Зашифрованное приветствие от Mozilla или как сделать интернет-сёрфинг более конфиденциальным.

Страницы :   Пред.  1, 2, 3, 4, 5  След.
Ответить
 

Balling

Top Bonus 03* 1TB

Стаж: 11 лет

Сообщений: 310

Balling · 01-Апр-24 09:09 (7 месяцев назад)

ROFOL писал(а):
85782386
GIM47N писал(а):
85713410TLS 1.3 hybridized Kyber support заходит на сайты поддерживающие QUIC и HTTP/3:
Из реддита:
Firefox Nightly 2024-01-18+
about:config
security.tls.enable_kyber
Вау, и правда. Chrome dev.
[Профиль]  [ЛС] 

sio456wer

Стаж: 12 лет 1 месяц

Сообщений: 820


sio456wer · 01-Апр-24 11:53 (спустя 2 часа 44 мин.)

Balling
В хроме/хромиуме такое сделали начиная с 116 версии. В файерфоксе с 122 версии, но это было доступно по 23 марта.
Теперь на фф постоянно прыгает между kex=X25519 и kex=X25519Kyber768Draft00
https://servo.org/cdn-cgi/trace
https://www.cloudflare.com/cdn-cgi/trace
Только так открыто заходить не стоит.
[Профиль]  [ЛС] 

scooter

Стаж: 19 лет 6 месяцев

Сообщений: 702

scooter · 02-Апр-24 03:49 (спустя 15 часов)

sio456wer писал(а):
86084949но это было доступно по 23 марта.
На некоторых провайдерах и сейчас работает прекрасно (как в моем случае). И удобно - дополнительные средства обхода не нужны
[Профиль]  [ЛС] 

sio456wer

Стаж: 12 лет 1 месяц

Сообщений: 820


sio456wer · 02-Апр-24 07:52 (спустя 4 часа)

scooter писал(а):
86087988На некоторых провайдерах и сейчас работает прекрасно (как в моем случае). И удобно - дополнительные средства обхода не нужны
О провайдерах у меня ни слова. Firefox стал странным. На https://www.cloudflare.com/ssl/encrypted-sni/#results показывает что у firefox Secure SNI и Secure DNS либо под вопросом либо крестик.
[Профиль]  [ЛС] 

sio456wer

Стаж: 12 лет 1 месяц

Сообщений: 820


sio456wer · 06-Апр-24 19:04 (спустя 4 дня)

Теперь и хромиуму привет.
[Профиль]  [ЛС] 

GIM47N

Стаж: 14 лет 8 месяцев

Сообщений: 32

GIM47N · 09-Май-24 02:01 (спустя 1 месяц 2 дня, ред. 09-Май-24 02:01)

меня сегодня домру перевёл с сетей старого поглощённого им провайдера на свои, и по итогу TLS 1.3 hybridized Kyber support перестал работать
upd: снова работает, но я пока не знаю почему, мб из-за IPv6
[Профиль]  [ЛС] 

Balling

Top Bonus 03* 1TB

Стаж: 11 лет

Сообщений: 310

Balling · 14-Сен-24 06:33 (спустя 4 месяца 5 дней, ред. 14-Сен-24 06:33)

GIM47N
IPv6 заблочен на мгтс. Так что нет. Думаю, ECH врубили. Я без Kyber тоже норм захожу
[Профиль]  [ЛС] 

Shinge

Стаж: 16 лет 4 месяца

Сообщений: 47


Shinge · 14-Сен-24 07:14 (спустя 41 мин.)

У меня на мурманском ростелегоме, уже несколько дней как открывался безымянный клуб с бабочкой. Я-то думаю. Или опять квн на пк за глючил, или наши случайно разблокировали. А оно вон оно чего. Ждем блокировки клаудфаера.
[Профиль]  [ЛС] 

Алекс Бывалый

Старожил

Стаж: 15 лет 2 месяца

Сообщений: 617

Алекс Бывалый · 14-Сен-24 09:28 (спустя 2 часа 13 мин.)

