Ник | Пост | Дата | ||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Aleksandr75ru | До 05.11.2024 работали все сайты с ECH без “дурилок”. Сегодня уже не пропускает, если не добавить в список сайтов для “дурения” - cloudflare-ech.com. Провайдер МТС. DOH от 1.1.1.1, замена на другие также не помогла. | 2024-11-05T13:13:49.148Z | ||||||||||||||||||||||||
KDS | Подтверждаю. Рутрекер, бабочка - оба не открываются, коннект ресет еррор. Ростелеком. DoH от комсс Добавил в обходилку И снова сломалось. Опять коннект ресет еррор | 2024-11-05T13:25:57.772Z | ||||||||||||||||||||||||
uwu(uwu) | билайн странно, что они именно так поступают, в описании инструкции к dpi оборудованию написано, что они впринципе могут отключить ECH | 2024-11-05T13:27:03.655Z | ||||||||||||||||||||||||
denium | Неужели они выстрелят себе в ногу? Ведь это столько сайтов накроет. Разумнее просто надавить на CF. | 2024-11-05T13:30:51.219Z | ||||||||||||||||||||||||
Hentay(Hentay) | Ну родят белые списки. Где ограничение не будет работать… (что бы бизнес не убил) | 2024-11-05T13:34:55.466Z | ||||||||||||||||||||||||
Aleksandr75ru | Проверил с включенным и отключенным kyber. Также сайт не работает (тот же rutracker). Торренты качаются, если, конечно, добавить в список этот сайт + cloudflare-ech.com. | 2024-11-05T13:35:47.010Z | ||||||||||||||||||||||||
Aleksandr75ru | Я добавил только cloudflare-ech.com в список и все заработало. | 2024-11-05T13:37:35.972Z | ||||||||||||||||||||||||
KDS | Да рутрекер сами все сломали, походу ) Никак их сайт не работает уже. Бабочка отлично работает. | 2024-11-05T13:38:50.249Z | ||||||||||||||||||||||||
Aleksandr75ru | Скорее всего, нет. | 2024-11-05T13:40:49.525Z | ||||||||||||||||||||||||
odyxz | Yota. Сперва действительно rutracker.org открывался наполовину непрогружая стили, но через пару минут открылся как и прежде. Мне кажется это временные проблемы на стороне самого рутрекера, и не нужно заранее хвататься за сердце. | 2024-11-05T13:42:46.740Z | ||||||||||||||||||||||||
Aleksandr75ru | Тоже сейчас перескочил на коммс и добавил этот адрес в лист, но не работает. | 2024-11-05T13:54:44.097Z | ||||||||||||||||||||||||
electrifying | на мтс тоже самое при чем задело не только рутрекер | 2024-11-05T14:41:32.700Z | ||||||||||||||||||||||||
Aleksandr75ru | Протестировал различные DoH. Вот результаты на данный момент (не работают в том плане, что не пробивают сайты с ECH без “дурилок”):
| 2024-11-05T14:51:20.590Z | ||||||||||||||||||||||||
Hentay(Hentay) | Сколько ДНСов полегло в бою с РКН | 2024-11-05T14:56:20.896Z | ||||||||||||||||||||||||
electrifying | Решили не мелочиться и все самые популярные dns резольверы накрыть | 2024-11-05T15:02:52.337Z | ||||||||||||||||||||||||
Aleksandr75ru | Я бы не сказал, что проблема в DNS. Они продолжают работать, а проблема в Cloudflare. | 2024-11-05T15:14:39.134Z | ||||||||||||||||||||||||
