27 ответов в этой теме

[Mombasa]

Добрый день.

Имеется Windows 11, Вивальди с включенным "Encrypted ClientHello".

При включенном "Проверять зашифрованный трафик" имеем (https://www.cloudflare.com/ssl/encrypted-sni/):

 

 

При выключенной проверке:

 

 

Не понимаю, ECH работает всегда или отпадает?

[basid]

"Проверка зашифрованного трафика" это MiTM (Man-in-The-Middle) и DrWeb при этом выполняет "перешифрацию", опираясь на системную криптографию.

Если система не умеет ESNI, то и DrWeb этому "не научится".

 

P.S.

Вас настолько мучает паранойя, что даже такие мелочи играют роль?

Сообщение было изменено basid: 24 Июль 2023 - 13:57

[Mombasa]

"Проверка зашифрованного трафика" это MiTM (Man-in-The-Middle) и DrWeb при этом выполняет "перешифрацию", опираясь на системную криптографию.

Если система не умеет ESNI, то и DrWeb этому "не научится".

 

P.S.

Вас настолько мучает паранойя, что даже такие мелочи играют роль?

 

К сожалению, отсутствие ECH сейчас означает раскидывание своих дневников в людных местах.

Я считают, что неработа ЕСН с антивирусом это баг. Dr.Web, вижу, спокойно может это обходить. К примеру, он сейчас принципиально отказывается проверять сайт Озона.

Я думал, через форум как-то можно исправит это. Попробую через баг-репорт.

[maxic]

Mombasa, вы в курсе как работает защищенное соединение? То, что делает Dr.Web - типичное MITM. Защищенное по стандартам соединение (а не фикция) не позволяет вмешаться в себя без последствий.

[Mombasa]

Вот и я прошу не вмешиваться в ECH, т.к. это лишено смысла и ломает его.

[shlimazl]

Если я правильно понимаю, тут все дружно пытаются объяснить, что проверка защищенного трафика Dr.Web - это еще большее "раскидывание своих дневников в людных местах", чем отсутствие новейших протоколов. Народ уже пару лет на ушах стоит, что всем пытаются внедрить еще парочку национальных корневых сертификатов, а тут своими руками...

Сообщение было изменено shlimazl: 25 Июль 2023 - 00:01

[Mombasa]

Я пока Др.Вебу доверяю и чаша весов с проверкой трафика от вирусни перешивает.

[basid]

Лично я считаю, что проверка защищённого трафика - последний рубеж (антивирусной) обороны.

А все эти паранойи на тему приватность - как раз фикция. Шифрование магистрального трафика при доступе к публичному ресурсу - элемент конкурентной борьбы, а не защита приватности. У владельца ресурса вполне достаточно средств и возможностей для идентификации пользователей (их интересов и предпочтений) даже без раскрытия их личностей.

У таких гигантских корпораций, как Google, запрещённые в РФ соцсети, "национальные" Яндекс или РуТуб имеются ресурсы, которые обеспечивают всю необходимую их бизнесам информацию о пользователях. И ресурсы эти на многие порядки превосходят возможности "шифрования" пользователей.

То, что условный гугл делает вид, будто "не узнаёт" условного меня, когда я включил приватный режим - вообще ничего не означает фактически.

 

P.S.

Не позволяейте дудеть себе в уши.

[Mombasa]

Пока так:

"Здравствуйте.
Пришёл ответ наших разработчиков:
На текущий момент, ни CryptoAPI, ни OpenSSL не поддерживают Encrypted ClientHello.
Это расширение TLS все еще находится в стадии черновика -- https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni
На текущий момент корректная работа функции Encrypted ClientHello невозможна вместе с функцией "Проверять зашифрованный трафик", поэтому мы рекомендуется отключить функцию Encrypted ClientHello.

С уважением, Александр Негородов.
Служба технической поддержки компании "Доктор Веб"."

Сообщение было изменено Mombasa: 20 Август 2023 - 23:43

[Dmitry Mikhirev]

А все эти паранойи на тему приватность - как раз фикция. Шифрование магистрального трафика при доступе к публичному ресурсу - элемент конкурентной борьбы, а не защита приватности. У владельца ресурса вполне достаточно средств и возможностей для идентификации пользователей (их интересов и предпочтений) даже без раскрытия их личностей.

У таких гигантских корпораций, как Google, запрещённые в РФ соцсети, "национальные" Яндекс или РуТуб имеются ресурсы, которые обеспечивают всю необходимую их бизнесам информацию о пользователях. И ресурсы эти на многие порядки превосходят возможности "шифрования" пользователей.

Не надо мешать владельца ресурса и своего провайдера с установленным у него оборудованием.

[basid]

И?

Чем условный ростелеком, который, благодаря SNI, вместо "коврового бомбометания" может блокировать конкретные ресурсы по требованию РКН, хуже условного гугла, который без всякого (E)SNI просто отказался принимать оплату у всех российских граждан?

И чем, собственно, поможет ESNI, когда такой трафик, на законных основаниях, провайдеры будут просто блокировать?

