Зашифрованное приветствие от Mozilla или как сделать интернет-сёрфинг более конфиденциальным.

Страницы :  1, 2, 3, 4  След.
Ответить
 

Алекс Бывалый

Старожил

Стаж: 15 лет 1 месяц

Сообщений: 614

Алекс Бывалый · 05-Окт-23 00:47 (1 год 1 месяц назад)

Наши онлайн-действия и общение постоянно подвергаются мониторингу. Несмотря на ассоциацию слежки в интернете с рекламными сетями, наша активность постоянно попадает в коммерческие телекоммуникационные сети, которые, помимо прочего, используют нашу историю просмотров для собственной выгоды.
(ECH) меняет ситуацию
Encrypted Client Hello (ECH) — это механизм, разработанный компанией Mozilla, который шифрует самое первое «сообщение-приветствие» между устройством пользователя и сервером сайта, что позволяет сохранять в секрете имя посещаемого сайта. Недавно ECH был внедрён для всех пользователей браузера Firefox.
Mozilla работала над этой технологией в течение пяти лет в сотрудничестве с другими разработчиками браузеров, исследователями и организациями, такими как Internet Engineering Task Force (IETF). Хотя многие наши данные, такие как пароли и номера кредитных карт, уже и так надёжно защищены с помощью криптографических протоколов, ECH дополнительно защищает идентификационные данные посещаемых нами сайтов.
Как это работает?
Обычно, когда браузер соединяется с сайтом, он передаёт имя этого сайта в своём нешифрованном начальном сообщении. ECH, в свою очередь, использует открытый ключ, полученный через систему DNS, чтобы зашифровать это первое сообщение, повышая конфиденциальность пользователей.
С технологией ECH в Firefox, пользователи могут быть уверены в большей конфиденциальности их действий в Интернете. Однако поддержка ECH со стороны браузера — это только половина дела. Веб-серверы также должны реализовывать поддержку ECH со своей стороны. Так, компания Cloudflare уже предоставляет поддержку ECH, и ожидается, что другие провайдеры также начнут это делать в ближайшем будущем.
ECH работает в сочетании с другими функциями безопасности и конфиденциальности в Firefox, включая технологию DNS-over-HTTPS (DoH). DoH и ECH могут также сочетаться с виртуальными частными сетями (VPN) для дополнительной защиты.
Продолжительное стремление к приватности
Многие годы назад Mozilla начала работу по модернизации и защите DNS, устраняя утечки данных. В то же время начались работы над протоколом, который стал предшественником ECH. Вклад Mozilla в разработку таких стандартов, как DoH, TLS1.3 и QUIC, сыграл решающую роль в формировании современного ландшафта онлайн-конфиденциальности.
Mozilla долгое время инвестировала в технологии, защищающие приватность пользователей Firefox. ECH предоставляет пользователям ещё более высокий уровень защиты. Эта технология — показатель продолжающейся приверженности компании идеалам приватности и безопасности.
Источник:https://www.securitylab.ru/news/542396.php
[Профиль]  [ЛС] 

Алекс Бывалый

Старожил

Стаж: 15 лет 1 месяц

Сообщений: 614

Алекс Бывалый · 05-Окт-23 00:56 (спустя 9 мин., ред. 05-Окт-23 00:56)

Я пробовал, работает на тех сайтах, на которых есть CloudFlare, но не на всех с https. Вот сами настройки для FF в About:config:
Preferences For ECH:
network.dns.echconfig.enabled - True
network.dns.http3_echconfig.enable - True
network.dns.force_waiting_https_rr - True
security.tls.ech.grease_probability - 100
security.tls.ech.grease_http3 - True
А вот сервис, где можно проверить, активирован ли режим ECH https://tls-ech.dev/
[Профиль]  [ЛС] 

kx77

Стаж: 11 лет 11 месяцев

Сообщений: 707


kx77 · 05-Окт-23 12:54 (спустя 11 часов, ред. 05-Окт-23 12:54)

ECH - это прямая угроза цензорам.
Проще всего задушить идею в зародыше, пока не перейдена точка невозврата.
Пока сайты не используют ECH. По мере начала его использования ECH станут блокировать, тем самым вынуждая владельцев сайтов его отключать. Получается идея так и не будет внедрена
Остановить блокировку может только повсеместное использование, когда придется забанить критические ресурсы
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1589


artenax · 09-Окт-23 06:22 (спустя 3 дня, ред. 09-Окт-23 06:24)

Работает в Firefox 118, рутрекер открывается. Но важное условие - не нужно отключать HTTP3 (QUIC). Т.е. сайты должны быть не только под Cloudflare, но и поддерживать HTTP3 (он работает по UDP протоколу). Отключаешь HTTP3 и перестает открываться рутрекер. Раньше некоторые его отключали чтобы не тупили сайты из-за блока QUIC у провайдеров и потому что есть риск утечки мимо прокси (кто использует прокси).
Пишут, что ECH появился в Chrome 105. Но включили по умолчанию позднее и, возможно, в старых версиях хрома поддерживается более ранний стандарт. Я включил QUIC и ECH в Chromium 107 и 109, но рутрекер не открывается. 109 последняя версия для Win7.
Хорошо бы составить список какие сайты это разблокирует. Пока что пользы мало.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 2870

Hanabishi · 09-Окт-23 15:04 (спустя 8 часов)

artenax писал(а):
85303639Отключаешь HTTP3 и перестает открываться рутрекер.
Все работает и без HTTP/3.
Единственное необходимое условие для ECH - в браузере должен быть включен DoH.
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1589


artenax · 10-Окт-23 09:24 (спустя 18 часов, ред. 10-Окт-23 09:29)

Hanabishi писал(а):
85304946Все работает и без HTTP/3
Рутрекер? На ntc написали, что rutracker не поддерживает ECH, хоть и за Cloudflare.
В логах Wireshark вижу, что современная лиса (с about:config выше) при попытке открыть рутрекер обращается на mozilla.cloudflare-dns.com, а затем сразу на 104.21.32.39 по QUIC, это IP Cloudflare. Если HTTP3 отключен в about:config, то виден нешифрованный Client Hello на 104.21.32.39 и редирект на заглушку от Йоты. Т.е. отключение HTTP3 включает нешифрованный Client Hello или к нему скатывается лиса. На ntc сказали, что рутрекер не поддерживает ECH, а работает по QUIC по другой причине (видимо браузер сразу лезет на QUIC, браузер современный или тонконастроенный).
Chromium 107 based браузер (от окт 2022, знаю, надо бы обновить, но все нужные флаги включены, ECH, QUIC, DoH) идет на chrome.cloudflare-dns.com, а потом отправляет нешифрованный Client Hello на 104.21.32.39, а в ответ заглушка.
Я так понял у вас работает рутрекер из-за QUIC, а не ECH. Если верить ntc, надо смотреть другие домены (какие?).
В общем, я запутался, но провайдер у меня мобильный (зверский, со всеми DPI и ТСПУ, хотя тариф для модема) и тестирую в том числе старые браузеры. Я могу и обновиться (на линуксе), а пользователям последней более менее нормальной ОС от Microsoft (Win7) доступен максимум Chromium 109. ECH флаги в chrome://flags их тоже манят.
[Профиль]  [ЛС] 

Shinge

Стаж: 16 лет 3 месяца

Сообщений: 45


Shinge · 10-Окт-23 13:41 (спустя 4 часа, ред. 10-Окт-23 13:41)

Hanabishi писал(а):
85304946
artenax писал(а):
85303639Отключаешь HTTP3 и перестает открываться рутрекер.
Все работает и без HTTP/3.
Единственное необходимое условие для ECH - в браузере должен быть включен DoH.
Спасибо. даже на 115й лисе завелось. Жаль киносайты так не пашут. и Флибуста. Но кое какие торренты пока работают. интересно. Как быстро наши\их(ние:)) паразиты, прикроют лавочку. Удобная технология. Особенно в свете, обрезок впн и ресурсов смеющих их поминать(
[Профиль]  [ЛС] 

Алекс Бывалый

Старожил

Стаж: 15 лет 1 месяц

Сообщений: 614

Алекс Бывалый · 10-Окт-23 13:46 (спустя 4 мин.)

