Компания Mozilla объявила о включении для пользователей стабильной ветки Firefox поддержки механизма ECH (Encrypted Client Hello), продолжающего развитие технологии ESNI (Encrypted Server Name Indication) и предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Изначально код для работы с ECH был добавлен в выпуск Firefox 85, но был отключён по умолчанию. В Chrome поддержку ECH начали постепенно включать, начиная с выпуска Chrome 115...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59869
Роскомнадзор будет недоволен ))
Кстати, все в курсе последних инициатив ?
https://vc.ru/legal/865273
https://vc.ru/services/864522
ну зачем ты так?
opennet не для политикии и тут за полит. высказывания банят
пусть людям будет сюрприз!
Правда, непонятно, при чём тут политика. Но всё равно забанят.
действительно, всем известно что законы появляются сами собой случайно, как квантовые флуктуации вакуума
Ты не поверишь, но иногда кажется что именно так и происходит)
"Законнопроект был рожден из квантовых флуктуаций вакуума в голове народного избранника."
Мне кажется ты не понимаешь, что закон целенаправленно направлен против тебя. И все это знают, но ты ничего не делаешь, только включаешь хохмы.
У "хохмы" тоже 5 погонных букв )
Пенроуза начитался?
Тут и внуку патриарха Якова рады/рады на словах )
ну с первым - как будто яндекс такси до этого не сливало все
а со вторым, их магазины пошлют в пешее эротическое, так что это просто их очередная хотелка
Не факт. В магазинах же давно есть "этот контент не доступен в вашей стране". Механизмы все есть. На прибыли блокировка vpn сервисов никак не скажется, они и так платежи из РФ не принимают.
С той стороны это давно практикуется. Интересно будет ли выполнение требований если они от другой стороны.
>На прибыли блокировка vpn сервисов никак не скажется, они и так платежи из РФ не принимают.С той стороны это давно практикуется. Интересно будет ли выполнение требований если они от другой стороны.
Если не станут выполнять требования, то тоже не скажется. Если, конечно, у нас не решатся на блокировку сервисов Google и Apple.
90% приложений в помойку полетят
А надо было на Авроре телефон покупать, когда хозяин настойчиво порекомендовал. И пользоваться исключительно приложениями Хозяина. Хозяин же не просто так рекомендует. Не вняли рекомендациям? Какие претензии, force-majeure...
У Хозяина сменились рекомендации - аврора немодно, модно рожа-линукс в р-пхоне. (но можно на чорном рынке купить helio 60 и всем врать что рпхон - разницы в общем-то никакой)Поскольку приложений все равно нет - открой яндекс-браузер и делай вид что больше там ничего и нет, как у оригинала.
На сайте Авроры всем неизвестный поисковик применяется. Для защиты чиновников, вероятно. Не доверяют Мэйл.ру
в одном магазе есть,
а в другом нет.
конэчно!!!
а те варианты криптой,
бесы им на сайтах нарисовали?
> а со вторым, их магазины пошлют в пешее эротическое, так что это
> просто их очередная хотелкакак там всосап - уже послал? А, нет - "группы доступны но не в вашей стране".
А то ж их могут, подумайте - заблокировать!
нахрен там эти группы!
маркетологи решили " как у всех" сделать
ну в рф этого не будет.
так других садомест "групироваться" тьма
Ох уж этот злой Яндекс! Google вот, например, все сливает "куда надо", т.е. АНБ...
Это же прекрасно. Богомерзкий инстаграм должен быть доблокирован полностью.
Это нужно для поддержания закона и порядка!!!
Интернет это уже не для кучки любителей как в 90, это уже практически как публичное пространство.
А что понимается под геолокацией? То что браузер или девайс отдал сервису в виде его как бы координат? Ну так ФФ можно настроить отдавать все что угодно вплоть до Арктики, а на Андроиде можно заблокировать геолокацию и хоть это не 100% помогает, но лучше чем ничего.
Что же до средств платежа, то тут я вообще не понимаю, это же уже вотчина ЦБ и Финмониторинга, они и так все эти даныне прекрасно имеют, вплоть до всех номеров карт у каждого физлица. Анонимных карт у нас нет уже лет как 5 минимум, анонимные кошельки пополнить сложно.
Какой смысл в сопоставлении "пользователя" средству платежа?
Образованные люди - одно:
Геолока́ция — неразрушающее обнаружение и исследование подповерхностных объектов грунтовых сред методом радиолокационного зондирования.Всякая перхоть - другое:
Геолокацию часто путают с геопозиционированием, определением географических координат. Причиной этого является похожий английский термин geolocation.
Роскомнадзор уже себя показывал слоном в посудной лавке. Если что, блокируем всё, что на этом IP.
хотел бы я посмотреть в глаза тому человеку, который придумал палить имя хоста в https
Ты лучше вопросом задайся, какого хрена ESNI была свёрнута до внедрения ECH, оставив всех без защиты на переходный период, а сам переходный период растянули на несколько лет после фактической готовности всего.
Это есть в статье:> В частности, при возобновлении ранее установленного сеанса имя домена в открытом виде продолжало указываться в числе параметров TLS-расширения PSK (Pre-Shared Key). Кроме того, попытки внедрения ESNI выявили проблемы с совместимостью и масштабированием, которые мешали повсеместному распространению ESNI.
Так https не для анонимности придумали а чтобы номер кредитной карточки не палить
Оплата через интернет слегка странная, но может такой она и должна быть.
Но вообще с "детства" возмущала проверка на поддельные сайты, где отправляли песещаемые сайты, я думал - ну какой же это нелепый предлог.
Оплата через интернет странная потому что это наследие иных времен и инфраструктуры которая ихначально ни о каких интернетах и не знала и не помышляла. Просто так вышло что ничего кроме карточек на тот момент не было, а сами карты изначально вообще ни для какого онлайна и не замышлялись. Нампомню, что в самом начале продавец взяв в руки карту покупателя звонил в его банк, называл номер и там ему говорили есть ли у человека столько денег на покупку и оформляли оплату.Потмо это все начали автоматизировать, вместо звонков в банк появились терминалы с модемом, эмбоссеры если нет телефона и так далее. И вот на эти геологические слои ныне натянуты всякие токенизации и NFC платежи.
А все остальное, кошельки, e-invoice и условные QR платеди появились сильно позже и не особо взлетели.
> эмбоссеры если нет телефонаТо, что вы имеете в виду, называется «импринтер» ( https://ru.wikipedia.org/wiki/Импринтер ).
Эмбоссер — это устройство, с помощью которого получают выпуклый (выдавленный, эмбоссированый) текст, в том числе и на картах.
>> эмбоссеры если нет телефона
> То, что вы имеете в виду, называется «импринтер» ( https://ru.wikipedia.org/wiki/Импринтер
> ).
> Эмбоссер — это устройство, с помощью которого получают выпуклый (выдавленный, эмбоссированый)
> текст, в том числе и на картах.Вы правы.
мифы и легенды опеннета - рулоны на вес...Первые карты были только кредитные - бестолку было звонить в банк - денег на ней всегда было ровно ноль.
И с нее либо просто ручкой списывали номерок, либо, кто побогаче - импринтером делали слип. То и другое без твоей подписи было феерически бесполезно.
По сути это не очень отличалось от обычной (не для Урюпинска) оплаты чеком. Только что не надо было таскать с собой чековую книжку.С появлением сетей (еще до массового нашествия интернетов) выяснилось что номерки слишком легко становятся э...общественным достоянием, а подпись в модем не затолкаешь.
> Оплата через интернет слегка странная, но может такой она и должна быть.Да там на самом деле жуткая и монструозная инфраструктура с десятками посредников и валидаторов на коболе с аппаратными картами криптографии, чтобы можно было ответственность за "безопасность" операции свалить на кого угодно но не на банк.
В почтовых протоколах та же проблема
Это у тебя от некомпетентности такие мысли.
У тех кто хоть раз (о ужас!) настраивал веб сервер, такие вопросы не возникают.
Вебсервер качественно хуже - если он не может одновременно поддерживать соединения на разные домены с разными сертификатами. Отутствие/отказ от sni требует заметных расходов, как минимум на IP адреса, это усложняет конфигурацию.
Функционал работы без sni в clienthello - это было поведение tls поумолчанию. Наверняка оно и сейчас продолжает работать. Так что тебя никто не заставляет принудительно им пользоваться.
Какие такие затраты на ip? Адресов 2^128, а меньше ::/128 не выдают даже китайцы и нищенские впски.
> Какие такие затраты на ip?Подрастешь - поймешь.
Иди гугли процент ipv6 покрытия, фантазер.
> а меньше ::/128 не выдают даже китайцы и нищенские впски/128 - это ровно один адрес... Но в остальном ты прав, мне попадался ВПС с одним IPv6 адресом (больше - за денежку).
Ничего не понял, но пусть будет
Открой Wireshark, настрой показ только HTTPS и открой сайт. Хм, вроде бы трафик шифруется, окда, но почему имя сайта прямым текстом? О, ужас! Все видят, как я захожу на непотребные сайты?
Непонятно назначение поля SNI Outer
Для того чтобы DPI клиента не расстраивались что не могут узнать имя хоста.
Ну тот кто надо — знал куда пойти чтобы узнать имя хоста ))
server {
listen 443 ssl default_server;
ssl_reject_handshake on;
}
это уже работать не будет?
> Непонятно назначение поля SNI OuterЧтобы сервер понял, какой сертификат использовать.
И чё с того? Кто-то увидит, с? О ужас!!!Адынадынадын
кто ЭТИ все?
разве браузер не запрашивает сайт через днс?
DNS тоже закрыт DoT или DoH по вкусу.
Сайт - не запрашивает.
Адрес сайта - запрашивает.
Но DNS нонче можно шифровать (DoH/DoT). Но вот в SNI адрес до сих пор светится. ECH призван порешать эту проблему.
> Сайт - не запрашивает.
> Адрес сайта - запрашивает.Сумничал. Молодец. Возьми конфетку.
Именно на эту мысль натолкнуть предыдущего оратора и была цель.
Так вы заходите на непотребные сайты без использования впн? Счастливый. Значит, в хорошей стране проживаете. Завидую.
Нет, я не в Японии, где разрешено даже детское порно.
Но с мозаикой.
Брехня. Если мозаика или хорошо заблюрено - то не порно (ибо нет изображения органов и т.п. - не подпадает под юридический термин "порно"). Причем это касается любого порно, даже взрослого. В тех случаях, когда незацензурено, то авторы очень сильно рискуют (мягко говоря), если их поймают. И это точно не проходит под категорией "разрешено".
То, что ты такое смотришь в инете, это не "разрешено", а "то, что кто-то не сидит - это чья-то недорботка".
Посмотри видосы про Японию. Там даже гейство в норме. Может это они для нас чисто блюрят.
> Посмотри видосы про Японию.Ого какой авторитетный источник знаний. На этом можно диалог и завершить (чтобы время зря не терять).
Любой источник знаний хорош. А ты сам себе глаза закрываешь.
А типо если вместо имени ойпи адрес то совершенно никому непонятно на какой сайт я захожу?
На одной ойпи может быть много сайтов: как "запрещённых" так и не запрещённых. Иногда - ОЧЕНЬ МНОГО. Вот как с Cloudflare, например, ага.
Кстати, гугл к примеру периодически тасует (сознательно и целенаправленно) свои ойпи между разными своими сервисами. То есть вот на этом ойпи вчера мог быть гмейл, а завтра он может оказаться уже у ведроидо-гуглстора или ютупа. И т.п.
Как раз помогает в том числе от "умников" (в том числе госуровня), решивших заблочить какие-то _отдельные_ сервисы гугла именно по ойпи.
Ну и мешает блочить гуглорекламу чисто по ойпи, да, куда ж без этого. Гугл это не от конкретно тащмайора придумывал.
До чего техника дошла.
Нет, мой многоуважаемый друг. Заходи на свой непорочные сайты. Мы ничего о тебе не расскажем. То есть, я хотел сказать, нам нечего о тебе рассказывать.
Кажется пора озаботиться памятью в роутере - скоро списки банов по IP расширятся.
Тут надо не столько о памяти, сколько о быстродействии ЦПУ беспокоиться, достаточно длинная череда проверок условий любой комп положит.
Ipset нормально, шустро работает.
> Ipset нормально, шустро работает.Когда я начинал использовать Linux я понаписал кучу правил для ещё ipchains/
Так вот, список был таким длинным, что мой Pentium I начл так очень заметно тормозить и тормозил, пока я свой длинющий список не уменьшил.Я понимаю что у тебя там конечно в роутере не Pentium I, но и обслуживать тебе не один хост с одним браузером за которым сидит один человек.
А не надо кучу правил. Надо одно правило "если ip в ipset, пускай через впн".
Ну вот эта большая шпаргалка с ip внутри ipsec'a компьютер и затормозит.
не может отличить ipset от ipsec. чего ты тут вообще забыл?
> не может отличить ipset от ipsec. чего ты тут вообще забыл?это была опечатка, конечно же я имел ввиду фильтрацию на стороне провайдера
С этой штукой некоторые заблокированные сайты открываются. Например, рутрекер
Дак он и так открывается. Там же атомикхарт выложен.
Если бы я и играл в игры, то я бы не стал играть в Atomic Heart просто потому, что это культивация среди малолетних недоумков - большей части аудитории любых видеоигр, AAA-особенно - отвратительнейшего мировозрения "хочу на близняшек пофапать любой ценой, плевать на предоставления компа и данных в нём под управление софту нужных дядь", которое чрезвычайно распространено стало теперь. Такие же и в Genshin Impact по таким же причинам рубится, и в VK зависают (а игра кстати на суверенном аналоге Steam/Origin VK Play распространяется). То что такая игра доступна бесплатно на торрентах - её создатели прекрасно заранее знали, как всё будет, сами же из этой страны, так всё и задумывалось и в экономическую часть всё закладывалось. Горстка полных лохов как всегда оплатила насаждение нужного менталитета и использования компов остальной части лохов.
Кстати да
> В Chrome поддержку ECH начали постепенно включатьДо меня это включение дошло. В настройках включён DNS-over-HTTPS (правда, вместо предложенных, вручную вбил менее известный, так как DNS от всяких Google и Cloudflare могут под блокировку попасть) и RuTracker без проблем открывается
cf в россии не жить, переносите сайты у кого там днс
А ведь их не только как DNS используют...Времена нынче в сети не спокойные - за них много кто перебрался, кто не готов тянуть лямку БОЛЬШОГО платного антидоса и/или WAF.
Скрыть IP сайта ещё можно. Но это не помогло сайту демотивейшн.ме, он почему-то лежит.
Нормальный-то WAF у Cloudflare тоже платный. А тут ещё и платить через виртуальные карты с наценкой приходится..
>Так как помимо соединения с сервером утечка сведений о запрошенных доменах происходит через DNS, для полноценной защиты кроме ECH необходимо применение технологии DNS over HTTPS или DNS over TLS для шифрования DNS-трафика. Firefox не будет использовать ECH без включения DNS over HTTPS в настройках.Перевод: если вы хотите что-то скрыть, надо сначала это отдать провайдеру этого самого DNS over HTTPS. А что что это вы? Скрываете что-то?
Угу, вся суть их борьбы.
ВРАГИ могут (а могут и не) видеть твои dns запросы! Поэтому отдавай-ка их нам, чтобы их видели МЫ (мы хорошие! мамой клянемся!)После этого можешь уже включать свою ненужно ech - мы и так знаем уже, куда ты собрался и зачем.
(а клаудшмарь присмотрит, чтоб чего лишнего там не подсмотрел)
таки и запросы днс могут идти
не только через DOH, а через свою прокладку
а может и вообще через любого провайдера днс
шифруясь dnscrypt-ом
Это в мозилле неадекватные/вредоносные решения приняли. К счастью обходится локальным DNSCryptProxy.
А что мешает пользоваться десятками DoH-апстримов, владельцам которых похер на тебя? Никто не заставляет пользоваться именно Cloudflare или Google DNS.
То, что oblivious-версии DNSCrypt и DOH никто не поддерживает - работа серверов стоит денег, а себе в убыток никто не работает.
заупскаю днскрипт (без ограничений серверов)
о ужас! 117 серверов таки поддерживают..
кто они? фейки?
Такие же совершенно бескорыстные филантропы, что держат входные бриджи и выходные ноды TOR. Все исключительно за свободную свободу. Благо сейчас дурней, городящих все это на всяких там университетских площадках, стало мало, и публиковать в открытых источниках откуда на все это денежка приходит не нужно.
бл... ну на все есть кривой ответ ))
а посмотреть что за сервера и кому принадлежат?
Плевать на их помыслы, они далеко от РФ
А при чем тут РФ? Не мучайтесь местечковым эгоцентризмом, тащи майоры через свои коммерческие прокладки не конкретно за вас беспокоятся, а за всех разом скопом. Им так удобнее в одно окошко запросы слать и на тебя из Зажопинска, и на Джона из Assprings'а.А на сервера конечно можно посмотреть, чуть больше чем все или на грантах, или аффилированы к ИТ гигантам, которые просто добавляют еще один удобный инструмент в свой набор.
притом!
зае.. своим глобализмом.
> А что мешает пользоваться десятками DoH-апстримова кто мешает вообще отъе6аться от меня и не интересоваться чем я пользуюсь?
Я вполне способен сам оценить, нужна мне эта ненужность или как нибудь так обойдусь.
(анализировать миллиард запросов с рекурсивного ресолвера, пытаясь как-то привязать их к конкретной сессии - так себе идея, если что, а до него я не очень переживаю)> Никто не заставляет пользоваться именно Cloudflare или Google DNS.
кроме той мелочи что настройка запрятана среди миллиарда невразумительных заклинаний about:config А не находится там где должна быть в меню нормальной программы - file/settings
Поэтому поинт мразилы совершенно очевиден - миллионы баранов которые до того НЕ сливали инфу куда они ходят (потому что их провайдер зарабатывает другим способом) - теперь ее радостно сольют.
Зато беббебебезопастно!
Ты можешь уехать из страны, но не можешь уехать от Фаерфокса.
> Ты можешь уехать из страны, но не можешь уехать от Фаерфокса.от фуфлофокса-то я лично давно уже уехал, это куда проще чем из страны - но там, на другом стуле - тоже так себе все.
А если бы остался, то узнал бы что провайдер DoH задается легко в удобных настройках без about:config
Назло стране буду сидеть на хроме.
