ну тут за что купил — за то продаю, сам я айтиротную заглушку не застал. может и ругался

Для того, чтобы сделать MITM SSL надо иметь (иметь возможность выпустить) закрытый ключ сертификата для сервера. Это то, что собирались делать в Казахстане, но у них не получилось.

Иметь закрытый ключ трушного сертификата необязательно, если у тебя не стоит в браузере плагин для залочки по отпечаткам сертов, а возможность выпуска обусловлена только внедрением своего CA в общую цепочку доверенных сертификатов?

Так что если не страдать паранойей в духе «все власти в сговоре и имеют доступ к закрытым ключам корневых сертификатов» - они таки не могут MITM SSL.

А разве они не в сговоре?

Никакого сговора нет, это все выдумки:

http://nosql.ru/forum/topic.php?fid=3&tid=35147&gotomsg=1517091

http://nosql.ru/forum/topic.php?fid=3&tid=35147&gotomsg=1499092

http://nosql.ru/forum/topic.php?fid=3&tid=35147&gotomsg=1506108

ipfs://linux.org.ru

В твоей теории есть одно слабое место:

1 Автоматически плодить сервера

Сервера пока будут сервера будет кого банить, кого ломать и админ сервера, за которым товарищ майор будет бегать с паяльником и требовать ключи с паролями.

IPFS. Нормальные бровзеры и сайты уже ее поддерживают изкаробки. А ваш?

И злобный модератор никогда уже не потрет пост за нацпол.

внедрением своего CA в общую цепочку доверенных сертификатов Да, именно это пытались сделать в КЗ и обломались.

А разве они не в сговоре? Пока всё говорит что нет. Я не могу опровергнуть вашу паранойю, но её ничто не может опровергнуть в этом смысле…

Тоже была мысль про распределенность для обмена адресами через ZeroNet, какие-нибудь криптомонеты (не по назначению) или тупо Bittorrent.

Но как отсеивать шпигунов, которые будут отправлять адреса на великий файрвол?

Как варик персонифицировать сервера и банить подписки, которые многократно оказываются в фильтрах? Но ведь они могут быть невиноватые, таргетированные атаки на них никто не отменял однако.

Осторожно HTTPS !!!

они таки не могут MITM SSL.

А ты таки наивный. В https стандарты заложили трояна чтобы иметь возможность смотреть кто где шарится: Почему корневые сертификаты спасают от MITM атаки? (комментарий)

https://www.opennet.ru/opennews/art.shtml?num=53520 возможно TLS 1.3 + TLS-расширение ESNI уже сложннее расшифровать пока не смотрел...

DPI наверно этот используют: Ndpi https://www.opennet.ru/opennews/art.shtml?num=52097 https://www.opennet.ru/prog/info/3752.shtml

Наработки противодействия есть: https://www.opennet.ru/opennews/art.shtml?num=52249

ЗЫ: юзайте ipfs и забудьте наконец о цензуре, банах и модераторах удаляющих контент!

А вообще можно ведь сделать максимальную персонификацию сети гейтов, автоматически рандомно развернутой на бесплатных хостингах, для каждой подписки персонально.

И тогда Васе будет фиолетово, как часто банят Петю.

Не надо никаких хостинга и ничего развертывать. Бровзеры с поддержкой ipfs://... и все. В url ipfs заложены даже контрольные суммы и оно автоматом проверяет целостность каждой скачаной страница. Контент оседает в кеше и каждый клиент автоматом стает сервером раздающие контент. И побоку DPI на границе, контент Вася скачает на огромной скорости с компа Вовы в соседнем подъезде.

Любая временная дыра в DPI будет синхронизировать контент между странами. IPFS рассчитана на ооочень плохую связь, она разрабатывается для межпланетарного интернета будущего, когда контент разделится на Земной и Марсианский. Она работает даже в онлайне, можно контент, при полном отключении границы привести на дисках и залить в сеть страны. Забанить или цензурировать невозможно.

Прошу всех ответственно относится к вашему контенту в IPFS. Все что вы залили в IPFS сегодня останется в ней навечно, без возможности изменить первичную версию, без возможности ограничить доступ и в будущем улетит с Земли на другие планеты.

