А не надо юзать реалити. Надо свой домен делать. И если будет стабильно работать, то оставлять TLS Padding + мультиплекс. У меня друг в китай скоро полетит. Попробуем протестить их фаерволл, если у него время будет. Но проблема в том, что фаер ситуативно работает и не везде. Как и у нас.
Тут поинт в том, что реалити одна из самых продивнутых схем, но по одним лишь повторым запросам dpi ловит такие тонкости, чего уж говорить про днс.
Я не думаю, что ТСПУ будут особенно усложнять в этом направлении. Мафиозно-кгбшная шобла может себе позволить более радикальные решения на десятилетия вперед. И когда пилить на модернизации ТСПУ им надоест, они пойдут в сторону повсеместного МИТМ. Ну то есть каждое клиентское устройство будет вылезать в интернет через МИТМ виртуалочку в локалке прова. Ты сам добровольно поставишь паленый сертификат, сам установишь паленый браузер от маилру или яндекса. И тут уже снимаются все проблемы щита и меча. Потому что твой TLS станет открытой книгой для этой митм виртуалки. Она будет полностью анализирвать весь трафик. Можно будет даже отдельные странички на https сайтах банить. или анализировать по ключевым словам твои коменты на любых сайтах и тут же автоматом присылать штраф тебе в госуслуги.
Конечно будут издержки. И если ты владелец бизнеса или учёный или гебнявый или чиновник. То тебе выдадут шлюз в обход митма. И даже с выходом в глобальный интернет без фильтров через условный селектел. Этот выход в интернет будет по ВПН, который конечно будут тоже анализировать. Но фильтровать не будут, чтобы все работало стабильно. И будешь платить x50 за такую привилегию.
Куда-то в ту сторону всё это поедет. Я не особо шарю, но я художник, я так вижу.
Не ну с таким размахом можно и в принципе общий доступ к интернету запретить, и выдавать только на лицензионные компы, с гос ОС и запретом к чему либо вообще прикасаться.
Если говорить про известные сценарии, а это опыт Ирана и Китая, то будет скорее что-то похожее на то как у них
Как-то слишком депрессивно.
Но будут ли в РКН это делать?
Если вспомнить их “борьбу” с телегой - то там была подлива.
Вспомним их “борьбу” с торрентами - как итог, их количество не уменьшилось, а лишь увеличилось.
Но вот с ECH, да, подлива под себя. Хорошо, что это было не по IP.
Сейчас на заблокированных (замедленных) сайтах стоят очень щадящие параметры, которые обходятся довольно простыми стратегиями. Исключение, наверное, ютуб и голосовой чат дискорда, но там тоже уже больше месяца ничего не менялось по ужесточению замедления (сужу только по себе).
Возможно, что их “коробки” уже выдали всё возможное и поэтому этим клоунам может прийти в голову повторить сценарий с телегой (а это будет печально).
Надеюсь, что они внесут в список 127.0.0.1 и тогда всем станет хорошо.
По поводу того, что им выделили деньги на оборудование - сильно сомневаюсь, что эти деньги будут потрачены именно на оборудование, а не будут распилены, как и прошлые.
Если у пользователя не включён DoH, то пользователь даже не заметит проблемы, т.к. ECH не работает. У многих он включён?
Даже, если у многих включён, пользователь, скорее, выключит DoH, чем откажется от посещения сайта, ведь, как известно, если какая-то мера безопасности мешает и отключаема, она будет выключена при первой же возникшей проблеме.
Сложно сказать.
По умолчанию стоит провайдерский ДНС, но сейчас же популяризация goodbye DPI, ByeDPI, Zapret и в каждой второй инструкции указано, что нужно зайти в настройки браузера и включить безопасный DNS.
Будут ли теперь инструкции к обходам указывать, что уже нужно отключать, не знаю. А для самых неопытных юзеров это может вызвать проблемы по незнанию.
По поводу отключения DoH была странная ситуация, так как в день блока ECH провайдерский DNS отказывался открывать сайты с ECH. Заработало все только на следующий день.
Для GDPI, в принципе, это не обязательно, т.к. там есть dns-redir
Не знал про это. Думал, что там нужно какой-то отдельно ключ прописывать. Что-то вроде --dns-addr.
Проверил Habr.
Вроде, работает без включения обхода.
Проверил на Chrome, Edge. Провайдер от МТС, DoH включен.
Ну у тех кто недавно браузер поставил DoH по-умолчанию включен в FF\Chrome
Он работает только при системном DNS подразумевающем такую опцию. У провайдерских DNS нету doh, и даже у Яндекса он пропал
Да хватит уже про DOH говорить. Поскрольте выше. Уже выяснили, что браузеры начинают работать с ECH без DOH, даже с провайдерским днс.
Проверил на firefox в linux - ECH работает с ДНС от ТТК, который получен по DHCP.
1 Like
Да, ладно, а я и Блокировка (замедление) ECH Cloudflare - #210 by dartraiden вот не согласны.
Он тебе еще не то нарисует 
и nxdomain.
До 129 версии в лисе так и было. Сейчас же она запрашивает ech даже если стоит системный “незащищенный” резолвер, а doh в настройках выключен. По крайней мере, на линуксе встретил именно такое поведение
Ну, а в Windows 10 при тех же настройках не работает он.
Млять и вообще три варианта выбора ну это зашквар. Должно быть 2. 1. Вкл и поле выбора поставщика с возможностью вписать свой 2. Выкл т.е использовать стандартный на 53-ом порту.
Не дотыкали вероятно пока еще. Ну да еще появится, как смержат все пр))