в curl? ))))
> кроме той мелочи что настройка запрятана среди миллиарда невразумительных заклинаний about:config А не находится там где должна быть в меню нормальной программы - file/settingsпох, что ты, воинствювущая неграмотность локальная, такое несёшь? Ты бы так явно не показывал свою техническую неграмотность и неосведомленность. Оно находится в фуфлофоксе ровно там, где ему логично находиться:
Settings-General-Network Settings. Там и включить/отключить можно и сменить провайдера DoH и вручную вбить того, которому ты доверяешь. Ни в какой эбаут лезть не нужно.И да, откуда этот тупняк вообще про слежку через DoH? Ты же всё равно пользуешься каким-то DNS (прямо или косвенно) и он точно так же знает все твои запросы. DoH меняет в этой схеме только то, что с DoH твои запросы знаешь только ты и твой провайдер DNS(-over-HTTPS), а не еще провайдер инета, тащмайор и кулхацкер Вася из соседнего подъезда по вафляю.
Так что это чисто вопрос доверия: если ты доверяешь своему нынешнему DNS-провайдеру, то точно так же можешь выбрать и доверять DoH-провайдеру (но при этом исключить всех любопытных-in-the-middle).
> И да, откуда этот тупняк вообще про слежку через DoH?напомни, кому принадлежат любимые мразилой сервера этой дряни?
> Ты же всё равно пользуешься каким-то DNS (прямо или косвенно) и он точно так же знает все твои
> запросы.я пользуюсь либо своим, либо рекурсивным ресолвером оператора - который зарабатывает деньги вовсе не перепродажей меня оптом и в розницу, у него другой бизнес. А на выходе того и другого - огромный поток мусора, где выделить именно мои запросы нереально. (оно в целом-то и на входе тоже, потому что помимо браузера там тыщи совершенно мусорных запросов от прочей системы)
И нет, я совершенно не боюсь васяна из соседнего подъезда. Он ничего кроме загадить все помехами не сможет.
А тебе никто ж и раньше не мешал подарить все свои запросы клаудшмаре - включая теперь и те о которых она раньше не знала бы. Но вот то что отключить эту заботу опять нельзя, ни в интуитивно-приятных окошкоменюшках стописятой вложенности, ни волшебным флажком среди миллиона прочи - как бы и намекает нам на честность глаз принесших эту идею.
> напомни, кому принадлежат любимые мразилой сервера этой дряни?Ну так не пользуйся ими. Тебе это сто раз уже написали. Сколько раз тебе надо чтобы это тут написали, чтобы до тебя дошло?
> я пользуюсь либо своим, либо рекурсивным ресолвером оператора
Ты в своем пары DNS-IP ручками вбил или как всегда - откуда-то извне подтянуто? Если ручками - то безопасно, конечно, но только вот не ручками. А раз не ручками, то ты просто точку, с которой начинается _небезопасно_ отнес чуть в сторону (с компа на твой сервер в чулане), что ничего не меняет. А дальше проблема ровно та же - ведь проблему-то ты и не решал этим.
> либо рекурсивным ресолвером оператора
Ну вот твой оператор - и есть этот DNS, который знает все твои запросы. Как и при DoH. Вопрос доверия - ты вот своему оператору доверяешь, а найти доверяемого DoH оператора не додумался.
> который зарабатывает деньги вовсе не перепродажей меня оптом и в розницу, у него другой бизнес
Ну да, твой DNS-трафика он не продаёт, а предоставляет тащмайору совершенно бесплатно. И всяктакнадзору через их коробочку на линке. И хранит минимум полгода - но вот это уже не бесплатно, а за твой счёт.
> А на выходе того и другого - огромный поток мусора, где выделить именно мои запросы нереально.
Ахахаха... Ты еще скажи, что реально думаешь, что траффик сидят и вычитывают вручную. Вот это наивняк! Твои запросы, на предмет чего_не_следует инфильтруются точно так же шайтан-машинами автоматически, а не барышней-телефонисткой. Потому "поток мусора" - не такая уж и проблема, как тебе померещилось.
> А тебе никто ж и раньше не мешал подарить все свои запросы клаудшмаре - включая теперь и те о которых она раньше не знала бы.
Тебе глупенькому в 100500-ый раз пишут - не шли клаудшмаре. Выбери доверенного оператора. Твоя неспособность это сделать прям физически атмосферу деградантства сгущает в коммментах.
> Но вот то что отключить эту заботу опять нельзя, ни в интуитивно-приятных окошкоменюшках стописятой вложенности, ни волшебным флажком среди миллиона прочи - как бы и намекает нам на честность глаз принесших эту идею.
Ты продолжаешь нести херню не приходят в сознание, снова демонстрируя техническую неграмотность. Вон там, в вышеописанных настройках (самых обычных) отключаешь DoH и ECH отключает следом. Сам. Автоматически.
А ты так и сиди дальше и фантазируй о своих "какбынамеканиях".
> Ну так не пользуйся ими.ну так и не пользуюсь. Мразилой.
Но сколько ее пользователей сообразят что их в очередной раз под видом безопастности разложили под чужой микроскоп?
> А раз не ручками, то ты просто точку, с которой начинается _небезопасно_ отнес чуть в сторону (с
> компа на твой сервер в чулане), что ничего не меняет.меняет. Перебирать помойку летящую с рекурсивного ресолвера (и тем более когда ты там не один а десяток тысяч таких же васянов) - совершенно бесполезно. Ее соотнести с реальными запросами практически невозможно.
А вот запросы твоей мурзилы - синхронны, исходят с твоего личного уютного адресочка и попутно не перемешаны с мильеном других, генерируемых системой.Очень удобно.
> Ты продолжаешь нести херню не приходят в сознание, снова демонстрируя техническую неграмотность.
ты продолжаешь демонстрировать банальное неумение понимать печатный текст. Грамотей.
Речь именно о том что я не просил у мразилы подобной заботы. Это должно быть мое, а не ее решение, что отключать а что нет.
Максимум - можно предупреждение вывести, что небебебезопастно же. А, нельзя - нынешняя мразила не умеет в диалоговые окна.
> Но сколько ее пользователей сообразят что их в очередной раз под видом безопастности разложили под чужой микроскоп?Мало. Это факт. Но глупость на уровне софта в любом случае непропатчить. Как говорил покойный Митник: "От человеческой глупости нет патча".
> меняет. Перебирать помойку летящую с рекурсивного ресолвера (и тем более когда ты там не один а десяток тысяч таких же васянов) - совершенно бесполезно. Ее соотнести с реальными запросами практически невозможно.
Хахаха.. Можно инфильтровать весь траффик ртк, а кетай вон и всего китая по большому счёту. А ты уверен, что твой пров (который ISP) не может DNS-траффик "посчитать" (у пары десятков тыщ васянов). Вот это реально неожиданный наивняк.
> Речь именно о том что я не просил у мразилы подобной заботы. Это должно быть мое, а не ее решение, что отключать а что нет.
Таких браузеров нет. ВООБЩЕ. Ни палемунов, ни унгугледов, ни you-name-it. Ничего, о чём слышало хотя бы два человека. У всех создатели сами решают что включить, а что нет, твоего мнения не спрашивая. Есть только один вариант, когда это не так: это если ты сам с нуля свой браузер сделал. Но ты не сделал.
так что прохладные стори про мурзиллу, которая тебе снова в штаны насрала, можешь оставить для "рыбачких историй".
> Мало. Это факт. Но глупость на уровне софта в любом случае непропатчить.это не глупость. Просто отсутствие узкоспециальных знаний.
> Хахаха.. Можно инфильтровать весь траффик ртк, а кетай вон и всего китая по большому счёту.
нельзя. Китай просто роняет на пол все пакеты вовне китая, которые не может классифицировать.
> А ты уверен, что твой пров (который ISP) не может DNS-траффик "посчитать" (у пары десятков тыщ
> васянов).да, абсолютно. Поскольку неплохо представляю себе что у него за оборудование и какие у него вообще есть ресурсы. Ему не до того.
> Таких браузеров нет. ВООБЩЕ.
потому что все принадлежат узкому кружку друзей. И гугель уже позаботился сделать стандарты невыполнимыми для кого-то со стороны.
> У всех создатели сами решают что включить, а что нет, твоего мнения не спрашивая.
странно, зачем километровая простыня about:config если бы они сами решили.
Решают за них их управляющие. И ровно там где им занесли денег. Где не занесли - можешь пока порулить как тебе нравится.
> нельзя. Китай просто роняет на пол все пакеты вовне китая, которые не может классифицировать.А это и есть инфильтрация: DPI'ят (в том числе SNI), а если там не то, что "нравится" - дропать. Пакет прочли (насколько возможно) - меры приняли. Ровно это и есть инфильтрация. И собственно, как ты сам видишь - рабочая схема.
> странно, зачем километровая простыня about:config если бы они сами решили.
Простыня может и километровая, а опции, например, отключить проверку обновлений там уже нет. Давно. Без тебя сами порешали, да.
Так что простыней ты действительно можешь пока порулить, но это потому, что создатели решили тебе дать этой частью опций порулить.
У Cloudflare больше пользователей, чем у местного провайдера. Легче "затеряться в толпе". Да и к тому же, что будет, если они узнают на какие сайты я захожу?
Наоборот - среди толпы местных провайдеров из полутора калек инженеров - затеряться гораздо проще чем в бездонном big data хренилище клаудшманы. Но ты продолжай, продолжай веровать что она работает за идею и ради всего хорошего против всего плохого.
Бла бла бла одни эмоции. Какая вообще разница ради чего они там работают? В России всё что шифрует воспринимают как обход блокировок, а не для защиты.
не живи в оппе.
Если не можешь ничего написать вменяемого - лучше промолчи. Не стоит позориться ещё сильнее.
Пойти устроиться роскомнадзор предлагаешь?
Блин... ну это как-то... радикальненько...
Ну ты же сам написал, чёрным по светлому.
Толпа местных провайдеров это ростелеком, дом и опсосы?