artenax писал(а):
85307485
Hanabishi писал(а):
85304946Все работает и без HTTP/3
Рутрекер? На ntc написали, что rutracker не поддерживает ECH, хоть и за Cloudflare.
В логах Wireshark вижу, что современная лиса (с about:config выше) при попытке открыть рутрекер обращается на mozilla.cloudflare-dns.com, а затем сразу на 104.21.32.39 по QUIC, это IP Cloudflare. Если HTTP3 отключен в about:config, то виден нешифрованный Client Hello на 104.21.32.39 и редирект на заглушку от Йоты. Т.е. отключение HTTP3 включает нешифрованный Client Hello или к нему скатывается лиса. На ntc сказали, что рутрекер не поддерживает ECH, а работает по QUIC по другой причине (видимо браузер сразу лезет на QUIC, браузер современный или тонконастроенный).
Chromium 107 based браузер (от окт 2022, знаю, надо бы обновить, но все нужные флаги включены, ECH, QUIC, DoH) идет на chrome.cloudflare-dns.com, а потом отправляет нешифрованный Client Hello на 104.21.32.39, а в ответ заглушка.
Я так понял у вас работает рутрекер из-за QUIC, а не ECH. Если верить ntc, надо смотреть другие домены (какие?).
В общем, я запутался, но провайдер у меня мобильный (зверский, со всеми DPI и ТСПУ, хотя тариф для модема) и тестирую в том числе старые браузеры. Я могу и обновиться (на линуксе), а пользователям последней более менее нормальной ОС от Microsoft (Win7) доступен максимум Chromium 109. ECH флаги в chrome://flags их тоже манят.
На "Бабочке" работает и на Кинозале, а тут чего-то не хочет без GDPI.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 2870

Hanabishi · 10-Окт-23 19:47 (спустя 6 часов, ред. 10-Окт-23 19:47)

artenax писал(а):
85307485Рутрекер? На ntc написали, что rutracker не поддерживает ECH, хоть и за Cloudflare.
Не, я в общем говорю. В спецификации нет никаких требований к версии протокола HTTP.
Вот есть тестовая страница клаудфлейра: https://www.cloudflare.com/ssl/encrypted-sni/
Либо можно дергать тест напрямую: https://encryptedsni.com/cdn-cgi/trace
У меня лично HTTP/3 давно отключен (по вышеназванным причинам), но тест успешно проходится.
скрытый текст



З.Ы. ECH (как и ESNI до этого) очевидно требует, чтобы сайт использовал TLS v1.3.
Собственно рутрекер использует v1.2, потому тут ECH и не может работать в принципе.
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1589


artenax · 15-Окт-23 10:57 (спустя 4 дня, ред. 15-Окт-23 10:57)

Shinge писал(а):
85308205Как быстро наши\их(ние) паразиты, прикроют лавочку
Так уже. У меня на йоте не работает ничего, ни в Firefox 119, ни в Chromium 118, даже уже рутрекер. А может и не работало.
Проверял кинозал и бабочку.
[Профиль]  [ЛС] 

kx77

Стаж: 11 лет 11 месяцев

Сообщений: 707


kx77 · 15-Окт-23 14:49 (спустя 3 часа)

Цитата:
З.Ы. ECH (как и ESNI до этого) очевидно требует, чтобы сайт использовал TLS v1.3.
Собственно рутрекер использует v1.2, потому тут ECH и не может работать в принципе.
Рутракер сидит за cloudflare, а cloudflare поддерживает 1.3
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 2870

Hanabishi · 15-Окт-23 18:27 (спустя 3 часа, ред. 15-Окт-23 18:29)

kx77 писал(а):
85328436cloudflare поддерживает 1.3
Ну да, в принципе логично.
Хз тогда в чем проблема. Анализ трафика показывает, что заголовок не шифруется.


Через HTTP/3 кстати сайт действительно открывается. Правда включение и отключение ECH на это никак не влияет. То есть это кажется заслуга самой тройки.
[Профиль]  [ЛС] 

User_2387

Стаж: 2 года 4 месяца

Сообщений: 89


User_2387 · 16-Окт-23 20:47 (спустя 1 день 2 часа)

Пробовал, как заблокированные сайты не открывались, так и не открываются, хоть в этом тесте и все галочки показывало. Как назло нужные мне сайты видно еще не поддерживают, а может и провайдер уже в курсе этого дела и блочит
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 8 месяцев

Сообщений: 1729

vlad_ns · 28-Окт-23 12:55 (спустя 11 дней)

Протокол должен быть http2 и выше? У меня вот такое картина:
Код:
visit_scheme=https
uag=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0
colo=WAW
sliver=010-tier1
http=http/1.1
loc=RU
tls=TLSv1.3
sni=plaintext
warp=off
gateway=off
rbi=off
kex=X25519
Использую dnscrypt и локальный прокси, оба на маршрутизаторе. А логе dnscrypt вижу такое:
Код:
[2023-10-28 11:34:22]   192.168.2.3    encryptedsni.com        AAAA    PASS    0ms     -
[2023-10-28 11:34:22]   192.168.2.3    encryptedsni.com        HTTPS   PASS    0ms     -
[2023-10-28 12:34:22]   192.168.2.3    encryptedsni.com        A       PASS    0ms     -
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 2870