CloudFlare установил полный ECH на все сервера под своей защитой (или почти на все). Теперь, если блочить, то все подряд, тогда станут недоступны многие "правильные" сервисы. Сколько российских сервислв под их защитой - Много. Ждем оответный ход от "FUCK РКН".
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 14-Сен-24 10:20 (спустя 52 мин., ред. 14-Сен-24 10:30)

Так насколько я знаю им достаточно заблокировать не весь Cloudflare, а тормознуть пакеты, содержащие в sni фейковый домен-заглушку cloudflare-ech.com, тогда браузеры переключатся на версию без ECH. Технические специалисты только задаются вопросом, насколько это переключение будет бесшовым и не будет ли ощутимого тупняка. Потому что бывает замораживание соединение, а бывает drop.
В современных браузерах ECH включен по умолчанию (если сайты поддерживают будет использоваться) и не отключить полностью. В старых хромобраузерах за это отвечает параметр #encrypted-client-hello в chrome://flags и можно отключить.
Также для работы ECH нужен DoH, который могут начать давить.
ECH может быть и в HTTP3/QUIC и в обычных HTTP2/TCP.
Если у вас curl собран с опцией --enable-ech (не по умолчанию), то можно проверить работоспособность ECH с помощью команды:
Код:
curl --http3-only --ech hard --tlsv1.3 --doh-url https://cloudflare-dns.com/dns-query -v -4 https://rutr.life/
Или без --http3-only.
[Профиль]  [ЛС] 

Balling

Top Bonus 03* 1TB

Стаж: 11 лет

Сообщений: 310

Balling · 14-Сен-24 16:38 (спустя 6 часов, ред. 14-Сен-24 16:38)

artenax писал(а):
86702584Также для работы ECH нужен DoH, который могут начать давить.
Нет, не нужен, достаточно запроса dig +noadflag rutr.life IN HTTPS
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 14-Сен-24 18:22 (спустя 1 час 43 мин.)

Balling
Но ведь речь про браузеры. Кстати, в Firefox надо поискать в about:config ech и возможно сменить адрес DoH на другой, т.к. у мозилловского некоторые IP в блоке у некоторых провайдеров.
[Профиль]  [ЛС] 

Balling

Top Bonus 03* 1TB

Стаж: 11 лет

Сообщений: 310

Balling · 14-Сен-24 19:42 (спустя 1 час 20 мин., ред. 14-Сен-24 19:42)

artenax
Речь про браузеры. "возможно сменить адрес DoH на другой" Я не использую DoH, это слишком медленно, пинг до серверов тех большой. МГТС DNS кеширующие сервера поддерживают IN HTTPS, так же как и DNS сервер на роутере Sercomm МГТС
Код:

└─# dig @192.168.1.254 +noadflag public.tls-ech.dev IN HTTPS
; <<>> DiG 9.20.1-1-Debian <<>> @192.168.1.254 +noadflag public.tls-ech.dev IN HTTPS
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52818
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;public.tls-ech.dev.            IN      HTTPS
;; ANSWER SECTION:
public.tls-ech.dev.     300     IN      HTTPS   1 . ech=AEn+DQBFKwAgACABWIHUGj4u+PIggYXcR5JF0gYk3dCRioBW8uJq9H4mKAAIAAEAAQABAANAEnB1YmxpYy50bHMtZWNoLmRldgAA
;; Query time: 4 msec
;; SERVER: 192.168.1.254#53(192.168.1.254) (UDP)
;; WHEN: Sat Sep 14 19:22:36 MSK 2024
;; MSG SIZE  rcvd: 141
Вот Mozilla Firefox генерерует запросы для IN HTTPS до роутера: https://i.imgur.com/ILUmNp1.png
https://i.imgur.com/AMiJ3iI.png
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 14-Сен-24 19:58 (спустя 15 мин., ред. 14-Сен-24 19:59)

Balling писал(а):
86704671МГТС DNS кеширующие сервера поддерживают IN HTTPS, так же как и DNS сервер на роутере Sercomm МГТС
Вот Mozilla Firefox генерерует запросы для IN HTTPS до роутера
Понятно. И хромобраузеры так могут?
В dig вижу, что @8.8.8.8 и @1.1.1.1 тоже поддерживают IN HTTPS.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2622