Ага
Надо отдать
А провайдером DoH выступаю я сам...
Представляешь какая штука?
А для тебя ECH не включается, лол. Попробуй.
Can I use ECH with any DoH provider?Yes! All DoH servers, whether locally hosted or via provided by online services, can be used to fetch ECH records.
А ты дальше выдумывай свои глупости
Но никому их не рассказывай
Хорошо, если так. Но ты всё-таки проверь.
waterfox -> about:config
включено по умолчанию..
что да как?
> Ага
> Надо отдать
> А провайдером DoH выступаю я сам...
> Представляешь какая штука?Свой на роутере подними. Только смысла это мало будет иметь, если роутер DNS запросы будет через 53 порт слать. А вообще на эту тему в багзилле был баг.
на роутере? ))
а если на впске?
>а если на впске?А что это поменяет? Ты просто точку, где начинается незашифрованный DNS траффик перенес. Саму проблему, бегающего незашифрованным траффика к источнику DNS информации, ты этим не решил.
Та что в любом случае 2 варианта: или шифровать всё-таки запросы на всём пути между тобой и источником DNS инфы или пропускать траффик через какой тор. DoH - это первый вариант.
Просто? Ну а у тебя первая точка контроля - ISP
Вот так кайф!
Ну таки а кто против тотального шифрования всего и вся?
Тут сейчас набегут про производительность рассказывать..
Ну тоже имеет место
> Просто? Ну а у тебя первая точка контроля - ISPОна - не у меня. Она - у всех. В том числе тебя. Но DoH и eSNI в том числе от любопытства ISP. А твой метод - просто перенос точки (в шкаф, иногда в чужой шкаф в стойке).
У тебя в любом случае кто-то является источником DNS-информации (кроме случая, когды ты лично ручками пары имя-IP не забил в списочек, но и ты тоже не забил вручную). Ты не решил проблему, а сдвинул её с твоего оконечного устройства (чего недостаточно).
Меня не волнует если посещаемые мной сайты будут известны CF, а вот местный провайдер, который по закону обязан пол года хранить все что может сохранить с моего трафика, меня напрягает.
Если не напрягает с CF, то почему вдруг начал напрягать местечковый провайдер? В обоих случаях суть явления одна и та же, разница исключительно в масштабах реализации. И не рассчитывайте, что если логи на вас собирает не местечковый пров, а АНБшная контора, то вы перестаете быть интересным. Времена такие, что вычислительные мощности с доступными объемами хранения позволяют сделать вас интересным в любой момент истории по любой метрике для любого заказчика.
АНБ домой не нагрядет, в отличии от тащмайора. Для вас персонально опаснее будут всегда локальные siloviki, а не заокеанские. У них в моменте возможностей вам испортить жизнь всегда больше.
Особенно если вы недостаточно любите господина ПЖ.
подожди несколько лет подписания догоВОРняка - и нагрянет.
А вы никогда не рассматривали проблему фобии "локальных siloviki" с того ракурса, что вы что-то в жизни не то делаете? Просто ремарка, вот хлопнули очередного мамкиного шатателя режЫма. Весь в угрях, жидкие жирные патлы, и вся квартира буквально засрана упаковками от быстрожрачки и бутылками с мочой. Ну типа шатал режЫм не отходя от клавы даже на поссать. Может вы не то что АНБшным (в данный момент времени, конечно, так-то вы данные в свое досье им носите в клювике на постоянной основе, и даже радуетесь новинкам в этом деле) но и "локальных siloviki" не нужны, и плевать на вас они хотели? Ну пока вы сами же на себя состав статей нажористее не накопите.
рассматривали с того ракурса, что они
отккуда то взяли столько бабала, что имеют
недвижиомость и счета на бугром. в коммерческих схемах,
где сумма контрактов большая фигурирует в команде
представитель тех самых фобий. с чего бы? обеспечивают
госбезопасность? еще не так давно, палили пьяные в людей,
участвовали в разборках. может поэтому к ним так относятся в народе?
> Просто ремарка, вот хлопнули очередного мамкиного шатателя режЫма. Весь в угрях, жидкие жирные патлы, и вся квартира буквально засрана упаковками от быстрожрачки и бутылками с мочой. Ну типа шатал режЫм не отходя от клавы даже на поссать. Может вы не то что АНБшным (в данный момент времени, конечно, так-то вы данные в свое досье им носите в клювике на постоянной основе, и даже радуетесь новинкам в этом деле) но и "локальных siloviki" не нужны, и плевать на вас они хотели?Вы, тащмайор, очень убого работает. Вот давайте возьмём ваш пример за рабочий:
И как же так получилось, что не нужны и плевать хотели, но при этом хлопнули мамкиного шатателя реЖыма?Вот взяли, блин, и сами признались, что даже прыщавые мамкины шататели очень даже нужны, и их хлопают. "Палки" и премия сами себя не нафпармят, да?
Вот так "изящно" взял и всем потдвердил, что как раз от локальных siloviki и имеет смысл что-то прятать. А то могут просто так "хлопнуть", даже если "шататель" совсем "мамкин" (а то и вовсе не шататель, просто выходная нода или слабый пароль вафли). Главная задача локальных siloviki (если настоящих шатателей нет) - изображать собственную нужность и "находить" "шатателей". А потом показывать унылые сюжеты с "молотовыми" в пластиковых бутылках и обязательно портрет Бандеры и 2 пакетика с белым порошком (всегда одних и тех же пакетика).
> Ну пока вы сами же на себя состав статей нажористее не накопите.
Был бы человек, а статья найдёться. (с) местные siloviki
Столько комментариев настрочили-то, а? Привожу цитату:> Dependency on DoH
> ECH relies on a new type of DNS record which Firefox can currently only fetch via its DoH DNS stack. Support for fetching these records with the OS native resolver is tracked in bug1500289. Support via DoH has been prioritized because using unencrypted DNS with ECH delivers little overall benefit to user privacy.https://wiki.mozilla.org/Security/Encrypted_Client_Hello
Не хватает разработчиков на плюсах, чтобы их сетевой стек дополнить. Небось соотношение фронтендеров к плюсовикам 99:1. Надеюсь, среди комментаторов найдется contributor.
А на чём там фронтенд если не на плюсах?
> А на чём там фронтенд если не на плюсах?Поздний ответ. Я про интерфейс Лисы и всё большую перепись подинтерфейсных компонентов на web-стек.
Провайдер теперь не будет видеть, на какие сайты я захожу? А в какой версии это включат?
Можешь прямо сейчас включить через about:config. Даже не блокируется через ТСПУ пока.
на каком сайте можно проверить?
а впн-провайдеры тоже что-ли теперь не увидят как я на иксхамстер хожу?
зачем тебе иксхамстер если порнхаб не закрыт? :)
Там всё ещё авторизация по "вконтакте"?
Другая сторона всех этих защит - проблемы с фильтрацией рекламных и вредоносных доменов средствами PiHole и т.п.
Пришлось все эти протоколы банить, чтобы смартфоны, телевизоры и т.п. в обход локального DNS не ходили.
То есть когда большенство перейдет у Вас ничего работать не будет?
В локалке все трюки с попыткой отресолвить рекламные и прочие домены через защищенный днс - не получаются и все дружно по фоллбэку идут старым протоколом ресолвить на локальный Pi-Hole с блокировкой рекламы. Если не реклама, то контейнер с pi-hole идет на pfSence и там через защищенный протокол отресолвливает без возможности подмены провайлером. Еще возможно что-то настроено в браузере, возможно там что-то все-таки палится в заголовке, не помню уже (меня больше ресолвинг и блокировка рекламы интересовала, чем скрытие того, что посещаешь)
Джва года ждал! Как в мобильном Firerox включить? Не могу найти настройку.
В настройках нет еще вроде, я в nightly включил через about:config нужно задать network.trr.mode 3 и прописать url dns провайдера там же где-то.
Cloudflare это рак современного интернета
Они и есть твой современный интернет. Ну пока еще не окончательно весь.
Но это ненадолго.
Please verify that you are human...
Sorry. Your browser is 5 days old. Access denied.<site: OK> -- <relay: OK> -- <gayflare: OK> -- <you: not ok>
sub
Ни разу такого не видел. Браузер не очень новый, стоят noscript и ublock origin, впн выходит на впске с невероятно тухлым ip, который во всех спам-листах.Регулярно баним на google, яндексе, и ещё много где, но _ни разу_ на клаудфлэре.
megafon, tor, firefox = users always having cocks
Зачем, имея uBlock, ставить ещё и noScript?
uBlock блокирует рекламу, а noscript скрипты.Плюс у uBlock неадекватный инопланетный интерфейс.
Те о том, что uBlock может блокировать не только по готовым спискам RuAdlist - ты не в курсе, как и о том, что в нем можно весьма тонко, выборочно и по доменам блокировать скрипты/фреймы/картинки... Ок, можешь и дальше таскать два тяжелых аддона вместо одного.
Я три раза пытался это Г освоить, но я за время, потраченное на эту дрянь, могу заработать денег, и купить ноутбук, у которого на два ядра больше, специально для этих двух тяжёлых аддонов.У носкрипта отличный интерфейс -- список доменов*список операций. А у uBlock идиотские шесть колонок, которые делают непонятно что. Если всё сломалось, его выключают целиком, чтобы в этих кишках не копаться.
Оно селективно Firefox так дискриминирует. Если подделать fingerprint Хромого - то не будет.
Что-то не робит на desktop Firefox 118.0.1 :-(Не знаю что включить - всё остальное работает.