Hanabishi · 29-Окт-23 06:51 (спустя 17 часов)

vlad_ns писал(а):
85387506Использую dnscrypt
Нужно обязательно использовать DNS-over-HTTPS в самом браузере, иначе не заработает.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 8 месяцев

Сообщений: 1729

vlad_ns · 29-Окт-23 20:02 (спустя 13 часов)

Hanabishi писал(а):
85391656Нужно обязательно использовать DNS-over-HTTPS в самом браузере, иначе не заработает.
В браузере прописано где DNS через HTTPS: https://192.168.2.1:3000/dns-query. dnscrypt поддерживает это.
[Профиль]  [ЛС] 

Алекс Бывалый

Старожил

Стаж: 15 лет 1 месяц

Сообщений: 614

Алекс Бывалый · 30-Окт-23 22:21 (спустя 1 день 2 часа)

У меня OpenNIC-овские прописаны: https://doh-de.blahdns.com/dns-query
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 8 месяцев

Сообщений: 1729

vlad_ns · 31-Окт-23 20:00 (спустя 21 час)

Алекс Бывалый писал(а):
85400455У меня OpenNIC-овские прописаны:
По логике, та запись работает аналогично, ну или должна. Всё что мне потребовалось, это подтвердить (сделать исключение) что я хочу это использовать, т.к. возникает вопрос у браузера.
[Профиль]  [ЛС] 

Shinge

Стаж: 16 лет 3 месяца

Сообщений: 45


Shinge · 02-Ноя-23 20:18 (спустя 2 дня)

интересно. этот способ не работает, при прописанном в системе днс. У меня были 9ки. пришлось убирать. иначе технология изображала кирпич
[Профиль]  [ЛС] 

scooter

Стаж: 19 лет 5 месяцев

Сообщений: 697

scooter · 02-Ноя-23 21:49 (спустя 1 час 31 мин.)

Shinge писал(а):
85413149интересно. этот способ не работает, при прописанном в системе днс. У меня были 9ки. пришлось убирать. иначе технология изображала кирпич
То-есть при каких-то значениях DNS у вас работает и заблокированные сайты открываются? Вроде перепробовал разные DNS и без прописанных (по DHCP), и ничего не работает
[Профиль]  [ЛС] 

Shinge

Стаж: 16 лет 3 месяца

Сообщений: 45


Shinge · 04-Ноя-23 01:44 (спустя 1 день 3 часа)

scooter писал(а):
85413581
Shinge писал(а):
85413149интересно. этот способ не работает, при прописанном в системе днс. У меня были 9ки. пришлось убирать. иначе технология изображала кирпич
То-есть при каких-то значениях DNS у вас работает и заблокированные сайты открываются? Вроде перепробовал разные DNS и без прописанных (по DHCP), и ничего не работает
оно отлично работает на лисе. у меня. но при 9 ках не хочет. что интересно- при 8ках, в качестве днс и вообще без него - запустилось. некоторые сайты не работают. но большинство из целевого-прекрасно и шустро запускается
[Профиль]  [ЛС] 

mark right

Стаж: 10 лет 1 месяц

Сообщений: 590

mark right · 20-Ноя-23 22:14 (спустя 16 дней, ред. 20-Ноя-23 22:14)

В браузере Brave помимо активации безопасных ДНС от cloudflare в настройках, надо перейти в brave://flags и включить:
- Encrypted ClientHello
- TLS 1.3 hybridized Kyber support
[Профиль]  [ЛС] 

kx77

Стаж: 11 лет 11 месяцев

Сообщений: 707


kx77 · 25-Ноя-23 15:39 (спустя 4 дня, ред. 25-Ноя-23 15:39)

mark right писал(а):
- TLS 1.3 hybridized Kyber support
Для российского DPI это не имеет смысла.
kyber размазывает ClientHello по 2 пакетам, что теоретически может сломать DPI в распознавании SNI.
Но не в случае нашего DPI. Они корректно реассемблируют 2 сегмента TCP, и после 2-го идет отлуп.
Для QUIC это сработает, русский DPI не умеет их склеивать пока.
Но беда в том, что по QUIC броузеры не лезут сразу, а сначала по TCP, и только потом делают апгрейд на h3
А вот ECH поможет, если он сработает. Пока TLS ClientHello без SNI не банят
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 2870