Hanabishi · 14-Сен-24 20:00 (спустя 1 мин., ред. 14-Сен-24 20:01)

artenax писал(а):
86702584Также для работы ECH нужен DoH, который могут начать давить.
artenax писал(а):
86704446Но ведь речь про браузеры.
Не нужен. В актуальной 130 лисе ECH работает с полностью отключенным DoH.
[Профиль]  [ЛС] 

Balling

Top Bonus 03* 1TB

Стаж: 11 лет

Сообщений: 310

Balling · 14-Сен-24 20:25 (спустя 25 мин., ред. 20-Сен-24 23:38)

Hanabishi
А в браузере DOH и не нужен, разве что скрыть DNS запросы, так как неверный ключ сервер не пропустит, плюс DNSSEC как бы есть, можно проверить, так как HTTPS запись подписана RRSIG.
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 15-Сен-24 09:02 (спустя 12 часов, ред. 15-Сен-24 11:46)

Balling писал(а):
86704931в браузере DOH и не нужен
Да, сам Valdik об этом сказал, хотя на ntc.party сначала кто-то и упоминал обратное.
Я установил с нуля openSUSE Tumbleweed, там Firefox 129 предустановлен: с дефолтными настройками (DoH отключен) грузятся рутрекер, бабочка, кинозал. Но по http заглушка йоты.
А вот, чтобы ECH работал в curl, DoH обязателен, об этом в самой документации сказано.
Кому же ещё нужен DoH? Даже для QUIC необязателен. DoH нужен, чтобы браузеры сразу подключались по QUIC, получив информацию, что сервер его поддерживает из DNS. В старых хромобраузерах параметр #use-dns-https-svcb-alpn, в новых видимо включен по умолчанию. Впрочем, в описании говорится:
Цитата:
When enabled, Chrome may try QUIC on the first connection using the ALPN information in the DNS HTTPS record
т.е. достаточно тоже DNS HTTPS? Для меня получение такой информации из обычного DNS было сюрпризом.
[Профиль]  [ЛС] 

Balling

Top Bonus 03* 1TB

Стаж: 11 лет

Сообщений: 310

Balling · 15-Сен-24 23:50 (спустя 14 часов)

artenax
alpn="h3,h2"
Код:

└─# dig +noadflag developers.cloudflare.com IN HTTPS
; <<>> DiG 9.20.1-1-Debian <<>> +noadflag developers.cloudflare.com IN HTTPS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31156
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;developers.cloudflare.com.     IN      HTTPS
;; ANSWER SECTION:
developers.cloudflare.com. 130  IN      HTTPS   1 . alpn="h3,h2" ipv4hint=104.16.2.189,104.16.3.189,104.16.4.189,104.16.5.189,104.16.6.189 ipv6hint=2606:4700::6810:2bd,2606:4700::6810:3bd,2606:4700::6810:4bd,2606:4700::6810:5bd,2606:4700::6810:6bd
;; Query time: 5 msec
;; SERVER: 192.168.1.254#53(192.168.1.254) (UDP)
;; WHEN: Sun Sep 15 23:49:22 MSK 2024
;; MSG SIZE  rcvd: 176
[Профиль]  [ЛС] 

Dicrock

Старожил

Стаж: 12 лет 7 месяцев

Сообщений: 1090

Dicrock · 21-Сен-24 05:39 (спустя 5 дней)

artenax писал(а):
Если у вас curl собран с опцией --enable-ech (не по умолчанию), то можно проверить работоспособность ECH с помощью команды:
Код:
curl --http3-only --ech hard --tlsv1.3 --doh-url https://cloudflare-dns.com/dns-query -v -4 https://rutr.life/
Или без --http3-only.
Под какую платформу собран curl ? x64 ? Можно под i586/i686 (в идеале, чем больше, тем лучше) ? Или скажите, где такой взять
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 21-Сен-24 13:12 (спустя 7 часов, ред. 21-Сен-24 13:13)