Aleksandr75ru | Взял листы сайтов с ECH от Ori и начал их проверять без “дурилок”. | 2024-11-05T15:42:22.731Z | ||||||||||||||||||||||||
electrifying |
Хорошо,что просто замедляют а вот если бы по ip блокнули то была бы большая проблема | 2024-11-05T15:45:06.491Z | ||||||||||||||||||||||||
electrifying | 2024-11-05T15:48:44.583Z | |||||||||||||||||||||||||
Aleksandr75ru | Проверил. Да, не работает без “дурилки”. | 2024-11-05T15:51:30.786Z | ||||||||||||||||||||||||
Hentay(Hentay) | Не говори гоп У части провайдеров походу произошел выстрел в голову. | 2024-11-05T15:53:15.420Z | ||||||||||||||||||||||||
Aleksandr75ru | Согласен. На том же билайне у меня все робит, но вот проводной умер. | 2024-11-05T15:54:08.071Z | ||||||||||||||||||||||||
Zanoni(Zanoni) | Интересно попробовать малоизвестные DNS… | 2024-11-05T16:04:27.439Z | ||||||||||||||||||||||||
Aleksandr75ru | Скорее всего, не поможет, так как сайт будет “стучаться” к ECH Cloudflare, а его замедляют. | 2024-11-05T16:27:59.987Z | ||||||||||||||||||||||||
uwu(uwu) | билайн теперь тоже заблокирован по sni | 2024-11-05T16:30:10.175Z | ||||||||||||||||||||||||
anon60595749 | 2024-11-05T16:46:43.035Z | |||||||||||||||||||||||||
Aleksandr75ru | Да, я тоже проверял в глобале, но коннект не проходит. Error. | 2024-11-05T16:47:50.581Z | ||||||||||||||||||||||||
uwu(uwu) | напрямую открывается, но без добавления в хостлист не проходит проверку защита sni | 2024-11-05T16:48:33.239Z | ||||||||||||||||||||||||
l8l | РТ Урал, подтверждаю нерабочий ECH (cloudflare и гугла) с сегодняшнего числа. и спасибо ркн за самые увлекательные конкурсы в этом году. также ждём сломанный рунет на новогодние праздники. | 2024-11-05T16:58:01.045Z | ||||||||||||||||||||||||
Aleksandr75ru | У меня даже результаты не выводятся, пока обход не врубишь. Видимо, стопорится на SNI и сайт ломается. | 2024-11-05T16:58:16.232Z | ||||||||||||||||||||||||
uwu(uwu) | выведутся минут через 5 | 2024-11-05T16:58:30.383Z | ||||||||||||||||||||||||
anon60595749 | Значит должны перестать открываться все сайты на Cloudflare, поддерживающие ECH, даже те, которые не заблокированы (при условии включенного ECH в браузере, конечно). У кого-нибудь есть пример, чтобы проверить? | 2024-11-05T17:03:18.758Z | ||||||||||||||||||||||||
Aleksandr75ru | Вот, скинули выше. Я проверил, у меня не робит без “дурилки”. Сайт на ECH. Проверял чекером от Ori. | 2024-11-05T17:04:30.670Z | ||||||||||||||||||||||||
Hentay(Hentay) | То что не сломается силами РКН , то отвалиться силами бизнеса. Допекут и состав РКН будут вешать… | 2024-11-05T17:07:22.991Z | ||||||||||||||||||||||||
denium | Йота, Нск. ECH накрылся. Проверял в последнем ungoogled chromium (130.0.6723.91) с дефолтными настройками на линуксе.