Тоже не работает. Был прописан DoH от nextdns, поменял на Cloudflare, перезагрузил браузер, захожу на страницу проверки и пишет, что нет у меня Secure SNI. Может нужно активировать в about:config что-то.
Зайти в about:config, набрать echconfig и выставить в true. Ну про то, что DoH должен быть, уже писали.
Спс! Заработал!
Спасибо, мил человек!Опция называется network.dns.echconfig.enabled
До кучи включил ещё network.dns.http3_echconfig.enabled
echconfig включен по умолчанию, network.trr.mode ещё нужно вроде настроить если не был настроен.
waterfox - все true
Зачем DoH?
about:config -> network.dns.echconfig.enabled переключить в true
Вот и началась постепенная замена устаревшего протокола. Дурачье это радует. Закончится все крокодильими слезами и вопросами, а куда они смотрели?
> Вот и началась постепенная замена устаревшего протокола. Дурачье это радует. Закончится
> все крокодильими слезами и вопросами, а куда они смотрели?не закончится. Бараны не задают вопросов.
Они вообще дрыгаться начинают только когда глотку уже перерезали.
А почему это должно печалить?
Централизация инета продолжается, техно гиганты показывают местным царькам кто тут главный и чья это поляна :)Спрашивается а зачем вообще нужен был SNI?
А нужен он был для балансировки, чтобы можно было распарсить только SNI в самом начале и завернуть дальше соединение на нужный хост.
Я всё собирался написать sock5 прокси который парсит SNI и дальше сам проксирует соединение куда нужно, а на проксик фаерм бы просто завернул весь 443 траф.
> Спрашивается а зачем вообще нужен был SNI?Чтобы не вешать каждый домен на отдельный IP-адрес.
Ну а в современном мире любителей поуказывать своим гражданам, куда им ходить не нужно, у такого подхода нашлось ещё одно преимущество - если на одном IP-адресе висит ресурс, куда гражданам ходить не нужно, и ресурс, блокировка которого причинит слишком много нервяка, то цензор два раза подумает.
Так SNI легко парсится, достаточно прочитать около килобайта из начала соединения а может и меньше.
Никакой крипты там нет, бери и разбирай TLS заголовки.
Так что навяв пару тыщ строк кода можно корячить SNI фильтр в любой фаер или ещё куда.
https://github.com/vstakhov/sni-proxy вот один из примеров как это сделано.
Это не головная боль цензора. Можно вообще дейтацентры неугодные банить. Когда из-за доступности режимов функционирования, нужных 1.5 нищим сайтов "не вне политики", свалят 10 платежеспособных сайтов "мы зашибаем бабки везде и дружим хоть с самим дьяволом, бабло - наша высшая ценность", которым эти режимы не нужны и которые даже фингерпринтер минцифры поставят по первому требованию, тогда 1.5 сразу выкинут на мороз. За примерами далеко ходить не надо, тот же гугл выполняет все требования и цензурирует выдачу. Потому что как только заартачится - вылетит как пробка, а ты, иван, будешь Яндексом пользован.
Google _уже_ офис в России закрыл и никакой финансовой деятельности в России не имеет.Так что вы, товарищ, соврамши.
Денег он за рекламу из РФ не получает, но вот выдачу исправно цензурирует: на каждом энном запросе "Some results may have been delisted consistent with local laws", причём некоторые вещи всё же можно найти, если использовать другие дорки, то есть цензурируются как конкретные ссылки и ресурсы, так и конкретные ключевые слова, и даже очень неконкретные запросы на поределённые темы (AGI-модель по типу Bard по-видимому используют для цензуры, нужно попробовать джейлбрейкнуть). Это не значит, что он не может получать денег за рекламу от компаний других государств. Плюс сжигать мосты и терять российский рынок - это отдать его конкуренту Яндексу. Очень вредно: мало того, что менять привычки людей тяжело, так Яндекс получит денег и улучшит конкурирующие сервисы.
> Денег он за рекламу из РФ не получает, но вот выдачу исправно
> цензурирует:китайский опыт ничему не научил эффективных менеджеров.
Впрочем, понятие "репутация" гуглю тоже совершенно незнакомо. Да и куда ты теперь денешься, когда конкуренты уничтожены.
> Спрашивается а зачем вообще нужен был SNI?
> А нужен он был для балансировки, чтобы можно было распарсить только SNI
> в самом начале и завернуть дальше соединение на нужный хост.мне кажется, когда эту бредятину придумали, еще не было клаудшмары.
Нужен он был "чтобы ничего не менять" в бездарно спроектированном ssl, придуманном во времена когда айпишники были нахаляву и сколько хочешь, а altName еще толком даже не доделали.
Ну не добавлять же в протокол простое и банальное пересогласование сертификатов уже ПОСЛЕ установления соединения по анонимному но защищенному каналу, да?
Давайте просто хренакнем имя сайта плейнтекстом до начала сессии - и так сойдет! А потом будем громоздить одни подпорки поверх других костылей чтобы снова ни в коем случае ничего не менять.
Там выше заметили что TLS это для конфиденциальности и неизменяемости данных а не для анонимности.
Типа ничо страшного если кто то узнает что юзер полез в sberbank.ru, главное чтобы не спалили пароль и сколько там денег.
Ну и вот какая конфиденциальность в том что утекает имя сайта?Ну и сперва - что полез и куда полез, а там и можно заняться уже целенаправленной атакой. (Ну например - даже не технической, а на человеческом факторе - зная уже кое-что полезное о человеке. Но и быстро откинуть сессию в сторонку тоже неплохо. Пресловутые прокси могут ведь и не только у хороших ребят быть.)
Которой бы просто не было, если бы все что у тебя было - адрес источника и адрес неведомого шлюза за которым может быть сколько угодно сбербанков и просто сайтов с понями.Собственно, это должно было стать понятным еще на том этапе, когда догадались, что защищать только данные кредитки - маловато. Потому что платежная система-то может оказаться самой что ни есть настоящей, а вот данные получателя не совсем.
Я не вижу в этом ничего плохого, как минимум в обществе где не сажают за лайки и чтение.
> Я не вижу в этом ничего плохого, как минимум в обществе где
> не сажают за лайки и чтение.том самом, которое отберет у тебя автомобиль и трусы, если ты пытаешься съ...ся от строгого но справедливого суда за неправильный лайк?
Казалось бы, все ровно наоборот - там еще может и есть смысл побороться за то чтоб не жить в доме со стеклянными стенами на радость спецслужбам и просто продажным м-кам.
А тут пора бы уже научиться не лайкать чего не надо и бодро лайкать чонадо, и не надеяться что тебя спасут поделки альтернативно-одаренных рабов мразилы.
Тут достаточно не пользоваться яндексами и мылами, а там альтернатив почти нет.
А список уже опубликовали что можно лайкать а чо нет?
а то народонаселение страны получило такое образование,
что самостоятельно может только лайкать где попало и
за что попало, не вдаваясь в суть
> Там выше заметили что TLS это для конфиденциальности и неизменяемости данных а
> не для анонимности.Ну да, проверено клаудспайварью "акселерирующей снятие TLS" для вас :). Там все конфиденциально - только NSA, CIA и FBI сольют при случае, а так нормуль.
А что вы такого сделали что стали объектом внимания для этих ребят?
> А что вы такого сделали что стали объектом внимания для этих ребят?может, к примеру, родился не в том месте?
И да, если ты думаешь что эти ребята истиные рыцари света и борцы с тьмой - рекомендую вспомнить хлебало Сноудена и хмыря слившего секретные документы пентагона в геймерский чятик.
Так они оба знали на что шли, ты покажи кейсы не связанные с криминалом и изменой родине.
>> И да, если ты думаешь что эти ребята истиные рыцари света и борцы с тьмой
>> - рекомендую вспомнить хлебало Сноудена
>> и хмыря слившего секретные документы пентагона в геймерский чятик.
> ты покажи кейсы не связанные с криминалом и изменой родине.* смотри фильм - "Сроки и условия могут поменяться" там англочел неправильный твит сделал (тайминг не найду).
* и смотри wiki-статья - "Ошибка_выжившего"
т.е.
а) если ты не видишь как работают спецрыцари - возможно потому что кейсы с бесчувственными телами (которые ничего рассказать не смогут).
б) если ты *не* видишь как работают спецрыцари - так и ДОЛЖНО БЫТЬ
в) если ты *видишь* как работают спецрыцари - значит они плохо работают)))
Но _я_ то не англочел.Тут же логика не в том, что англосаксы хорошие, а славяне плохие, а в том, что тамошние спецслужбы не заинтересованы в тебе, да и не достанут. А тутошние спецслужбы не заинтересованы в тамошних юзернеймах, да и, опять же, с трудом достают.
Поэтому, кстати, куча американских оппозиционеров (и криминала, кстати) сидит во Вконтакте и телеграмме.
Ох уж эти оппозиционеры... Есть приватные альтернативы, нет все равно будут кал наворачивать, который то одним спецслужбам сливает юзеров, то другим.
Хм... Чуваки, затрелившиеся и пропавшие из поля зрения родных, после того, как подержались за ноутбук сына одного политика?
Так чуваки-то в Той стране, а не в Этой. А мы-то большей частью в Этой.
Так Иван как раз спрашивал кейсы про внесудебные преследования в преславном Западе.
А нельзя ли поподробнее, кто конкретно пропал или выпилился? Никогда не слышал и не гуглится...