А чем IPFS лучше, чем другие варианты распределенных хранилищ:

Peer network node data stores

    BitTorrent
    Blockchain (database)
    Chord project
    Freenet
    GNUnet
    IPFS
    Mnet
    Napster
    NNTP (the distributed data storage protocol used for Usenet news)
    Unity, of the software Perfect Dark
    Share
    Storage@home
    STORJ
    Tahoe-LAFS
    Winny
    ZeroNet

https://en.wikipedia.org/wiki/Distributed_data_store

А через ssh socks поднять пробовал?

Openvpn под 443 https же прикидывается...

Интересно, они 25 считают? Его тогда можно как тормозной гейт использовать.

и в будущем улетит с Земли на другие планеты.

Вот это вряд ли, оно даже nat пробить не в состоянии.

Все что вы залили в IPFS сегодня останется в ней навечно

До первого забития кэшей оно останется. Никакого залития нет, всё «залитие» — это просто закладка в локальное хранилище.

IPFS рассчитана на ооочень плохую связь

И именно поэтому я не могу соединить два узла пассивно и через netcat.

ЗЫ: юзайте ipfs и забудьте наконец о цензуре, банах и модераторах удаляющих контент!

Кроме тех случаев, когда всё-таки бан сделали сверху или начали отслеживать тех, кто держит контент:

https://github.com/ipfs-inactive/faq/issues/176

resolve Resolve any type of name

И побоку DPI на границе, контент Вася скачает на огромной скорости с компа Вовы в соседнем подъезде.

Осталось понять, почему в соседнем подъезде лежит контент и почему Вова не говорит всем про свой контент одинаково, включая курсанток МВД из третьего подъезда.

Забанить или цензурировать невозможно.

ipfs swarm addrs - List known addresses. Useful for debugging.

пока будут сервера

В P2P-модели сервер — это ты.

есть ли туннели

Предлагаю ознакомиться с apt-cache. При отсутствии искомого можно поиграть с expect, netcat в режиме слушателя и найти файлик tuntap.txt в документации на Linux.

Ну немножко по верхам: BitTorrent - при включённом DHT очень похож на IPFS но механизм адресации привязан к «раздаваемой папке», более ограничен в вариантах протоколов.

Freenet - больше рассчитан на анонимность, файлы при публикации принудительно передаются на некоторые компьютеры сети в результате крайне сложно отследить источник. Также компьютеры хостят случайный контент, а не просто тот, что скачивали. При этом контент зашифрован до скачивания - нельзя определить куски чего лежат у тебя на компьютере.

Napster - раннее поколение распределённых хранилищ, полагается на сервер для координации.

ZeroNet - обёртка над торрентом.

P.S. Ах да, онтопик: в IPFS есть механизм создания туннелей в духе ssh. В большинстве остальных этого нет.

раздаваемой папке

папке

Отучайся, пожалуйста.

При этом контент зашифрован до скачивания - нельзя определить куски чего лежат у тебя на компьютере.

Кроме как брутфорсом (скачиванием), так и спалили одного педобира. Отключили ему сеть наружу и перебирали до победного.

в IPFS есть механизм создания туннелей в духе ssh

Это где?

Это где?

ipfs config --bool Experimental.Libp2pStreamMounting true

ipfs p2p listen
ipfs p2p forward

https://github.com/ipfs/go-ipfs/issues/3994

Кроме как брутфорсом (скачиванием), так и спалили одного педобира.

Поскольку компьютер может скачивать участки в рамках протокола без действий пользователя - при этом сложно обвинить в скачивании и тем более в создании. А вот обнаружить кто качает педофилию - да, можно. Что в целом не рассматривается как уязвимость: цель Фринета скрывать источники, а не скачивающих.

Предлагаю ознакомиться с apt-cache.

Ну ознакомься для меня, если не трудно.

При отсутствии искомого можно поиграть с expect, netcat в режиме слушателя и найти файлик tuntap.txt в документации на Linux.

Ты ОП-пост читал? Сказано же, левое TCP не пропускало. Нужен *настоящий валидный* протокол который добавлен там у них в DPI в белый список а не *кастомное TCP-нечто*.

https://web.archive.org/web/20200901104134/https://www.cnews.ru/news/top/2020...

Власти Белоруссии отключали интернет по всей стране на время выборов президента страны. Этот факт подтвердило издание Bloomberg – по мнению его экспертов, для этого применялось «железо», разработанное в США.

