Провы по глупости стали дурить DPI, чтобы создать сиюминутное конкурентное преимущество.
В ответ в РКН включили особый режим против дурения на некоторых ggc.
Перестали работать фейки. Но им пришлось оставить разрешенными SNI от гуглодоменов.
Поэтому дописываем в стратегию --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin , и пока этого достаточно для дурения и блокировок, и ютуба.
Тем не менее чисто профилактически в nfqws заменен дефольный ClientHello на версию от firefox 128 без kyber. Сделана рандомизация SNI в формате [a-z][a-z0-9]{5}\.(com|org|net|edu|gov|biz)
Так же рандомизируются поля random и session id.
Рандомизация применяется только к дефолтному фейку. Если указать внешний файл для фейка - он будет как есть. Рандомизация выполняется 1 раз при старте nfqws.
Пофиксены 2 проблемы на архитектуре mips64 : сломаный seccomp filter и threaded resolver в tpws
В mdig пофиксено отображение статистики на 32-битных архитектурах с 64-битным time_t