История с ноутбуком Хантера Байдена. Сей экстравагантный персонаж, по совместительству сын одного пожилого политика, умудрился пролюбить свой ноутбук с весьма пикантным содержимым. Чувака, который нашел ноут и принес его в сервисный центр, потом нашли самоубившимся от огорчения. Сервисмена, который принял ноут и, собственно, обнаруживший кто-чего-что и пискнувший про это в СМИ, пропал с концами. Возможно, что пока еще не все выдачи с поисковиках вычистили, но во времена самой веселухи, в твиторе и пейсбученьке за одно упоминание сего печального события вытирали и банили с концами.
> Так они оба знали на что шли, ты покажи кейсы не связанные
> с криминалом и изменой родине.дык - в том и дело что ты эти кейсы никак не узнаешь, пока не придут за тобой.
Я про уровень мозговой деятельности этих персонажей и уровень контроля за действиями такого персонала, если ты не понял.Тот слил документы в чятик чтоб повыпендриваться, следующий просто сп-т деньги с твоей кредитки - и вот он-то не попадется, потомушта родине-то не изменял (и вообще ты терана плохо свергал и так тебе и надо).
Приватность либо есть, либо её нет. А сейчас происходит подмена понятий, мол "злоумышленникам" нельзя данные/метаданные сливать, а остальным можно. И занимаются отставанием такой "приватности", прежде всего, корпорации, которым выгодно, чтобы им было можно, а другим нельзя.
Бэкдоры в процессорах тоже норм. Intel с AMD ведь не станут кому попало нас сливать, так что можем спать спокойно: ФСБ и злоумышленники нас не достанут, а АНБ можно доверять на 100%!
доверять нельзя даже себе.
> Нужен он был "чтобы ничего не менять" в бездарно спроектированном ssl, придуманном
> во времена когда айпишники были нахаляву и сколько хочешь, а altName
> еще толком даже не доделали.Айпишники и сечас на халяву, выдают белый опи с бесплатными облачными инстансами любому васяну.
altName и прочий бред, даже не знаю нафига это кому-то в голову пришло, что там оптимизировали во времена когда тех айпишников было хоть попой жуй, скорее дорогое и низкопроизводительное железо.
Но это жуткие костыли, с проблемами в архитектуре безопасности и инфраструктуре.> Ну не добавлять же в протокол простое и банальное пересогласование сертификатов уже
> ПОСЛЕ установления соединения по анонимному но защищенному каналу, да?
> Давайте просто хренакнем имя сайта плейнтекстом до начала сессии - и так
> сойдет! А потом будем громоздить одни подпорки поверх других костылей чтобы
> снова ни в коем случае ничего не менять.Думаю мотивация тут очень простая и банальная, именно в том чтобы было видно куда ты ходишь, и именно в этом.
Сейчас когда клоудфлара и гугл фактически контролируют интернет, в этом нужда отпала.
Теперь другие задачи, дожать контроль и отобрать его у третьих лиц.
> Айпишники и сечас на халяву, выдают белый опи с бесплатными облачными инстансами любому васяну.и много ты уже навасянил, бесплатного?
А у меня вот попечальнее картинка: https://docs.hetzner.com/general/others/ipv4-pricing/
причем сам сервер небесплатный ни разу. Я решил что хрен им а не мои деньги (на еду-то не хватает)И сравнить это с прекрасными древними днями, когда типично для нормального сервера а не shared помоек за три копейки было непоместиться в одну /24 и попросить вторую - потому что юзер набравший ww вместо www расстраивался, попав не на свой сайтег.
(т.е. без всяких прибитых гвоздями к хостнейму сертификатов, plain http было принято разносить по отдельным ip)
> altName и прочий бред, даже не знаю нафига это кому-то в голову пришло
тем кого достало создавать на каждый сайт по три записи - одну с www, одну без, и еще считалось прилично отдельную на айпишник (сейчас такие сертификаты выдавать немодно) и покупать три сертификата - подорого.
CN мог быть только один и https://vasyan.site выдавал страшные и ужасные угрозы если сертификат-то выдан www.vasyan.site
Что такое хезнер этот не знаю, но 2$ за опи как-то ни о чём совсем.То что они за IPv6 денег хотят вообще смешно, ну это Европа видимо?
У них айти инфраструктура в каменном веке. Банкинг вообще ад какой-то.
За IPv6 везде денег хотят, причём столько же, сколько и за v4, а то и дороже, потому что могут же.
> За IPv6 везде денег хотят, причём столько же, сколько и за v4,
> а то и дороже, потому что могут же.конкретно эти - не хотят. Но русские ж не умеют в английский и не смогли прочитать _additional_ subnet.
А вот за v4 придется доплатить даже за единственный.
> Что такое хезнер этот не знаю, но 2$ за опи как-то ни
> о чём совсем.там еще setup fee, немаленькая.
Хочется ли тебе оплатить парочку /24 по этмим расценкам - просто чтобы людям было удобно?> То что они за IPv6 денег хотят вообще смешно, ну это Европа
это европа и сервер ТОЛЬКО с v6 обойдется дешевле. А это - дополнительные если одного мало.
> видимо?
> У них айти инфраструктура в каменном веке. Банкинг вообще ад какой-то.то ли дело у р@шкованек.
> то ли дело у р@шкованек.Не осведомлён что там у них.
>и много ты уже навасянил, б есплатного?
> А у меня вот попечальнее картинка:Васяню на оракул клауде.
Повасянил немного на Амазон, но у них тарификация трафика по обьёмам (как в старые добрые диалап времена) и бесплатно 1Гб только дают.
На оракле кстати зарегистрироваться было адом сплошным, не тот айпи не той страны не та карта кредитная.
И всё со всем должно совпадать.
Ну и что ??
Будет российский изернет
через шлюзы коммуцировать
с ихними бупжуйскими ынтернетами
>Централизация инета продолжаетсяЯ бы сказал - заканчивается.
Хром от гугла покрыл уже почти всех клиентов. Cloudflare делает то-же самое, только с серверной стороны. DoH через Cloudflare. Теперь и ECH туда-же заворачивают."Так это-ж совсем другая картина маслом"
>Теперь и ECH туда-же заворачивают.Нет, ECH рано или поздно внедрят все веб-серверы и он будет повсеместно.
Тебя никто не заставляет юзать DoH именно от Клаудтвари. Можно точно так же, как с обычным DNS, выбрать и настроить на свой вкус.
И поддержка ECH от клаудтвари просто потому, что они одними из первых на своих серваках это включают. Если остальные пошевелят булками, то через пару лет большинство серверов будет с поддержкой ECH.
Вот от гуглохрома уйти уже реально проблема, это да. По большому счёту остались только хромоклоны и фуррифокс (с производными от него типа LibreWolf и палемун).
Хром и Огнелиса запретят как клиент запрещённых VPN сетей?
(Ну а в РФ будет работать государственная версия этих браузеров с обрезанными средствами скрытия адреса хоста, страницы и не взламываемого шифорования трафика.
в рф и так "нормально" работает с ру-ресурсами
только ябраузер с русских ип
с чего бы это?
>с чего бы это?Это первый звоночек цифрового Гулага.
Первый!? Просыпайтесь уже!
>Первый!?Недавно был еще один "звоночек" когда тестировали блокировку VPN во всех крупных провайдерах. Думаю, это не спроста. Так что то что есть сейчас - еще цветочки того что предстоит в будущем.
Недавно?
Это происходит циклично.
Сегодня закончилась очередная волна блокировки.
Да, где-то с 2300 по 1100 msk.
А каким должен быть механизм ssl/https, чтобы быть устойчивым к централизации, цензуре и не зависеть так от тех, кто выдаёт серты?
И это откровенно курам на смех.Tor/i2p вот справляются без тех, кто выдаёт.
При ненадёжности у этой системы огромный потенциал для централизации, когда не нужным сайтам просто не выдают сертефикаты.
Можно было бы для начала обдумать и хотя-бы предложить систему, которая делает то же, что и https, но нормальнее.
да ты чо!
а госсертификат на что?
Остаться только на государственных сайтах, например.
а куда денется весь ру-сигмент?
Сертификат то будет везде!
Но зато достоверность обеспечена на 100%
На 0%, тогда.
В чем недостоверность?
> В чем недостоверность?Блокировки. Навязывание.
Для проверки https://tls13.1d.pw
Взял на хабре
Как они это собираются провернуть? Cloudflare же в бане.
В каком бане? Всё работает.
С чего ему в бане быть?
> С чего ему в бане быть?некоторые сегменты попали в ковровые блокировки по борьбе с телеграмом, но их давно простили и отпустили - поскольку цель была не в том чтоб заблокировать, а в том чтоб приучить вас что так можно.
Как бы то ни было, но эффект площадного накрытия тележенькиных прокси свой эффект возымел. Паша покрутил задницей и таки пошел на сотрудничество.
так он с самого начала и сотрудничал. Попробуй переехать своим жегулем (если на мерина нетбабла) полицая и остаться на свободе?!Весь смысл затеи был - научить вас жить с заблокированной половиной интернета. Успешно удалось.
Паше очередной орден дали, за трудовые заслуги, и внеочередное звание. Поди уже подполковник-сексот, а начинал-то лейтехой!
Заявление, что будут блокировать вотсапп за каналы, расставило точки над ï: в телеграме тоже есть каналы, но его не блокируют, наоборот высшие государственные чиновники им пользуются, а посадки за посты в телеграме реоулярны.
В телеге есть каналы, но там трут все неугодное, поэтому ее и блокировать нет смысла.
> В телеге есть каналы, но там трут все неугодное, поэтому ее и
> блокировать нет смысла.ты можешь создать свой и тереть там неугодное только тебе. Но есть одна проблема...