Речь идет об оборудовании для работы технологии Deep Packet Inspection (DPI) американской компании Sandvine. DPI применяется для фильтрации сетевого трафика и считается более эффективной на фоне обычных брандмауэров (файрволлов). Это достигается за счет того, что DPI проверяет и заголовки пакетов данных, и полное их содержимое.

Власти Белоруссии закупили оборудование Sandvine, по информации BBC, в 2018 г. в рамках контракта на $2,5 млн. В своей заявке на приобретение «железа» они заявили, что им требуется помощь по борьбе с нарушениями, связанными с онлайн-активностью.

http://nosql.ru/forum/topic.php?fid=3&tid=35147&gotomsg=1518010

начали отслеживать тех, кто держит контент:

Так в этом и дело что контент лежит не на серваках, а на компах всех пользователей. Чтобы забанить контент товарищу майору надо забанить ВСЕХ пользователей которые этот контент имеют.

Осталось понять, почему в соседнем подъезде лежит контент и почему Вова не говорит всем про свой контент одинаково, включая курсанток МВД из третьего подъезда.

Вова скачал раньше Васи.

Товарищ майор с третьего подъезда тоже может скачать контент, если он ему интересен.

Ipfs не про анонимность.

ipfs://... поддерживается УЖЕ некоторыми, правильными, бровзерами из каробки, как http, https, ftp. Это значительно снижает порог вхождения и расширяет круг пользователей. Просто в html страничке пользователь тыкает на ссылку ipfs://... и бровзер абсолютно прозрачно грузит, показывает и раздает страницу с ipfs.

по мнению его экспертов, для этого применялось «железо», разработанное в США.

Железо понятно, что не Белорусское. Все железо разрабатывается в США, а производится в Китае.

Власти Белоруссии закупили оборудование Sandvine, по информации BBC, в 2018 г. в рамках контракта на $2,5 млн.

Могли бы уже в КГБ отдельчик создать и свой DPI замутить на базе: https://www.ntop.org/products/deep-packet-inspection/ndpi/ ,а сэкономленные миллионы долларов выплатить как премию омону.

Никак не мог понять, для чего же все таки нужен Terraform и Kubernetes, пока не увидел вашу ветку, теперь хоть буду знать :)

Попробуй обмануть DPI, фрагментируя пакеты ;
https://github.com/bol-van/zapret

вот это тема! типичное поделие русского хакера, работает отлично, полно вариантов. Разблокировал пару оппо-сайтов безо всяких впнов ( Беларусь ).

почем?

бесплатно

они ещё и футболку с разными надписями про ipv6 присылают, если настроишь всё правильно.

https://ntc.party/t/topic/599/

Получилось запихать BrainFuck_PsiphonGO (Alpine 32 bit) и Telegram (Devuan Chimaera 32 bit + IceWM) в отдельные докер контейнеры внутри KVM виртуалки Devuan Bewulf 32 bit. И даже удалось собрать поддержку ZFS. Можно использовать на древних 32битных компах 686 с меньшим количеством зондов, чем у современных. Все это добро отъедает меньше гига оперативки:

root@beowulf:~# pstree
init─┬─agetty
     ├─cron
     ├─dhclient
     ├─dockerd─┬─docker-containe─┬─docker-containe─┬─starter.sh─┬─bash───bash
     │         │                 │                 │            ├─redsocks
     │         │                 │                 │            └─screen───starter─┬─psiphon-tunnel-───7*[{psiphon-tunnel-}]
     │         │                 │                 │                               ├─3*[psiphon-tunnel-───8*[{psiphon-tunnel-}]]
     │         │                 │                 │                               └─14*[{starter}]
     │         │                 │                 └─10*[{docker-containe}]
     │         │                 ├─docker-containe─┬─bash─┬─Xtigervnc───4*[{Xtigervnc}]
     │         │                 │                 │      ├─at-spi-bus-laun─┬─dbus-daemon
     │         │                 │                 │      │                 └─3*[{at-spi-bus-laun}]
     │         │                 │                 │      ├─at-spi2-registr───2*[{at-spi2-registr}]
     │         │                 │                 │      ├─dbus-daemon
     │         │                 │                 │      ├─dbus-launch
     │         │                 │                 │      └─vncserver───Xvnc-session─┬─vncconfig
     │         │                 │                 │                                 └─x-session-manag─┬─icewm───xterm───bash───telegram-deskto───21*[{telegram-deskto}]
     │         │                 │                 │                                                   └─icewmbg
     │         │                 │                 └─9*[{docker-containe}]                                                                                                    
     │         │                 └─13*[{docker-containe}]                                                                                                                     
     │         ├─3*[docker-proxy───6*[{docker-proxy}]]                                                                                                                        
     │         └─16*[{dockerd}]                                                                                                                                               
     ├─6*[getty]                                                                                                                                                              
     ├─sshd─┬─sshd───bash───pstree                                                                                                                                            
     │      └─2*[sshd───bash───bash───docker───8*[{docker}]]                                                                                                                  
     └─udevd                                                                                                                                                                  
root@beowulf:~# free
              total        used        free      shared  buff/cache   available
Mem:        1024672      439976       92616        8192      492080      446572
Swap:             0           0           0
root@beowulf:~# modinfo zfs | head
filename:       /lib/modules/5.7.0-0.bpo.2-686-pae/extra/zfs/zfs/zfs.ko
version:        0.8.4-2~bpo10+1
license:        CDDL
author:         OpenZFS on Linux
description:    ZFS
alias:          devname:zfs
alias:          char-major-10-249
srcversion:     09E8B8381184D7F026F2687
depends:        spl,znvpair,icp,zlua,zunicode,zcommon,zavl
retpoline:      Y

Таргетированно поблочили мне сифон, не знаю только для моего исходящего IP или всем. Прям бесят уже нереально они меня, никакого зла не хватает. Вот специально сделаю эту прогу максимально доступной для всех, чтобы эти паразиты больше никогда никого не блокировали.

Пожалуйста, предлагайте способы для разблокировки, хочу сделать бесплатную программу на шарпе для рулежки разблокировкой proprietary или даже open source.

Пока такие идеи по автоматике:

1) Подбор паблик прокси (зенкой, aparser и т.п.) и переключение в proxychains для psiphon и подобных программ
2) Развертывание своего psiphon в Linode и потом в других хостингах через Teraform, + аналогично SSH+OBFS, проверить со смарткартами в т.ч. Nitrokey - будет также?
3) Замена IP адреса VM (удаление и создание нового IP адреса в облачном VPS)
Управление микросервисом по SSH (со смарт картой)+OBFS+public proxy 

Т.е. смысл такой, что зарубежом в виртуалке будет крутиться скриптик, который будет принимать короткие простые команды по SSH+OBFS+ключи_на_смарткарте+паблик_прокси.

В свою очередь этот скриптик будет сам развертывать новые ноды для Docker, контейнеры, менять у них айпи адреса, сообщать текущее состояние. И локальный скриптик, который при возможности будет дергать удаленный или легко перенастраиваться вручную.

Вероятно, раз поблочили наглухо, что соединение вообще не устанавливается, то это тупо блокировка по IP?

Предлагайте ваши идеи, фичи и т.п., надеюсь плотно заняться этим через месяц.

Потом это можно будет оформить в Kubernetes кластер, у всех будут свои персональные ноды, мало того туннели до персональных нод можно объединять в бондинги и тогда искусственное ограничение скорости будет малоэффективным.

Вообще с моей точки зрения, ограничение доступа в интернет - это серьезное нарушение прав человека, такие нарушения прав человека нужно пресекать максимально эффективно с помощью самых современных средств и технологий.

Если же они: https://habr.com/ru/company/itsumma/blog/521316/ хотят бороться с экстремизмом, то в первую очередь они должны давать людям достаточно образования и знаний, чтобы люди могли взвешивать происходящее всесторонне, а не однобоко. Для этого нужно наоборот максимально открывать каналы связи, но проводить достаточно эффективную разъяснительную компанию по тому, что такое хорошо и что такое плохо, а не тупо поголовно блокировать все подряд.

компанию

кАмпанию, грамотей :)

Чем пытаться заблокировать неблокируемое, не проще ли создать некое сообщество доверенных сайтов, куда вход осуществляется по ЭЦП токену, а лучше по УЭК.

Так же как к себе домой вы заходите, открывая дверь ключом, и закрываете ее на ключ, чтобы там не было насрано невесть кем.

без помощи любимого дяди сэма