернета, то можно выставить его наружу
с помощью Cloudflare. А если даже с IPv6 нет желания разбираться, а
просто нужно или цепочку NAT пробить, или заставить веб-сервер работать
в облаке, где нет постоянного IP-адреса, то можно рядом cloudflared
запустить. Можно даже без домена - такое особенно полезно, если нужно
кому-то снаружи быстро показать, как выглядит пока ещё разрабатываемый
сервис, работающий пока на рабочей станции разработчика. Как ngrok, но
для HTTP и с хорошими умолчаниями, часто не требующими настройки.

Если РКН не нравится чужой MitM, то надо было продвигать свой. Например,
сделать ту же блокировку, что и сейчас, но в несколько шагов:

1) публично заявить, что через несколько месяцев будет блокироваться
ECH, призвать местные компании сообщить о своих разработках ~~MitM~~CDN
с похожими свойствами;

2) собрав информацию из предыдущего шага, сделать ещё одно заявление,
что блокировка будет уже через месяц, рекомендуем мигрировать с
Cloudflare к нашим партнёрам - бонусные баллы за возможность сделать это
одной кнопкой и делегированием домена, как у самого Cloudflare;

3) начать блокировку, но не просто разламывать ECH, а делать явный MitM
с проксированием HTTP, как в Казахстане когда-то - дать пользователю
шанс воспользоваться сервисом (жертвуя при этом приватностью), если он
не пытается получить доступ к т.н. запрещённой информации.

комментарий 1:

From: Sergey Matveev
Date: 2024-11-13 17:38:11Z

	** kmeaw [2024-11-08 09:09]:

>Если есть машина с только IPv6-связностью, но хочется разместить на ней
>веб-сайт для пользователей IPv4-интернета [...]

Я бы лучше пошёл и потратил (<?)~$5 за VPS-ку с IPv4 адресом. За
несколько минут она будет готова к ssh-ку и пробросу портов как тебе
захочется. Да и вообще просто всегда полезно иметь такую VPS-ку под
рукой, если дома/на-работе нет IPv4 адреса не за NAT-ом -- как раз для
таких случаев. На весах: поддержка мощного цензора, который всё-равно
для многих будет блокировать доступ, либо какие-то считанные доллары и
минимум времени.

>Если РКН не нравится чужой MitM, то надо было продвигать свой. Например,
>сделать ту же блокировку, что и сейчас, но в несколько шагов: [...]

То, как они это сделали -- безусловно не поддерживаю. Всё как всегда:
мотив/желание и попытка сделать хорошее -- это хорошо, а
реализация/действия так себе. "Хотели как лучше -- получилось как всегда".

Сгенерирован: SGBlog 0.34.0