Сообщение было изменено basid: 21 Август 2023 - 14:08

[Dmitry Mikhirev]

Чем условный ростелеком, который, благодаря SNI, вместо "коврового бомбометания" может блокировать конкретные ресурсы по требованию РКН, хуже условного гугла, который без всякого (E)SNI просто отказался принимать оплату у всех российских граждан?

А с какой стати Вы вообще взялись их сравнивать? TLS в принципе никак не может и не должен скрывать что бы то ни было от владельца ресурса, будь то гугл или кто другой. Нечего офтопик разводить.

[Mombasa]

И чем, собственно, поможет ESNI, когда такой трафик, на законных основаниях, провайдеры будут просто блокировать?

С Encrypted ClientHello мы от всех промежуточных узлов (включая и провайдера) прячем домен при открытии сайта. Да, ip-адрес сайта в этом случае известен им, но на оном может быть куча доменов. Так что для промежуточных узлов эта информация малополезна.

Еще DNS over HTTPS нужен для полноты действия. К примеру, роутеры Кинетик, с ним управляется.

Насколько знаю, сейчас ECH блокируется в Китае. Но у нас можно жить: Ростелеком, МТС, Дом.ру не блокируют его.

Сообщение было изменено Mombasa: 22 Август 2023 - 00:24

[basid]

Истерия https это не про приватность, а про бабло. Если, вдруг, кто-то забыл, то изначально существовали банерные сети и провайдер мог (относительно) легко вставить в (http-)трафик пользователя "кого надо банеры", а не того, чьи банеры оплатил владелец сайта. С тех пор рынок (как-то) "обезличенных" данных о пользователях стал частью рекламного рынка с его гигантскими бюджетами. И рассматривать технические вопросы спецификаций в отрыве от их экономической подоплёки - наивная глупость.

SNI - техническое решение технической проблемы, а ESNI - очередная паранойя на ровном месте, которая ещё и затрудняет работу всяческих DPI.

Ну и какие шансы у такой фигни "взлететь"? Только если "нызенько-нызенько".

[basid]

Лично я, будучи разумным человеком, желаю, чтобы антивирус с функцией проверки сетевого трафика проверял весь трафик на моём устройстве, включая тот, который браузер "пытается спрятать". Просто потому, что лично у меня нет ни малейшего доверия к владельцам сайтов, которые могут начать монетизировать меня чуть больше, чем это принято в приличном обществе, быть взломаны или начать избирательно пакостить по geo-IP, локали браузера и другим косвенным признакам.

И, если уж говорить о работе конкретно DrWeb, то вместо разговоров о недопустимости MiTM, гораздо полезнее было бы реализовать механизм автоматического исключения для трафика, который SpiderGate не может обработать.

А ещё хотелось бы видеть исключения проверки зашифрованного трафика, которые привязаны к сайту. Так, чтобы их можно было определить в одном месте и привязать ко всем используемым http(s)-клиентам, а не вписывать одно и то же в двух-трёх местах.

 

P.S.

Прямщас сидел и разбирался, какие исключения надо сделать для работы Сбербанк-Онлайн на компе. И меня опять терзают смутные сомнения, что антивирус мог бы решить всё это и без моего участия.

[Dmitry Mikhirev]

Истерия https это не про приватность, а про бабло.

Это у Вас какая-то истерия. Пришли в тему и начали писать совершенно не относящиеся к ней вещи. Если Вас гугл обидел, найдите более подходящее место, чтобы об этом рассказать. Защита трафика от перехвата по пути и сохранение приватности - это две совершенно разные проблемы, и их решения никак друг с другом не пересекаются.

[Kirill Polubelov]

Джентельмены, постарайтесь, пожалуйста, без взаимных уколов.

[basid]

Защита трафика от перехвата по пути и сохранение приватности - это две совершенно разные проблемы, и их решения никак друг с другом не пересекаются.

И вам повторю - я желаю проверять шифрованный трафик на собственном конечном устройстве. А мне каждый раз объясняют, что MiTM это фу-фу-фу, а сохранение приватности пользователя - наше всё и главное достижение демократии. Тоже, знаете ли, запарило.

 

P.S.

Что, кстати, насчёт автоматических исключений?

Думаете, ну-его-нафик, вообще импоссибиль?

[Dmitry Mikhirev]

И вам повторю - я желаю проверять шифрованный трафик на собственном конечном устройстве. А мне каждый раз объясняют, что MiTM это фу-фу-фу

Ну не запрещает же никто проверять, в чём проблема? Хотя смысл такой проверки мне не особо понятен. При записи на диск всё равно перепроверится, накладные расходы на анализ трафика себя не оправдывают.

[Mombasa]

При записи на диск всё равно перепроверится, накладные расходы на анализ трафика себя не оправдывают.

В смысле? При проверке зашифрованного трафика, он проверяется до попадания, к примеру, в браузер и тем самым пресекается выполнение вирусного кода в нем. В вашем случае как-то поздновато уже пить Боржоми. Или я что-то не понимаю? Прошу, разъясните свою позицию.

 

basid, тема о том как совместить ECH и проверку зашифрованного трафика Др.Веба. Она полностью уживается с вашей позицией. У меня тоже включена проверка зашифрованного трафика.