forum.opennet.ru

Составление сообщения

Исходное сообщение

"Mozilla, Cloudflare, Fastly и Apple работают над применением..."
Отправлено Xasd, 16-Июл-18 23:04

> При использовании ESNI имя хоста (поле server_name) также передаётся в ClientHello, но в зашифрованном виде. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (полюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентсного ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. Для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.
боже! это слишком сложно!
один маленький (управляемый?!) сбой -- и всё это откатывается на старый дырявый протокол :-) ..
провайдеры лишь всего-навсего просто будут:
* блокировать DNS-over-HTTPS/DNS-over-TLS [ну как минимум популярные серверы].
* перенаправлять все DNS запросы -- на свой DNS-сервер.
* вырезать из DNS -- DNSSEC-структуры и _esni-структуры .
* как и прежде -- подслушивать-и-реагировать на старый добрый нешифрованный SNI!
это даже будут делать не сами провайдеры (по якобы своей воле) -- а по-средствам типового DPI-софта который будет навязываться им (провайдерАМ) для обеспечения законов РКН-и-Яровой.
--------------------------------------------------
клиентский софт -- будет от безысходности откатываться на старое поведение и делать всё по старинке.
а из-за того что _esni-структуры требуют ручное вмешательство -- то это не получит должного распространения среди сайтов.
(будет использовано как обычно только на twitter и gmail.. ну и плюс на полтора сайтах хакера-васи :))
из-за отсутствия популярности инициативы среди сайтов -- Мозилла-и-другие-браузеры НЕ смогут заявить типа "внимание! теперь мы будем работать только с ESNI-сайтами! остальные открываться не будут!"
и это как замкнутый круг приведёт к том что про esni со временем просто забудут как очередная неудачная попытка наладить шифропорядок в web-паутине

Исходное сообщение
"Mozilla, Cloudflare, Fastly и Apple работают над применением..." Отправлено Xasd, 16-Июл-18 23:04
> При использовании ESNI имя хоста (поле server_name) также передаётся в ClientHello, но в зашифрованном виде. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (полюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентсного ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. Для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS. боже! это слишком сложно! один маленький (управляемый?!) сбой -- и всё это откатывается на старый дырявый протокол :-) .. провайдеры лишь всего-навсего просто будут: * блокировать DNS-over-HTTPS/DNS-over-TLS [ну как минимум популярные серверы]. * перенаправлять все DNS запросы -- на свой DNS-сервер. * вырезать из DNS -- DNSSEC-структуры и _esni-структуры . * как и прежде -- подслушивать-и-реагировать на старый добрый нешифрованный SNI! это даже будут делать не сами провайдеры (по якобы своей воле) -- а по-средствам типового DPI-софта который будет навязываться им (провайдерАМ) для обеспечения законов РКН-и-Яровой. -------------------------------------------------- клиентский софт -- будет от безысходности откатываться на старое поведение и делать всё по старинке. а из-за того что _esni-структуры требуют ручное вмешательство -- то это не получит должного распространения среди сайтов. (будет использовано как обычно только на twitter и gmail.. ну и плюс на полтора сайтах хакера-васи :)) из-за отсутствия популярности инициативы среди сайтов -- Мозилла-и-другие-браузеры НЕ смогут заявить типа "внимание! теперь мы будем работать только с ESNI-сайтами! остальные открываться не будут!" и это как замкнутый круг приведёт к том что про esni со временем просто забудут как очередная неудачная попытка наладить шифропорядок в web-паутине

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> При использовании ESNI имя хоста (поле server_name) также передаётся в ClientHello, но в зашифрованном виде. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (полюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентсного ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. Для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

> боже! это слишком сложно!

> один маленький (управляемый?!) сбой -- и всё это откатывается на старый дырявый 
> протокол :-) ..

> провайдеры лишь всего-навсего просто будут:

> * блокировать DNS-over-HTTPS/DNS-over-TLS [ну как минимум популярные серверы].

> * перенаправлять все DNS запросы -- на свой DNS-сервер.

> * вырезать из DNS -- DNSSEC-структуры и _esni-структуры .

> * как и прежде -- подслушивать-и-реагировать на старый добрый нешифрованный SNI!

> это даже будут делать не сами провайдеры (по якобы своей воле) -- 
> а по-средствам типового DPI-софта который будет навязываться им (провайдерАМ) для обеспечения 
> законов РКН-и-Яровой.

> --------------------------------------------------

> клиентский софт -- будет от безысходности откатываться на старое поведение и делать 
> всё по старинке.

> а из-за того что _esni-структуры требуют ручное вмешательство -- то это не 
> получит должного распространения среди сайтов.

> (будет использовано как обычно только на twitter и gmail.. ну и плюс 
> на полтора сайтах хакера-васи :))

> из-за отсутствия популярности инициативы среди сайтов -- Мозилла-и-другие-браузеры НЕ 
> смогут заявить типа "внимание! теперь мы будем работать только с ESNI-сайтами! 
> остальные открываться не будут!"

> и это как замкнутый круг приведёт к том что про esni со 
> временем просто забудут как очередная неудачная попытка наладить шифропорядок в web-паутине

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру