From: Sergey Matveev Date: Fri, 8 Nov 2024 08:08:03 +0000 (+0300) Subject: Cloudflare, ECH, РКН X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=9ec8af5c6c0a3d586e33640842652801f20d6f53;p=stargrave-blog.git Cloudflare, ECH, РКН https://habr.com/ru/news/856928/ https://habr.com/ru/news/856354/ Чего все так разорались по поводу проблем с доступностью Cloudflare? РКН конечно те ещё редиски, ибо блокируют не технологию/протокол обхода блокировок, а технологию повышения приватности. Tor -- вот это обход блокировок. А ECH это костыль к TLS (который тоже по сути является костылём созданным из-за недостаточно быстрого внедрения IPsec с IPv6). Проблема не с ECH, а с TLS, который исторически отсылает SNI в открытом виде. Как, собственно, и SNI это ведь тоже костыль, связанный с не очень быстрым внедрением IPv6. Но ECH мне как не нравился, так и не нравится. Хочется зашифровать handshake? Ну так поменяй протокол, сделай как старом древнем IKEv2, где почти всё, сразу же после первого roundtrip, зашифровано. А не городи костыль на костыле, ещё и с привлечением DNS, DNSSEC небось (лень проверять). Ведь TLS 1.3 существенно отличается от всех предыдущих -- почти полностью иным образом устроен. Впилили же без проблем? Не проблема же поменять его кардинально? Но и Cloudflare та ещё параша. Почти всё что за ним размещается: становится недоступно для web-обозревателей -- зачастую нужен JavaScript, cookie, прохождение CAPTCHA. Если же он не даст тебе доступ к ресурсу по этим техническим причинам, то не допустит из-за того что ты из РФ/РБ. Плюс это, просто навсего, банальный такой большой MitM от США. Если кто-то использует Cloudflare, то он и так уже давным давно недоступен по одной из вышеназванных причин. Поэтому чего переживать? Кто-то, кто из наших стран использует MitMed систему, позволяя скачивать и выполнять произвольный код на своём ПК, потеряет возможность это делать. Я вижу в этом перевешивающие плюсы. Много говорят о бесплатности Cloudflare. Забывая, что бесплатный сыр только в мышеловке бывает. Не РКН отрубает первым делом доступ к ресурсам, а сам Cloudflare уже задолго до СВО это делает. Видимо, всё что остаётся -- это какие-нибудь явные анти-РФ/РБ ресурсы, которые РКН и затронет. Другой новостью было то, что РКН собирается что-то типа своего RPKI делать. И опять же: не он первый начал рубить маршруты и всячески вредительствовать нашим странам. Не он балканизирует Интернет, а Запад уже много лет назад. Вроде бы, единственную блокировку которую я встречал от РКН, был rutracker.org, наверняка из-за Михалкова какого-нибудь. Все остальные ограничения -- со стороны сочувствующих нацистам. РКН же в данном случае, как и в случае с нашей системой DNS, просто заранее подстилает соломку и старается минимизировать ущерб от очередных атак и зловредных действий. ---