цель была пропиарить свой продукт,
который якобы оплот свободы )))
и идиоты потянулись в него
> цель была пропиарить свой продукт,я полагаю, для такой цели всех биткойнов капитан-сексота не хватило бы, чтобы привлечь государственные органы.
А вот наоборот - когда ему за это еще и приплатили (ну может не биткойнами а например прощенным перееханным полицаем) - очень даже похоже. И пиар продукта - тоже заказывали в том же месте.
> чтобы привлечь государственные органы.А если эти органы крайне заинтересованы в таком продукте?
идеально ж собрать всех борцунов-оппозионеров в одном месте
и присматривать за ними )) пусть бухтят и стоят планы..напомню, как внедалеком прошлом, мегафон запустил проект для бизнеса
"зашифрованная связь".. идиотов тогда мало собралось и проект прикрыли
несколько лет назад, кормчему презентовали защищенный телефон (по телеку
показывали) один из местных производителей "разработчиков", с тех пор
ничего о нем не слышно (телефоне)
но вот появилась телега и как в нее загнать все "прогрессивные силы"
человечества? тем более "дуров и ко" к тому времени спи..л код ватсапа ))
> А если эти органы крайне заинтересованы в таком продукте?так у них уже был втентакль.
Хотя, да, в Украине его быстренько заблокировали (хотя разумеется не так чтоб герои-нетакусики не нашли способ продолжать сливать все о себе)Но для этого незачем было ввязываться в весьма дорогостоящее для обоих сторон мероприятие с ковровыми блокировками. А вот чтобы научить админов обходиться без интернета - очень даже да.
Научились плохо, но лиха беда - начало.
ECH - это прекрасно, местные DPI его не умеют.
надолга ли?
одним взмахом и.. отфильтруют
По IP начнут банить все подряд, иначе не выйдет.
> По IP начнут банить все подряд, иначе не выйдет.выйдет. Как и сейчас, собственно - если dlp не может прочитать имя сайта из заботливо подсунутого SNI, такой пакет просто дропается.
Либо признавайся, куда шел, либо хрен тебе и -100 социальный рейтинг - честному человеку нечего стесняться стеклянных стен в туалете!
Там сложнее, у него два SNI, наружный и внутренний. Внутренний не разобрать.
Разве что положить весь ECH целиком, но по мере внедрения по сути проще сразу чебурнет.
> Внутренний не разобрать.зато в наружном - предсказуемый мусор. Ну и дроп ему.
> Разве что положить весь ECH целиком
зачем весь? Только тот что на айпишники вредных государству сайтов. Оно примерно так и работает (всю порнуху анализировать - никаких ресурсов не напасешься), и только уже этот траффик разглядывают на предмет что у нас там в sni. Теперь еще добавится проверка что он не фейковый.
> зато в наружном - предсказуемый мусор. Ну и дроп ему.Это да, но _технически_ ничего не мешает, сделать этот отдаваемый юзерконтролируемым (возможность вписать, что захочешь), а серверу принимать с каким угодно. Просто этого пока не реализовал никто.
>> зато в наружном - предсказуемый мусор. Ну и дроп ему.
> Это да, но _технически_ ничего не мешает, сделать этот отдаваемый юзерконтролируемым (возможность
> вписать, что захочешь), а серверу принимать с каким угодно. Просто этого
> пока не реализовал никто.и не реализует. Ну если только ты сам не осилишь (что адски сложно - копался я когда-то в потрохах nss, его явно рептилоиды писали нам на погибель)
> и не реализует.Вполне возможно что так. Но это я к тому, что вопрос на данном этапе чисто технический остался - код написать (и договориться этому внедрению следовать как клиенту, так и серверной стороне).
Почему мусор?
mycoolhost.cloudflare.com
Всё легит, ничего заблокированного.
Пока не видно, чтобы разбирались
"свой/чужой". Хреначат безоглядки.
Соединяюсь с впн-сервером индусов и... йух
Сербы нам пока фиги не показывают и тоже
а все потому, что блокируют протокол
так что нет своих и чужих, а есть "как проще"
У меня протоколы не блокируют. Только популярные впн-провайдеров, не важно, в какой стране сервер.
в деревнях и райцентрах у дишманских провайдеров
нет бабла "ваши" дпи. нет сил и денег бороться ))
Более вероятно, что у вас в деревне местный пров чудит. А крупному за блокировку того же OpenVPN уже давно бы прилетело.
Крупные и блокируют все протоколы ))
И прелетает им только похвала от РКН
В вашей деревне скорее всего нет dpi
У меня один из крупнейших провайдеров в ДС, только в интернете вижу нытье, мол, протонвпн не работает или норд, например. Так логично, ведь их блокирует, зато если на впске самому поднять тот же самый опенвпн, то все должно работать. Если пров не занимается самодеятельностью, конечно.
> в деревнях и райцентрах у дишманских провайдеров
> нет бабла "ваши" дпи. нет сил и денег бороться ))у них есть апстрим дающий гарантию что их траффик тоже фильтруется. И да, за это расписываются ответственные лица с обоих сторон.
И троянскую коробочку за полтора ляма - им тоже полагается у себя держать. Да, они могут обмануть и до поры до времени быть непоймаными - но назови-как хоть один повод это делать?
Напоминаю вчерародившимся посетителям сайтика - на нас настучал наш собственный клиент в такой вот "деревне".
Игнорируется отсутствие фильтрации и оборудования
по простым причинам - борцунов с режимом там не наблюдается
от слова "совсем". местные олкаши иногда могут на прон глянуть
и вспомнить что есть секс. платить такие бабло за коробку
ради чего??
Зачем так? Можно сделать проще. Отводить 0.01% всего трафика на анализ. Если есть для сайта DNS-запись для ECH - просто вносить айпишник в банлист и дальше просто повально блочить. Хозяин - барин же, что самодержец приказал - то и блочит.
так ты пол-клаудшмары заблочишь в первый же день.
Так для этого так делать и будут. Захочет клаудфлэйр разблокировки - уберёт ECH, через некоторое время система накопит статистику, что на IP нет ECH, и разбанит его. Что полинета ляжет - ну так предупреждали же: используйте чебурахнутые дэйтацентры, и сами чебурахнуться не забудьте. Смысл в том, что такая система автоматическая полностью: заблокирует не только клаудфлэйр, но и вообще все адекватные фронтэнды, где есть ECH. И не надо говорить, что я подсказываю. Это очевидная вещь вообще. В холдинге авторитетного бизнесмена не идиоты работают, до очевидных вещей вполне додуматься могут. На опеннете появлялся уже один оттуда, что-то давно не появляется, может GMLRS изучает с близкого расстояния?
Смотря что за сайты и сколько их, из-за пары сайтов половину клаудфлары банить не станут.
То есть ты не слышал о блокировках не какой-то CDN, а целых протоколов.
Каких протоколов? Протокол протоколу рознь, если завтра какой-нибудь Usenet заблокируют, то никто почти и не заметит.
Заблокировали именно те, что очень даже заметили. Если они себе позволяют блокировать целые протоколы - то и целую клаудфлэйр подавно позволят, особенно учитывая то, что условия заблокированности они давно уже озвучили, и если клаудфлэйр полезет на рожон - то ничего, несколько дней будут сбои в работе сайтов, а потом сайты начнут валить с клаудфлэйр на чебурахнутые CDN. И Cloudflare мигом отыграет назад. А если не отыграет - ну будут терпеть сайты, использующие Cloudlare, убытки, которые им никто не компенсирует. Предупреждали же заблаговременно, что надо чебурахнуться, не чебурахнулись - face consequencies. Чебурахнулись - в принципе тоже. Есть 2 стула... Но тут в принципе на обеих стульях можно усидеть.
У меня любые протоколы, которые можно для обхода блокировок использовать, работают. SOCKS, OpenVPN, WG, SSH, SS, про все остальное и говорить нечего.
Еще DoT, DoH, DoQ и DNSCrypt забыл назвать.Хотя Tor, да, напрямую не пашет. Но где Tor, и где CDN. Совсем ведь разные вещи.
> У меня любые протоколы, которые можно для обхода блокировок использовать, работают.это не ваша заслуга. И перед днем голосования - перестанут. Навсегда.
Хватит нагнетать, сколько можно про чебурнет рассказывать, который "вот-вот" наступит?
> Хватит нагнетать, сколько можно про чебурнет рассказывать, который "вот-вот" наступит?А как ты думаешь, опросные листы "что в вашей инфраструктуре зависит от ...э... недружественных стран" - их просто так рассылают, чиста по приколу?
То что твой подвальчик их не получает и от соседей ты тоже о таком не узнаешь - говорит опять об уровне и местах работы контингента оставшегося на этом сайте.
> Захочет клаудфлэйр разблокировкиу носорога очень хреновое зрение...
> ну так предупреждали же: используйте чебурахнутые дэйтацентры, и сами чебурахнуться не забудьте.
это так не работает. Поэтому "учения" и продолжают каждый раз проваливаться.
> В холдинге авторитетного бизнесмена не идиоты работают,
ну здрасьте! это ж обязательное требование при устройстве туда!
Вот, например:
> может GMLRS изучает с близкого расстояния?но, думаю, тогда бы мы об этом услышали и к парте даже было бы дозволено почтительно прикоснуться. Терминово живый, полагаю.
> По IP начнут банить все подряд, иначе не выйдет.Ещё могут в DNS соответствующие рекорды поубирать в надежде на fallback.
DNSSec без DoH/DoT тоже неплохо подменяется, специально так задуман. Особенно если учесть, что базовые резолверы в операционках до сих пор это счастье не валидируют.