Dicrock
Под Linux x64 (Ubuntu не поддерживает 32), не Windows. А вам нужен Linux 32 bit? Им мало пользуются.
[Профиль]  [ЛС] 

Dicrock

Старожил

Стаж: 12 лет 7 месяцев

Сообщений: 1090

Dicrock · 22-Сен-24 00:23 (спустя 11 часов)

artenax, x32. Пользуются
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 22-Сен-24 03:07 (спустя 2 часа 43 мин., ред. 22-Сен-24 03:10)

Dicrock
Ясно, тоже пользовался раньше. А какого года ОС, тип (deb, rpm и пр.)? Проц поддерживает SSE2 (i686)? Я могу собрать, в принципе.
Но если у вас, например, archlinux, то проще AUR пакет немного подправить (два параметра в configure передать).
У deb/rpm также отличаются пути, где лежат сертификаты, нужные curl. Но это решается симлинком.
[Профиль]  [ЛС] 

Dicrock

Старожил

Стаж: 12 лет 7 месяцев

Сообщений: 1090

Dicrock · 22-Сен-24 06:42 (спустя 3 часа)

artenax, deb, i686, машина аиртуальная. Просто на ней накручено много и перенос гемморойный.
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 22-Сен-24 06:51 (спустя 9 мин.)

Dicrock
Debian 11?
[Профиль]  [ЛС] 

Dicrock

Старожил

Стаж: 12 лет 7 месяцев

Сообщений: 1090

Dicrock · 23-Сен-24 03:42 (спустя 20 часов)

artenax, на базе 7.11/wheezy/ Да, древняя, но для тестов и моих нужд зачастую достаточно. А что-то круче машинка на виртуалке очень туго тянет.
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 23-Сен-24 19:58 (спустя 16 часов, ред. 24-Сен-24 07:57)

Dicrock писал(а):
86743070на базе 7.11/wheezy
Ого. Но увы, с ECH ничего не вышло. Только с QUIC получилось.
Rust даже 1.67 (минимальный для cloudflare quiche) не запускается на wheezy из-за glibc (не удивительно, 2.13 версия от 2011 года). Поэтому про quiche придётся забыть.
Для поддержки QUIC собрал с openssl-quic/3.3.1 и nghttp3/1.5.0 [static]. QUIC работает.
А вот для ECH нужны самые последние TLS либы: quiche (см. выше), гугловский BoringSSL (хочет новый cmake для сборки, новый cmake из python3-pip не ставится, из исходного кода ошибка в bootstrap), в теории openssl 3.4.0-beta1-dev с фичей enable-ech (он собрался, но curl по прежнему не видит ech в нём).
Есть поддержка HTTP1 и HTTP3.
HTTP2 не стал добавлять.
Код:
curl 8.10.1 (i686-pc-linux-gnu) libcurl/8.10.1 OpenSSL/3.3.1 zlib/1.2.7 nghttp3/1.5.0
Release-Date: 2024-09-18
Protocols: dict file ftp ftps gopher gophers http https imap imaps ipfs ipns mqtt pop3 pop3s smb smbs smtp smtps telnet tftp ws wss
Features: alt-svc AsynchDNS HSTS HTTP3 HTTPS-proxy IPv6 Largefile libz NTLM SSL threadsafe TLS-SRP UnixSockets
Параметры сборки
Код:
Попытка использовать openssl 3.4.0-beta1-dev оказалась безуспешной, curl не видит ech
git clone -b feature/ech --depth=1 https://github.com/openssl/openssl.git
cd openssl
./config enable-tls1_3 no-shared no-docs enable-ech --prefix=/usr/local --libdir=lib
make
sudo make install
sudo ldconfig
git clone -b v1.5.0 --depth=1 https://github.com/ngtcp2/nghttp3
cd nghttp3
./configure --prefix=/usr/local --enable-static --disable-shared --disable-debug --enable-lib-only
make
sudo make install
sudo ldconfig
wget https://curl.se/download/curl-8.10.1.tar.gz
tar -xf curl-8.10.1.tar.gz
cd curl-8.10.1
./configure --prefix=/usr --without-libpsl --disable-docs --enable-static --disable-shared --disable-debug --enable-hsts --disable-rtsp --enable-ipv6 --enable-alt-svc --with-openssl --with-openssl-quic --with-nghttp3 --with-ca-bundle=/etc/ssl/certs/ca-certificates.crt --enable-websockets
make
Имейте в виду, системные сертификаты старые, не все сайты будут открываться. Может помочь опция -k (игнорировать сертификаты).
Зависимости минимальные (статичные openssl и nghttp3 внутри). Поэтому сборка может работать и на старых 64 битных дистрах, если установить 32 битные библиотеки:
/lib/i386-linux-gnu/libz.so.1
/lib/i386-linux-gnu/librt.so.1
/lib/i386-linux-gnu/libdl.so.2
/lib/i386-linux-gnu/libpthread.so.0
/lib/i386-linux-gnu/libc.so.6
/lib/ld-linux.so.2
sudo dpkg --add-architecture i386 && sudo apt-get update && sudo apt-get install libc6:i386 zlib1g:i386
Upd: точнее, quiche [quic] для ech не нужен. Нужен [гуглохромовский] boringssl. Но quiche работает в связке с boringssl и собираются вместе. При этом и с первым и со вторым проблемы в wheezy. В wheezy нет проблем с curl и openssl, попробую ещё вот эти форки [Upd: неудача при сборке openssl-ech оттуда, старый компилятор].
Ещё wolfssl работает с ech. Но это жирнолиба с cmake.
Upd2: Могу выложить openssl 3.4.0-beta1-dev с ech, раз уж он собрался. С openssl ведь, наверное, тоже можно тестировать ech коннекты. Только я не знаю как.
./openssl ech -help
Ещё этот проклятый git вечно рвёт соединения...
С openssl это непросто. Похоже всё придётся указывать вручную.
Здесь упоминается некий code/openssl/esnistuff/echcli.sh для удобной проверки.
Upd3: Попробую ещё вот такую сборку
Может, заработает в wheezy.
Upd4: Наконец-то собралось с openssl 3.4.0-beta1-dev от defo.ie.
https://github.com/artenax/curl/releases/download/curl-8_9_0/curl-wheezy
Подробнее
Код:

./configure --prefix=/usr --without-libpsl --disable-docs --enable-static --disable-shared --disable-debug --enable-hsts --disable-rtsp --enable-ipv6 --enable-alt-svc --with-openssl-quic --with-nghttp3 --with-ca-bundle=/etc/ssl/certs/ca-certificates.crt --enable-ech --enable-websockets --with-ssl=/usr/local --enable-httpsrr
  Host setup:       i686-pc-linux-gnu
  Install prefix:   /usr
  Compiler:         gcc -std=gnu11
   CFLAGS:          -Werror-implicit-function-declaration -O2 -Wno-system-headers -pthread
   CFLAGS extras:
   CPPFLAGS:        -isystem /usr/local/include -isystem /usr/local/include
   LDFLAGS:         -L/usr/local/lib -L/usr/local/lib
   LIBS:            -lnghttp3 -lssl -lcrypto -lz -lrt -ldl
  curl version:     8.10.1
  SSL:              enabled (OpenSSL v3+)
  SSH:              no      (--with-{libssh,libssh2})
  zlib:             enabled
  brotli:           no      (--with-brotli)
  zstd:             no      (--with-zstd)
  GSS-API:          no      (--with-gssapi)
  GSASL:            no      (libgsasl not found)
  TLS-SRP:          enabled
  resolver:         POSIX threaded
  IPv6:             enabled
  Unix sockets:     enabled
  IDN:              no      (--with-{libidn2,winidn})
  Build docs:       no
  Build libcurl:    Shared=no, Static=yes
  Built-in manual:  no      (--enable-manual)
  --libcurl option: enabled (--disable-libcurl-option)
  Verbose errors:   enabled (--disable-verbose)
  Code coverage:    disabled
  SSPI:             no      (--enable-sspi)
  ca cert bundle:   /etc/ssl/certs/ca-certificates.crt
  ca cert path:     no
  ca fallback:      no
  LDAP:             no      (--enable-ldap / --with-ldap-lib / --with-lber-lib)
  LDAPS:            no      (--enable-ldaps)
  RTSP:             no      (--enable-rtsp)
  RTMP:             no      (--with-librtmp)
  PSL:              no      (--with-libpsl)
  Alt-svc:          enabled (--disable-alt-svc)
  Headers API:      enabled (--disable-headers-api)
  HSTS:             enabled (--disable-hsts)
  HTTP1:            enabled (internal)
  HTTP2:            no      (--with-nghttp2)
  HTTP3:            enabled (openssl + nghttp3)
  ECH:              enabled (--disable-ech)
  WebSockets:       enabled
  Protocols:        dict file ftp ftps gopher gophers http https imap imaps ipfs ipns mqtt pop3 pop3s smb smbs smtp smtps telnet tftp ws wss
  Features:         alt-svc AsynchDNS ECH HSTS HTTP3 HTTPS-proxy IPv6 Largefile libz NTLM SSL threadsafe TLS-SRP UnixSockets
  curl 8.10.1 (i686-pc-linux-gnu) libcurl/8.10.1 OpenSSL/3.4.0 zlib/1.2.7 nghttp3/1.5.0
  Release-Date: 2024-09-18
Такая команда работает (с ECH, без QUIC):
Код:
./curl-wheezy --ech hard --tlsv1.3 --doh-url https://mozilla.cloudflare-dns.com/dns-query -4 -v https:// nnm club.to/
Всё портят старые системные сертификаты. А с ECH и QUIC похоже их проверку не отключить. Даже резолвер от cloudflare пришлось заменить на мозилловский, чтобы не было ошибки сертификатов, лол. Клаб открывается, рутрекер уже не хочет. Не очень хорошая идея тестировать на старой системе.
Upd5:
Тест ECH (без QUIC):
Код:
./curl-wheezy --ech hard --tlsv1.3 --doh-url https://mozilla.cloudflare-dns.com/dns-query -4 -v https://cloudflare-quic.com/
Тест QUIC (без ECH):
Код:
./curl-wheezy --http3-only --tlsv1.3 -v https://cloudflare-quic.com/
Тест ECH+QUIC почему-то не работает:
Код:
./curl-wheezy --http3-only --ech hard --tlsv1.3 --doh-url https://mozilla.cloudflare-dns.com/dns-query -4 -v https://cloudflare-quic.com/
Причём, даже на новой системе. А у curl-quiche с этим нет проблем.
[Профиль]  [ЛС] 

Dicrock

Старожил

Стаж: 12 лет 7 месяцев

Сообщений: 1090

Dicrock · 25-Сен-24 08:50 (спустя 1 день 12 часов, ред. 25-Сен-24 08:50)

artenax, не ожидал такого энтузиазма Спасибо за неравнодушие и что не прошли мимо. Буду пробовать
Цитата:
Такая команда работает (с ECH, без QUIC):
скрытый текст
Код:
* Some HTTPS RR to process
* Host nnm club.to:443 was resolved.
* IPv6: (none)
* IPv4: 104.21.95.93, 172.67.144.20
*   Trying 104.21.95.93:443...
* ECH: ECHConfig from DoH HTTPS RR
* ECH: imported ECHConfigList of length 71
* ALPN: curl offers http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 / x25519 / id-ecPublicKey
* ECH: result: status is bad name (unexpected), inner is nnm club.to, outer is cloudflare-ech.com
* ECH: ech-hard failed
* closing connection #0
Цитата:
Тест ECH (без QUIC):
Отдаёт html
Цитата:
Тест QUIC (без ECH)
Отдаёт html
Цитата:
Тест ECH+QUIC почему-то не работает:
скрытый текст
Код:
[* Some HTTPS RR to process
* Host cloudflare-quic.com:443 was resolved.
* IPv6: (none)
* IPv4: 188.114.99.224, 188.114.98.224
*   Trying 188.114.99.224:443...
* ECH: ECHConfig from DoH HTTPS RR
* ECH: imported ECHConfigList of length 71
* QUIC connection has been shut down
* QUIC connect to 188.114.99.224 port 443 failed: Could not connect to server
*   Trying 188.114.98.224:443...
* ECH: ECHConfig from DoH HTTPS RR
* ECH: imported ECHConfigList of length 71
* QUIC connection has been shut down
* QUIC connect to 188.114.98.224 port 443 failed: Could not connect to server
* Failed to connect to cloudflare-quic.com port 443 after 3189 ms: Could not connect to server
* closing connection #0
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 25-Сен-24 20:22 (спустя 11 часов, ред. 25-Сен-24 20:28)

