Да без проблем. Мы же говорим про то, чтобы работало без телодвижений со стороны пользователя.
Без телодвижений со стороны пользователя есть всякие штуки типа ODoH, в лисе уже сейчас поддержка есть. В Waterfox так вообще прям из коробки доступно и работает, на основе мостов fastly. Да и cloudflare заявляли, что они движутся в сторону полностью зашифрованных ДНС запросов. В итоге провайдер даже понять не сможет что это ДНС запрос, т.к. он направлен хз куда и содержимое его хз какое.
Oblivious DNS over HTTPS это для другого. Это чтобы оператор DNS-сервера (например Google со своим 8.8.8.8) не мог установить связку: IP-адреса клиента - какие адреса он резольвит. Что-то вроде этого - About iCloud Private Relay - Apple Support - но только для DoH. Дополнительный уровень приватности. В случае обычного DoH ISP и так уже имен не видит.
Да я читал. Но суть всё равно такова, что запрос то идет не к айпи резолвера, а к айпи oblivious-прокси. Что создает дополнительные сложности для фильтрации трафика. И при этом “без дополнительных телодвижений” со стороны пользователя.
Вон они блокируют-блокируют, а в итоге, всё равно, все кто хотели - доступ имеют. Пока до белых списков дело не дойдет, ничего они не добьются.
Сделал со второго списка себе rule-set для sing-box. Думаю, что можно поставить cicd где-нибудь и пусть каждый день запускает тест + сборку с теста. Можете, пожалуйста, оставить гитхаб чтоб на вас ссылка была, а то я почти ничего не сделал и чтоб была ссылка на вас
UPD: Использование оперативки сократилось с 45 до 8-10 на sing-box. Прям хорошо идет
Для https://ntc.party/ ECH будет включён?
Я больше хочу посмотреть на рожу ркн после того как они профукали 100млд или сколько там на “улучшение” оборудования для теперь устаревшей технологии sni
в китае же как-то забанили ECH, так в чем проблема им тут также сделать? их мне кажется не волнует проблема работы разрешенных сайтов, их цель - сломать и уничтожить
В Китае заблокирован tls 1.3. Поэтому там и не работает ech. Могут ли у нас рискнуть такое сделать? Ну хз-хз…
And just like China, Russia is cracking down on these new technologies. According to the proposed law amendment, any company or website that uses technology to hide its website identifier in encrypted traffic will be banned inside Russia after a one-day warning.
Вот что случится если допустим они захотят оставить сам протокол. Ркн пришлет свою пацанскую предъяву клаудфер, типа за вашим доменом хостятся иноагенты, убирете их с ваших аддресов или мы заблокируем весь аддресс рендж.
Я походу неправильно понял сообщение, но как там может быть заблокирован tls 1.3 когда весь vless reality основан на tls 1.3?
Basically,REALITY 只是改了认证方式的 TLSv1.3,所以,它传输载荷的方式与 TLSv1.3 完全相同,毕竟,REALITY 就是 TLSv1.3
Basically, REALITY is just TLSv1.3 with authentication changed, so it transmits loads in exactly the same way as TLSv1.3 - after all, REALITY is TLSv1.3!
Как вариант, могут блокнуть по SNI адрес “cloudflare-ech.com”, который фигурирует в SNI в запросах, использующих ECH
даже лучше, блокать все подключения у которых заявлена поддержка ESNI, как делают в Китае (Exposing and Circumventing China's Censorship of ESNI)
- The
0xffceextension is necessary to trigger the blocking.- The blocking can happen on all ports from 1 to 65535.
- Once the GFW blocks a connection, it will continue blocking all traffic associated with the 3-tuples of (srcIP, dstIP, dstPort) for 120 or 180 seconds.
Так как это статья от 2020 года, то ECH тогда ещё был новым и блокировался только ESNI, сейчас возможно уже и его блокирует.
Так ведь тогда большинство сайтов за Cloudflare перестанет работать. И обидных и безобидных. На данный момент те, кто на бесплатном тарифе и те, кто на платном, но включил ECH сам. Разве что им попробовать блокнуть так, чтобы браузер фаллбакнулся в non-ECH, но не уверен, что это возможно. Конструктивно это предусмотрели. Разве что заставить весь народ сидеть на старых браузерах (двух годовой давности), которые ещё не слышали о ECH или Pale Moon.
Насчёт Китая, интересно как там. Но думаю, Cloudflare просто сотрудничает (отключила ECH сама). Ведь они представлены в Китае.
The next strategy we discover can also be used from client or server. In this strategy, the client sends the ESNI request across two TCP segments, such that the first TCP segment is less than or equal to 4 bytes long.
Это обходилось просто сплитом на 4 позиции из самого простого
Перестанет, но только у тех, кто включал DOH в настройках браузера (по умолчанию он вроде отключён), потому одним выстрелом убьют двух зайцев.
Искусственная зависимость ECH от наличия DoH/DoT только в Firefox. В Chrome работает независимо от того, каким образом получена HTTPS-запись из DNS. И кстати да, по RFC fallback не предусмотрен.
Unless ECH is disabled as a result of successfully establishing a connection to the public name, the client MUST NOT fall back to using unencrypted ClientHellos, as this allows a network attacker to disclose the contents of this ClientHello, including the SNI.
Все верно, перестанет.
Только на Windows 10? Не 11, не Linux.
Искусственная зависимость ECH от наличия DoH/DoT только в Firefox
Разве?
У меня в Firefox полностью отключен DoH, используется дефолтный системный резолвер, но при этом ECH работает