А если сейчас (пока ещё без этого ECH) - взять и по айпи зайти на сайт - что будет видно стороннему наблюдателю?
По айпи tls не работает. А вебсервер диспетчеризует по имени. Поэтому скорее всего ты увидишь либо ничего, либо "It works!"
> По айпи tls не работает.работает, более того - на него можно выдать сертификат.
> А вебсервер диспетчеризует по имени. Поэтому скорее
необязательно
> всего ты увидишь либо ничего, либо "It works!"
проблема как обычно не в этом. Проблема в нежелании браузера хоть что-то позволить решать тебе.
Поэтому увидишь ты снова ту дурацкую белую страницу полную неведомой хрени и без кнопки "продолжить"
>работает, более того - на него можно выдать сертификат.На letsencrypt, или самоподписный? Самоподписный, наверное, можно, но что толку?
летсшиткрипт не для того придумали чтоб ты мог такое себе получить. Его придумали чтоб ты сливал побольше данных тем кому от клаудшмары мало перепадает.А до эпохи шиткрипты - можно было купить, за деньги. И покупали.
Теперь уже наверное никто такое не продает. Самоподписанный можно, можно подписанный корпоративным CA. В altName ext можно добавлять не только DNS: но и IP:
Ты бы лучше спросил - что будет видно - тебе. Так вот - видно будет пустую страшную белую страницу полную неведомой херни и с единственной кнопкой "перейти к котикам".Но это только при условии что сайт - тот что ты набрал в адресной строке. А если оттуда только скажем картинки (или ужасней того - скрипты или даже просто css) загружались - видно тебе не будет вот ровно _ничего_. И ни предупреждения что что-то не так, ни тем более диалога с предложением разобраться и продолжить.
Такой вот модный современный веб в исполнении единственно-верного Браузера.
вот этот сайт - https://217.65.3.21/ - он открылся! было ли видно стороннему наблюдателю имя хоста?
> вот этот сайт - https://217.65.3.21/ - он открылся!где-то ты напи3дюнькал:
217.65.3.21 uses an invalid security certificate.и хрен тебе а не сайт.
И я надеюсь ты понимаешь что так работает только для сайта в адре...поисковой строке и при переходе по прямому линку, а если бы с такого сайта цеплялся фрейм, скрипт или картинка - ты бы не увидел _вообще_ничего_ - никаких сообщений об ошибках и никакой возможности вручную что-то там назло безопастности отменить?
- он открылся! было ли видно стороннему наблюдателю имя хоста?
> - он открылся! было ли видно стороннему наблюдателю имя хоста?в данном случае было видно ровно то что в адресной строке - но тебе это мало поможет, если тебя интересует что-то более осмысленное чем беспалевный заход на опеннет.
> В Firefox и Cloudflare включена поддержка ECH для скрытия домена в HTTPS-трафикетоварищ майор напрягся =)
Нет.
Это он после вчерашего никак не отойдет
Ну правильно, меньше нужно бухать.Алкашка ещё никого до добра не доводила.
Есть пример сайта, заблоченого в РФ, но открывающегося с ECH? Стандартные заблоченые видимо еще ECH не поддерживают.
RuTracker банально
например старый добрый рутрекер https://rutracker.org/forum/index.php
> например старый добрый рутрекер https://rutracker.org/forum/index.phpА разве его не разблокировали, после чего он уже сам начал ip адреса с РФ блокировать?
джва рутрекера и ни одного goatse. как скучно )
Т.е. выявить использование ech извне невозможно?
Сам факт - возможно. Но если полинета (а со временем и большая его часть, а не только клаудфларь) будет по ECH то выявлять смысла особо ничего не даст. Это как сейчас выявлять факт использования httpS юзером: нуда, использует и массово. И чё? Только если чебурнет реально запливать.
Со уременем никто не будет с ECH. ибо кто будет - вылетят с рынка авторитарных параш.
Про https когда-то тоже примерно такое писали. А в итоге сейчас сайтов с http еще пойди-поищи.
Оно, конечно, может и не взлететь в итоге, но если это уже добавили в хромого и в фуррифокс и начинает с серверной стороны поддерживать клаудфларь, то шансы, что оно станет распостраненным около-дефолтом весьма значительны.
И авторитарные параши, кроме очебурнечивания, мало что смогут с этим сделать.
В Firefox это уже несколько лет есть и работает. Исключительно на тестовых сайтах. А нетестовые что-то не горят желанием быть заблокированными.
> В Firefox это уже несколько лет есть и работает.Через эбаут-конфиги работало - если включить вручную было. А как сказал один умный человек: Если в вашей программе есть какая-то функция, но она не включена по умолчанию, то это значит в вашей программе нет такой функции.
> Исключительно на тестовых сайтах. А нетестовые что-то не горят желанием быть заблокированными.
Потому, что требует поддержки со стороны сервера. А все "нетестовые" сайты написаны веб-мaкaками, которые в такое не умеют. Вот когда в серверный софт повстраивают и повключают по-умолчанию (вот как клаудфларь), тогда внезапно/s почти везде заработает.
У меня ESNI вполне себе работал на ряде сайтов, причём иногда неожиданно даже для самих врадельцев этих сайтов. Просто потому, что у них сайты на клаудфларе были. А шансов стать распостранённой у ECH потенциально больше, чем у eSNI (причины описаны выше).
> Через эбаут-конфиги работало - если включить вручную было. А как сказал один умный человек: Если в вашей программе есть какая-то функция, но она не включена по умолчанию, то это значит в вашей программе нет такой функции.Наоборот. У кого надо - она была. У 99% ленивого скота - не была. Поэтому её даже не блочили.
>> Исключительно на тестовых сайтах. А нетестовые что-то не горят желанием быть заблокированными.
> Потому, что требует поддержки со стороны сервера.
>Вот когда в серверный софт повстраиваютДавно есть поддержка в серверах.
>повключают по-умолчанию
Невозможно. Требуется специальная DNS-запись. Без неё не будет ничего.
> У меня ESNI вполне себе работал на ряде сайтов, причём иногда неожиданно даже для самих врадельцев этих сайтов. Просто потому, что у них сайты на клаудфларе были.
Ещё раз - клаудфларь и прочие МЕГА-крупные монополисты - это де-факто единственный способ это продвинуть. Владельцы сайтов узнают, что им это включили, когда их авторитарные параши уже заблокируют. Именно по указанной причине - это будут умолчания, которые изначально включат всем, и мнение этих "всех" даже не спросят. Сами же они трудиться, DNS прописывать, ради кучки маргиналов, которым большая приватность нужна, чтобы за действия в интересах этой кучки маргиналов их заблокировали в авторитарных парашах, не будут. Как говорится, "ты определись, за красных ты, или за былых" и "кто не с нами - тот против нас".
Причём клаудфларь не ради этих маргиналов старается. А ради своего монопольного положения. Чтобы она могла торговать данными, а провайдеры - не могли. Это позволит за свои данные цену повысить. Поътому никто адекватный ни клаудфларь на своих сайтах, ни сайты на ней, не использует. Особенно учитывая их вредоносные скрипты, которые так же "по-умолчанию" всем навязали, и большинство недолю^Wвебмастеров это в настройках не отключили.
> Наоборот. У кого надо - она была. У 99% ленивого скота - не была. Поэтому её даже не блочили.Ну то есть не было примерно ни у кого. Я так сразу и сказал.
> Давно есть поддержка в серверах.
Объясняю второй раз. но проще, чтобы даже тебе понятнее было: Если есть, но не включено - это значит нету.
> Владельцы сайтов узнают, что им это включили, когда их авторитарные параши уже заблокируют.
Если параши примут такое решение и заблокируют, помешать этому всё равно владельцы напрямую никак не смогут. Ни владельцы сайтов, ни ты помешать очебурнечиванию чисто техническими способами не можешь.
> Сами же они трудиться, DNS прописывать, ради кучки маргиналов, которым большая приватность нужна, чтобы за действия в интересах этой кучки маргиналов их заблокировали в авторитарных парашах, не будут.
Про httpS точно так же когда-то говорили. А теперь еще пойди найди, где еще осталось просто http.
Напоминаю, что ECH по сути - domain fronting. Именно по этому Cloudflare топит за ECH, а не eSNI.
> Напоминаю, что ECH по сути - domain fronting. Именно по этому Cloudflare
> топит за ECH, а не eSNI.В eSNI все было ж примерно так же. Точно так же не работал без левых записей в dns.
(точнее - как раз в ech еще возможен фаллбэк, а в esni его нет в принципе)
Зачем вообще эти левые записи в DNS, и можно ли их получать без DoH?У меня dns ходит через VPN, поэтому шифровать его не требуется.
так "чудесно" работает ech. Нельзя же было трогать святое - сам уродливый https протокол. Например передать дурацкий хостнейм без проверки сертификата и пересогласовать соединение если уж неймется? К тому же это огорчило бы любителей передавать данные "куда-то туда" даже до его установки.> У меня dns ходит через VPN
ТАМ, на другом конце твоего vpn - тебя подслушивают ВРАГИ! (так думает во всяком случае клаудшмарь... впрочем, ей ты и сам не особенно друг, раз не пожелал поделиться куда ходишь и зачем)
Поэтому можно если ты умеешь патчить свой браузер. А иначе нельзя. Авторы браузеров лучше тебя знают как о тебе позаботиться.
Ставь локальный ресолвер, лучше всего на нескучном йезычке (все попытки пихать шифрование в традиционные "почему-то" всегда кончались ворохом уязвимостей)Это пока еще можно.