Dicrock писал(а):
86751731не ожидал такого энтузиазма
Поэкспериментировать бывает полезно.
Может, ещё кому-нибудь будет полезно.
Dicrock писал(а):
86751731
Код:
ECH: result: status is bad name (unexpected), inner is nnm club.to, outer is cloudflare-ech.com
ECH: ech-hard failed
Хм, у меня на йоте открывается в wheezy (адрес без пробелов и тире). Может, дело в более новых сертификатах (система обновлена из архивного репозитория до 2016 года, вроде) или в провайдере.
Кстати, штатный curl 7.26.0 в wheezy ещё поддерживает редкую сейчас технологию HTTP pipelining и сообщает, если её поддерживает сервер. Интересно. GitHub, например поддерживает:
Цитата:
HTTP 1.1 or later with persistent connection, pipelining supported
Из новых версий curl выпилили.
[Профиль]  [ЛС] 

Dicrock

Старожил

Стаж: 12 лет 7 месяцев

Сообщений: 1090

Dicrock · 28-Сен-24 04:51 (спустя 2 дня 8 часов)

artenax писал(а):
Кстати, штатный curl 7.26.0 в wheezy ещё поддерживает редкую сейчас технологию HTTP pipelining и сообщает, если её поддерживает сервер. Интересно. GitHub, например поддерживает:
Цитата:
HTTP 1.1 or later with persistent connection, pipelining supported
Из новых версий curl выпилили.
А это как-то может пригодиться в плане обхода ?
з.ы. А что по результатам тестов в итоге ? Насколько всё успешно (или наоборот) ?
[Профиль]  [ЛС] 

artenax

Стаж: 2 года 4 месяца

Сообщений: 1603


artenax · 28-Сен-24 11:08 (спустя 6 часов, ред. 28-Сен-24 11:12)

Dicrock писал(а):
86764850А что по результатам тестов в итоге ? Насколько всё успешно (или наоборот) ?
Вроде бы ECH работает. Но для заблокированных сайтов (клаба) непонятно. Вот такая команда работает?
Код:
./curl-wheezy --ech hard --tlsv1.3 --doh-url https://mozilla.cloudflare-dns.com/dns-query -4 -v https:/kinozal.tv/
Dicrock писал(а):
86764850А это как-то может пригодиться в плане обхода ?
Никак не поможет. Это старая технология параллельной загрузки по HTTP/1.1, которую использовала в основном Opera на движке Presto. Причём, имела хитрые тесты проверки работоспособности. Сейчас все браузеры используют современные способы параллельной загрузки в HTTP2+, только в Pale Moon осталась поддержка Pipelining в HTTP/1.1 (разработчик не любит новые технологии, которые продвигает Мозилла). HTTP/2 в нём тоже есть, но не HTTP/3. И Pipelining даже работает на простых сайтах (например, на onion), но может глючить (картинки путаться), т.к. сервера её плохо поддерживают. Суть в том, что браузер в одном запросе запрашивает сразу несколько картинок, например и сервер их за один раз (один за другим) возвращает. Вместо запрос-ответ-запрос-ответ. Что ускоряет загрузку множества мелких элементов, например смайликов. Но как я уже говорил, в HTTP/2 там уже свой метод, который хорошо поддерживают и серверы и клиенты (стандартизировано). Для curl это в любом случае не особо актуально, т.к. он запрашивает один файл за раз, ведь. Просто, интересно видеть что поддерживает сервер.
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error