Я так понимаю, что эта проблема с отсутствием сокс авторизации присутствует и в десктопных клиентах. Сейчас мельком посмотрел throne и v2rayn под линукс: в v2rayn можно только менять номер mixed порта, больше с ним ничего не сделать. В throne ситуация получше - дефолтный mixed инбаунд нельзя отключить, но можно его перевесить на другой IP:port, можно его будет блокнуть локальным фаерволом, и можно создать кастомный сокс/миксед инбаунд, и вот его уже можно закрыть логопассом.
Я всегда считал, что это не баг, а фича. У меня так и телега, и фуррифокс ходят через локальный сокс, при том что для остальных настроен per-app.
При том, что в методичке описаны явно не все тонкости, а так же учитывая особенности ведра по демонстрации флагов и интерфейсов, лучше вообще шкварное отечественное ПО держать на отдельном устройстве, пока не выработаются методы надёжной изоляции.
Если в итоге выработаются. Тут, полагаю, не только от клиента зависит, но и от самой оперативной системы.
Да. Поэтому отдельное устройство.
Но из здесь ситуация проигрышная. Шпионское ПО вычислит основную массу беззаботных домохозяев, а на остальных хитрецов начнёт хватать мощностей ТСПУ. Разве что они удовлетворятся тем, что накрыли 95% и дальше жестить не будут.
Как уже говорили, к сожалению, вся эта панацея - один большой skill issue. Многим не доступны те или иные решения (ввиду финансовых проблем, если речь идёт о 2-м устройстве, или технической безграмотности/нехватки времени/т. д., если идёт речь о специфичной настройке клиента). Ситуация со сборками zapret повторяется.
Да, увидит. Сетевой стек общий. Поэтому нужно задавать авторизацию на локальный socks5 прокси.
Шпион сможет увидеть порт socks5, но не сможет к нему подключиться, если он запаролен.
Так это уже всё работает! На выходных полоностью 443 порт через вилесс лежал на телефоне, хотя через носки5, поднятое на коме через v2rayN всё работало. С 8 утра понедельника откатили назад это, но явно что слив пошел!
Пока нет клиентов с авторизацией на сокс5, файерволом можно полноценно зарубить недоверенным приложениям доступ на локалхост?
Разработчики Happ только что в своей тг группе в явной форме отказались фиксить эту уязвимость (и с API и с split tunnel bypass)
В андроид клиенте Husi есть возможность установить Log:pass на сокс проксю.
Вдруг кто-то сможет создать форки популярных клиентов и добавить авторизацию в socks по умолчанию.
Del
файерволом можно полноценно зарубить недоверенным приложениям доступ на локалхост?
Только если через root+iptables. Все популярные фаерволлы на Android работают через VPN-туннелирование, которое не включает в себя локалку.
Вот этот позволяет - https://f-droid.org/packages/io.github.saeeddev94.xray
Вместо nekobox хорошее решение:
У v2rayNG дефолтный порт - 10808, у nekobox - 2080. Я думаю, что достаточно заменить порты на рандомные. Стучаться на каждый открытый локальный порт в поиске соксов было бы лишней наргузкой, особенно, если это будут делать все ру приложения
Скан портов на локалхосте занимает считанные секунды, а мощности клиентского оборудования для сервиса ничего не стоят
Sign-box клиенты ЕМНИП не умели в xhttp, поэтому народ и перешёл на xray
Скан локалхост портов вообще никакой нагрузки не создает, и делается он за несколько секунд. тем более, тебе не нужно делать его постоянно, только по триггеру в виде системного флага впн, например
это скорее недоработка этого чекера. он должен выдать что-то вроде прокси найден, но авторизация не пройдена, видимо автор не предусмотрел
Да, скорее всего. Конечно там порт слушает, но просунуться через него больше нельзя. Надеюсь, цепляться за факт существования порта все-таки не будут.
Слава богу хоть один некобокс-type клиент уже это умеет. На винде хватает фаервола и вообще добавления process name в правила маршрутизации, а на андроиде шляпа
Будут скорее всего. Это у них один из триггеров.
Это какой?