Hanabishi · 25-Ноя-23 15:59 (спустя 20 мин.)

kx77 писал(а):
85517335Но не в случае нашего DPI. Они корректно реассемблируют 2 сегмента TCP, и после 2-го идет отлуп.
DPI пока еще разный у разных провайдеров. У многих GoodbyeDPI же до сих пор работает, как правило на проводных. Но вот на всех мобильных вроде простая дурилка путем распила и перестановки кусков пакетов уже не проходит.
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1589


artenax · 25-Ноя-23 16:00 (спустя 1 мин.)

kx77 писал(а):
85517335Но беда в том, что по QUIC броузеры не лезут сразу, а сначала по TCP, и только потом делают апгрейд на h3
Есть такая настройка
Use DNS https alpn
When enabled, Chrome may try QUIC on the first connection using the ALPN information in the DNS HTTPS record. – Mac, Windows, Linux, ChromeOS, Android
chrome://flags/#use-dns-https-svcb-alpn
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 8 месяцев

Сообщений: 1729

vlad_ns · 25-Ноя-23 22:48 (спустя 6 часов, ред. 25-Ноя-23 22:48)

Hanabishi писал(а):
85517457У многих GoodbyeDPI же до сих пор работает, как правило на проводных. Но вот на всех мобильных вроде простая дурилка путем распила и перестановки кусков пакетов уже не проходит.
Буквально, не так давно читал что 100% dpi стоят у всех провайдеров. Если поставщик один (не уверен), то и работать должно одинаково.
[Профиль]  [ЛС] 

kx77

Стаж: 11 лет 11 месяцев

Сообщений: 707


kx77 · 26-Ноя-23 19:54 (спустя 21 час, ред. 26-Ноя-23 19:54)

Hanabishi писал(а):
Буквально, не так давно читал что 100% dpi стоят у всех провайдеров. Если поставщик один (не уверен), то и работать должно одинаково.
Огрызки старого зоопарка еще кое-где остались.
Где-то даже QUIC полностью банится. globalnet магистратор
Цитата:
Но вот на всех мобильных вроде простая дурилка путем распила и перестановки кусков пакетов уже не проходит.
В СПБ точно проходит на всех, кроме МТС. МТС жаловались, но у меня нет вариантов проверить, кроме как специально симку брать
artenax писал(а):
chrome://flags/#use-dns-https-svcb-alpn
Тогда это надо добавлять к киберу, иначе толку от него нет в плане обхода.
Будет работать только на сайтах, где QUIC есть.
Вот так рубится кибер на TCP :
Код:
$ nc 1.1.1.1 443 <tls_clienthello_rutracker_org_kyber.bin
read(net): Connection reset by peer
$ ls -l tls_clienthello_rutracker_org_kyber.bin
-rw-r--r-- 1 root root 1787 Nov 26 19:48 tls_clienthello_rutracker_org_kyber.bin
Кибер хелло 1787 байтов. Не влезает в 1 пакет.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 14 лет 8 месяцев

Сообщений: 1729

vlad_ns · 27-Ноя-23 20:42 (спустя 1 день)

kx77 писал(а):
85523009Где-то даже QUIC полностью банится.
Не думаю, что они считают это потерей. Наоборот, последние события показали что могут банить всё что не известно, ведь результат достигается и с меньшими потерями.
[Профиль]  [ЛС] 

GIM47N

Стаж: 14 лет 7 месяцев

Сообщений: 32

GIM47N · 09-Янв-24 04:13 (спустя 1 месяц 11 дней)

у меня с включённым TLS 1.3 hybridized Kyber support заходит на сайты поддерживающие QUIC и HTTP/3
проверено на домашнем инете домру и на мобильных мегафоне и билайне
норм тема
[Профиль]  [ЛС] 

ROFOL

Старожил

Стаж: 16 лет 7 месяцев

Сообщений: 1887

ROFOL · 24-Янв-24 09:00 (спустя 15 дней)

GIM47N писал(а):
85713410TLS 1.3 hybridized Kyber support заходит на сайты поддерживающие QUIC и HTTP/3:
Из реддита:
Firefox Nightly 2024-01-18+
about:config
security.tls.enable_kyber
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error