РКН всё-таки выстрелил себе в ногу. Но действительно вопрос, много ли невинных сайтов затронуло? ECH включен в современных браузерах и не отключить. DoH может быть по умолчанию отключен. Но браузер пытается использовать ECH даже с обычным DNS (это возможно). Но почему-то кроме провайдеровского, хотя параметры echconfig в ответе видны. | 2024-11-05T17:09:09.821Z | ||||||||||||||||||||||||
anon60595749 | Не очень удачный пример. https://ysaa.ru/ по какой-то причине не откывается даже тупым curl без поддержки ECH. Висим после отправки Client Hello. | 2024-11-05T17:10:31.188Z | ||||||||||||||||||||||||
Aleksandr75ru | К сожалению, других примеров больше нет. | 2024-11-05T17:12:36.941Z | ||||||||||||||||||||||||
uwu(uwu) |
это хороший пример | 2024-11-05T17:15:32.600Z | ||||||||||||||||||||||||
denium | Скорее всего ТП провайдеров посоветует людям отключить DoH и использовать провайдеровские DNS в случае каких-либо жалоб, да и всё. Назад в прошлый век. | 2024-11-05T17:16:10.301Z | ||||||||||||||||||||||||
denium | Да, но только под впн. С ru ip ech нет, но почему-то и коннекта нет. | 2024-11-05T17:16:44.647Z | ||||||||||||||||||||||||
Aleksandr75ru | Вот только у меня даже с провайдерским ДНС ничего не работает. | 2024-11-05T17:17:11.490Z | ||||||||||||||||||||||||
anon60595749 | Вот хороший пример: https://encryptedsni.com/. Да, работает только при отключенном ECH. | 2024-11-05T17:17:45.280Z | ||||||||||||||||||||||||
uwu(uwu) |
я без vpn проверял | 2024-11-05T17:18:00.653Z | ||||||||||||||||||||||||
denium | Ещё кидайте сайты. | 2024-11-05T17:18:22.829Z | ||||||||||||||||||||||||
anon60595749 | При успешном подключении должен присылать 301 redirect на Cloudflare Browser Check | 2024-11-05T17:19:09.427Z | ||||||||||||||||||||||||
KAcidi(K Acidi) | Сайт http://dtf.ru/ перестал открываться, не знаю как проверить есть ли на нём ECH, но они работают с CF. | 2024-11-05T17:20:36.112Z | ||||||||||||||||||||||||
Acindaz(Acindaz) | Уже часа 3 то открывается, то нет. Чаще нет. | 2024-11-05T17:21:18.973Z | ||||||||||||||||||||||||
uwu(uwu) |
| 2024-11-05T17:21:46.651Z | ||||||||||||||||||||||||
Aleksandr75ru | Чекер от Ори говорит, что есть ECH | 2024-11-05T17:21:46.960Z | ||||||||||||||||||||||||
anon60595749 | Да, он с ECH
| 2024-11-05T17:22:03.233Z | ||||||||||||||||||||||||
Aleksandr75ru | Да, не робит без обхода. Но с аниме сложно, РКН вообще любит банить сайты с аниме, возможно, что и этот забанен. | 2024-11-05T17:25:04.532Z | ||||||||||||||||||||||||
anon60595749 | Народ жалуется. Тоже на CF+ECH: WPARTY не работает сегодня? wparty.net не открывается? | 2024-11-05T17:27:21.511Z | ||||||||||||||||||||||||
uwu(uwu) |
у меня нет этого сайта в хостлистах | 2024-11-05T17:28:02.645Z | ||||||||||||||||||||||||
Jabronskiy | Он там есть, по крайней мере у меня он сначала пытается долбиться до клаудфлейра, но быстро делает сброс и пытается уже без него, но даже так не открывается. | 2024-11-05T17:30:23.577Z | ||||||||||||||||||||||||
Ritsu(Ritsu) | Как пример, у меня без впн или гдпи не открываются sakhtv, fmhy, hianime, хотя вчера работали нормально. Ну и рутрекер отвалился окончательно, да. | 2024-11-05T17:33:27.728Z | ||||||||||||||||||||||||
Deviator | У меня после обеда отвалился рутрекер и бабочка на YTD Zapret сборке от KDS 1.2, перешел на 2.0, на ней работает через DoH, если сайты в листе netrogat, чтобы дурилка не применялась к ним. У жены проверил - тоже самое. Сейчас запустил снова 1.2 ради интереса - все работает на ней на двух браузерах разных, как будто откатили изменения. | 2024-11-05T17:33:35.217Z | ||||||||||||||||||||||||
anon60595749 | Аналогично: https://readli.net | 2024-11-05T17:33:40.602Z | ||||||||||||||||||||||||
PlavaliZnaem( ) | Внес домен cloudflare-ech.com в обход - сразу запустился ряд сайтов. При этом ДНС - резолвер -тот же самый cloudflare. | 2024-11-05T17:41:34.490Z | ||||||||||||||||||||||||
anon60595749 | 2024-11-05T17:45:57.699Z | |||||||||||||||||||||||||
denium | Йота.
не открываются. DoH в браузере отключен, обычный провайдеровский dns 10.0.0.1:
открываются. | 2024-11-05T17:49:14.525Z | ||||||||||||||||||||||||
samsonovtim(Samsonovtim) |
Спасибо, теперь всё перечисленное открывается | 2024-11-05T17:53:28.762Z | ||||||||||||||||||||||||
PlavaliZnaem( ) | Что любопытно, если пустить через иностранный обход, то сайты у меня показывают, что я условно в Нидерландах, а если пустить через российский ВПС, то я “остаюсь” в России. Пока не понял механизм, но может кому понадобится. Проверял на https://check-host.net | 2024-11-05T17:56:23.085Z | ||||||||||||||||||||||||
uwu(uwu) |
у меня идет несколько попыток в ech (около 6) , затем уже обращается напрямую по sni | 2024-11-05T18:11:16.798Z | ||||||||||||||||||||||||
denium | Проверил сайты (в последнем ungoogled chromum 130 на линуксе):
С DoH и ECH под Йотой все не открываются. Спасибо за инфу. Я особо не ждал. Вываливалась ошибка в ungoogled chromum после долгой попытки коннекта. | 2024-11-05T18:13:48.682Z | ||||||||||||||||||||||||
denium | Придётся использовать Pale Moon и Basilisk. Они не поддерживают ECH. Или браузеры времён Chromium 118 (октябрь 2023), где #encrypted-client-hello можно отключить. Примерно с 121-122 версии настройку убрали. Там как раз и оформление вкладок ещё нормальное. | 2024-11-05T18:25:39.153Z | ||||||||||||||||||||||||
BigBro | На РТ Юг сегодня отвалились DoH-серверы Cloudflare и ControlD. | 2024-11-05T18:31:58.794Z | ||||||||||||||||||||||||
denium | Именно DoH сервера, не | 2024-11-05T18:34:25.774Z | ||||||||||||||||||||||||
trn | у меня к примеру мой же сайт перестал открываться в файрфоксе, бред короче | 2024-11-05T18:37:21.734Z | ||||||||||||||||||||||||
BigBro | Проверил. Все-таки ECH. | 2024-11-05T18:38:51.750Z | ||||||||||||||||||||||||
kkir | А не в курсе, можно ли отключить ECH для сайта за Cloudflare? | 2024-11-05T18:45:51.481Z | ||||||||||||||||||||||||
trn | 2024-11-05T18:47:02.677Z | |||||||||||||||||||||||||
PatchDragon(Patch) | В платной версии да, в бесплатной нет | 2024-11-05T18:47:10.853Z | ||||||||||||||||||||||||
kkir | Ок. Понятно. | 2024-11-05T18:48:10.773Z | ||||||||||||||||||||||||
trn | ну значит остается только поплакать, к сожалению( | 2024-11-05T18:49:05.976Z | ||||||||||||||||||||||||
kkir | Или временно отключить проксирование | 2024-11-05T18:49:55.410Z | ||||||||||||||||||||||||
PatchDragon(Patch) | Никогда бы не подумал что ркн настолько все равно работают интернет или нет | 2024-11-05T18:52:24.402Z | ||||||||||||||||||||||||
Hentay(Hentay) | Ему все равно Но бизнес будет их материть | 2024-11-05T18:52:48.131Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Чета у вас там локальные проблемы. | 2024-11-05T19:01:04.162Z | ||||||||||||||||||||||||
SickTH | Да уж ну и дела. У меня ech попал в автолист еще 31 октября)) я то думаю втф. А в хроме и не заметил в итоге потому что там изза regedit на экстенд манифеств2 днс отвалился | 2024-11-05T19:01:06.102Z | ||||||||||||||||||||||||
trn | в хроме ситуация получше была лично у меня, | 2024-11-05T19:06:31.133Z | ||||||||||||||||||||||||
Ori | У меня на скайнете тоже отвалилось. В автохостлист сразу добавился Кста, проверил в ватерфоксе, т.к. там oblivious DNS-over-HTTPS из коробки. Думал, может, как-то поможет, но нет. Точно так же все сайты с ECH отвалились. | 2024-11-05T19:09:09.050Z | ||||||||||||||||||||||||
trn | у меня в файрфоксе все намертво отвалилось, я думал я идиот так как только машину в германии взял новую, думал настроил не так, через хром с горем пополам открывалось, а потом увидел что ркн как всегда себе в штаны насрали вот сейчас включил впн и начало грузить все | 2024-11-05T19:11:01.265Z | ||||||||||||||||||||||||
easyone11 |
тоже cloudflare-ech.com появился через аутохост, не сайты которые юзают ECH (на сколько я понял) валятся в ERR_CONNECTION_RESET | 2024-11-05T19:12:32.417Z | ||||||||||||||||||||||||
trn | да, все чинится просто обходом блокировки на этом домене, в изначальном посте(?) и написано это | 2024-11-05T19:13:26.093Z | ||||||||||||||||||||||||
easyone11 | добавлял | 2024-11-05T19:18:51.043Z | ||||||||||||||||||||||||
Ori |
Хз. Возможно ваша стратегия его ломает? Например, известный факт: клаудфлейр не отбрасывает badsum. У меня стоит fake split2 badseq. А вообще, странное дело. Через курл этот домен будто и не заблочен? Даже если там замедление, это не должно особо влиять, ДНС ответ же мало весит? | 2024-11-05T19:20:36.035Z | ||||||||||||||||||||||||
easyone11 |
badsum на трубе, на основе тоже fake split2 badseq | 2024-11-05T19:26:10.718Z | ||||||||||||||||||||||||
anon60595749 |
Похоже блокировка учитывает не только SNI. Например как здесь Блокировка шифра в сторону Cloudflare на ТСПУ - #6 by ValdikSS | 2024-11-05T19:29:10.295Z | ||||||||||||||||||||||||
easyone11 |
тыц, в ff сайты работают, в хроме нет | 2024-11-05T19:30:01.523Z | ||||||||||||||||||||||||
uwu(uwu) | у меня работает на самом дефолтном конфиге | 2024-11-05T19:30:58.162Z | ||||||||||||||||||||||||
misamisa | это ужас какой-то, рили часть интернета тупо отвалилась. и никакие белые списки не нужны. есть вероятность, что фарш назад прокрутят, а то это уже ни в какие ворота? | 2024-11-05T19:32:04.798Z | ||||||||||||||||||||||||
anon60595749 |
Я думаю, что прокрутят. Временно вернут все назад, чтобы ресурсы смогли подготовится и заблочат в декабре уже перманентно. Тогда сегодняшнюю блокировку можно будет рассматривать как “сигнал” - “дорог сайт? - уходите с CF”. | 2024-11-05T19:35:15.848Z | ||||||||||||||||||||||||
Ori |
Да. Я проверил http, https и http3-only. И все работаю без обхода. Но в браузере сайты с ECH не открываются, если этот домен не добавить в хостлист. Похоже, так и есть. | 2024-11-05T19:40:14.347Z | ||||||||||||||||||||||||
denium | А почему именно в декабре? | 2024-11-05T19:40:47.897Z | ||||||||||||||||||||||||
anon60595749 | Чтобы надолго не откладывать. Это же мое предположение. Я от балды срок назвал. Месяца же достаточно, чтобы съехать с CF? | 2024-11-05T19:42:07.644Z | ||||||||||||||||||||||||
Hentay(Hentay) | Даа… Когда там база , кучу всего…
| 2024-11-05T19:46:33.874Z | ||||||||||||||||||||||||
misamisa | мде, ну в рунете может и перейдет часть, а остальное… прям ноль поводов для радости, конечно | 2024-11-05T19:50:03.171Z | ||||||||||||||||||||||||
denium | Консольный curl-ech тоже накрылся. Все сайты. Что интересно, иногда прорывается, но очень редко.
Можно не съезжать, а платный тариф взять и отключить там ECH. Хотя, неизвестно что CF будет делать дальше с ECH. | 2024-11-05T19:55:47.247Z | ||||||||||||||||||||||||
easyone11 |
в общем да, сделал попроще страту для cloudflare-ech, сайты заработали (хотя на основе у меня тоже сплит2 с бэдом) | 2024-11-05T20:05:22.290Z | ||||||||||||||||||||||||
basososas | Не проще ли теперь просто выключить ECH в браузере, чем добавлять его в листы обхода? Chrome: | 2024-11-05T21:06:02.442Z | ||||||||||||||||||||||||
Hentay(Hentay) | Браво А ничего , что с некоторых версий это обязательно стало ? Хотя тут 2 пути: | 2024-11-05T21:08:08.602Z | ||||||||||||||||||||||||
basososas | Хм, прохлопал этот момент. В актуальных версиях Chrome-based браузеров действительно нет опции. В Firefox все еще можно отключить. | 2024-11-05T21:11:12.664Z | ||||||||||||||||||||||||
basososas | Хотя для Chrome должно быть достаточно отключить Secure DNS в настройках безопасности ( | 2024-11-05T21:22:31.621Z | ||||||||||||||||||||||||
denium | Не, выше писал, что хром лезет за ech даже в обычный dns. | 2024-11-05T21:23:44.642Z | ||||||||||||||||||||||||
0ka(0ka) | у меня не лезет, win 10 | 2024-11-05T21:26:34.699Z | ||||||||||||||||||||||||
Hentay(Hentay) | У меня роутер пихает днс сервер, что мат стоит Хоть данная функция была включена, но сервер “днс” был не выбран | 2024-11-05T21:29:34.676Z | ||||||||||||||||||||||||
denium | win10 старьё, в линуксе лезет. | 2024-11-05T21:32:12.387Z | ||||||||||||||||||||||||
Hentay(Hentay) | Ну я взял и поднял DoH | 2024-11-05T22:24:15.443Z | ||||||||||||||||||||||||
TikTak(TikTak) | Да. Это всё печально и, к сожалению, ожидаемо | 2024-11-05T23:15:05.312Z | ||||||||||||||||||||||||
PatchDragon(Patch) | Я так сделал на пол года - не поверите но вычислили и начали специально мешать работе. Используйте ВПС не очень известный может поможет | 2024-11-05T23:35:47.699Z | ||||||||||||||||||||||||
Dhowti(Eugene) | У меня сайт на бесплатном тарифе CF, посещаемость вроде не просела или совсем чуть-чуть, процентов на 10. С ECH не открывается, да. Но видимо достаточно мало народу его использует, у меня 2/3 аудитории - Россия. | 2024-11-05T23:41:42.838Z | ||||||||||||||||||||||||
crexlight(Artem Dmitriev) | Cloudflare вообще всем бесплатным юзерам включила ECH против воли этих самых юзеров на все домены, у меня сайт за CF стоит, на нём ECH включён, хотя я его не включал. И таких как я много, и много сайтов стоящих за бесплатным CF, у которых сисЬадмины понятия не имеют почему теперь не открываются их сайты. Да та же ysaa.ru. Посмотрим как быстро они найдут проблему, и как быстро отключат ECH целенаправленно, в дэшборде Cloudflare. | 2024-11-05T23:55:53.559Z | ||||||||||||||||||||||||
Mike-Baks(Mike B) | Есть какие нибудь идеи как обойти? | 2024-11-05T23:59:41.685Z | ||||||||||||||||||||||||
Ori | В общем, на моем провайдере, чтобы сайты с ech начали открываться, достаточно вот такой простой вещи Пробовал, в качестве эксперимента, пустить | 2024-11-06T00:00:34.890Z | ||||||||||||||||||||||||
denium | Для незаблокированных сайтов: | 2024-11-06T00:08:57.777Z | ||||||||||||||||||||||||
SagePtr(Sage Pointer) |
Если в этой схеме браузер управляет маршрутизацией, какие домены заворачивать через прокси - то не удивительно, что не сработало, он же по настоящему доменному имени выбирает, а не по подставленному Outer SNI. | 2024-11-06T00:15:42.622Z | ||||||||||||||||||||||||
crexlight(Artem Dmitriev) | Ребята, это всё конечно хорошо, но сайт ysaa.ru оказывается заблокирован Роскомнадзором видимо ещё давно. Если отключить ECH в браузере, и отключить всякие дурилки, то (как минимум на Йоте) будет переадресация на forbidden.yota.ru. | 2024-11-06T00:18:52.905Z | ||||||||||||||||||||||||
naruto522ru | Это свидетельствует на что правительство пойдет ради цензуры даже если придется сломать пол интернета. P.S Всем ребятам участвующим в решение troubleshooting респект. Накидали годные варианты. | 2024-11-06T00:30:04.853Z | ||||||||||||||||||||||||
Patchy3604 | Как пишут тут “для владельцев сайтов, ECH придуман для TLS 1.3, просто выключить поддержку TLS 1.3 в разделе SSL > Edge Certificates > TLS 1.3 и все” | 2024-11-06T00:50:09.795Z | ||||||||||||||||||||||||
Ori | Сейчас прогнал поиск по первой тысяче самых популярных доменов в мире, и там всего 4 адреса с ECH
Зато среди заблокированных РКНом сайтов - ECH у половины… | 2024-11-06T01:10:56.792Z | ||||||||||||||||||||||||
NyakoNya(Nyako) | Мой nyan.pw перестал открываться. Сижу на Free тарифе CF. | 2024-11-06T01:14:58.007Z | ||||||||||||||||||||||||
NyakoNya(Nyako) | Момент. Перестал работать VPN с маскировкой под samsung.com (у него включен ECH). Давало ошибку PR_END_OF_FILE_ERROR в Firefox. Поменял маскировку на odysee.com (у него оно не включён) и всё заработало. | 2024-11-06T01:23:02.421Z | ||||||||||||||||||||||||
SteveJr | У меня официальный сайт телеканала 2x2 не грузится (2x2tv.ru и media.2x2tv.ru). А еще dtf.ru не открывается. | 2024-11-06T01:59:50.026Z | ||||||||||||||||||||||||
favicon | Я отключил TLS 1.3 на своем сайте, более часа назад, до сих пор не отключился. | 2024-11-06T02:01:05.266Z | ||||||||||||||||||||||||
Ritsu(Ritsu) |
Вы будете смеяться, но РКН 10 лет назад именно об этом и предупреждал… | 2024-11-06T02:28:07.207Z | ||||||||||||||||||||||||
naruto522ru | Мне не смешно. Я знал, что рекомендовал и рекомендательный характер приказа был. Просто сейчас в текущих реалиях на это смахнет и все. Просто тут пишут бизнес, а че бизнес. Этому бизнесу скажут, а мы вот ж говорили (аж больше 10 лет назад). Да, спасибо, что нашли. И вроде было еще раз. | 2024-11-06T02:34:39.440Z | ||||||||||||||||||||||||
naruto522ru |
А еще Ростелеком тоже предупреждал, что сервисам Google тоже типа каюк будет в ближайшее время. Достаем VPN и попкорн. | 2024-11-06T02:44:41.520Z | ||||||||||||||||||||||||
SteveJr | 2024-11-06T02:52:56.153Z | |||||||||||||||||||||||||
Dhowti(Eugene) | Работает, я выше уже писал, что на своём отключил. Отовсюду проверил - работает. | 2024-11-06T02:57:09.503Z | ||||||||||||||||||||||||
SteveJr | По поводу “выстрела в ногу”: проверьте https://school329.spb.ru/ Сайт за CF. Есть ECH, поэтому может не грузиться. Этот сайт случайно нашел в этом списке https://www.gov.spb.ru/gov/terr/nevsky/obrazovanie/shkoly/ | 2024-11-06T03:08:46.972Z | ||||||||||||||||||||||||
eternal001 | С 2021 года в блоке | 2024-11-06T03:44:29.044Z | ||||||||||||||||||||||||
naruto522ru | Как быстро проверить все свои сайты в закладках есть ли у них ECH формируем лист формата
Записываем в файл suite_my_books.txt (название не играет роли принципиально, но если правите, то в команде подправьте)
Для работы требуется curl и jq, чтобы они были установлены. После выполнение смотрим файлик output_check.txt если под соответствующей записью домена есть ech=, то у сайта подрублен ECH. Проверяйте откроется ли он без VPN\дурилки. P.S У меня вообще пиздец по закладкам вообще почти ВСЕ. | 2024-11-06T05:14:09.382Z | ||||||||||||||||||||||||
nzkhammatov(Ainur Khammatov) | AdGuard Home
Result check
| 2024-11-06T06:08:38.032Z | ||||||||||||||||||||||||
mike7 | Жаль, что нет варианта только cloudflare-ech.com в ответе блочить. Надо будет issue на github создать с предложением, может сделают | 2024-11-06T06:18:18.437Z | ||||||||||||||||||||||||
mafiacheb(Александр) | аналогично, завернул этот домен в прокси, не работает… | 2024-11-06T06:48:43.339Z | ||||||||||||||||||||||||
Ori | Ну, как выше пояснили, это из-за особенностей работы ECH. Я так понимаю, что там реальный запрос запихивается внутрь запроса к cloudflare-ech. Браузерные ВПН триггерятся по реальному адресу, поэтому проксирование cloudflare-ech ничего не дает. По идее, системные ВПН должны работать? Т.к. запрос уже покинул браузер и там подсунут сни клаудфлейра? | 2024-11-06T06:56:53.579Z | ||||||||||||||||||||||||
anon60595749 | Отключить ECH можно и в последних версиях Chrome: Disabling Encrypted ClientHello in Google Chrome, and Why | Chaser Systems | 2024-11-06T07:00:32.279Z | ||||||||||||||||||||||||
anon9001(anon) | Google очень не любит частую смену ипишников. Поэтому я всем сейчас незамедлительно рекомендую взять блокнот и записывать все-все-все сервисы на которых вы когда либо регались на gmail и переводить их в другой мейл, разумеется не русский | 2024-11-06T07:07:06.921Z | ||||||||||||||||||||||||
anon60595749 |
По какой-то другой причине перестал работать у вас VPN. Нет ECH на samsung.com. | 2024-11-06T07:07:43.844Z | ||||||||||||||||||||||||
slq | Хз о чем речь, но спасибо за рекомендацию добавить в блэклист гудбая, сайты вновь открываются. | 2024-11-06T07:08:04.165Z | ||||||||||||||||||||||||
anon9001(anon) | Потому что цензоров сильно волновал *.googlevideo.com поэтому у него стратегии ну очень спесифичные которые могут ломать уже другие сайты. Другие, более простые стратегии, работают на каком-нибудь сайте запрещенного калькулятора. Плюс я еще думаю что они хотели сделать как можно больше разных стратегий на разных сайтах чтобы было максимально неудобно в конфигах. Лично я решил использовать запрет чисто для гуглвидео, на другое мне он и не нужен был | 2024-11-06T07:12:54.880Z | ||||||||||||||||||||||||
mafiacheb(Александр) | ну ведь если весь трафик запихнуть то работает ведь | 2024-11-06T07:19:22.521Z | ||||||||||||||||||||||||
bolvan | Сам SNI cloudflare-ech.com не блочится, а блочится только, если есть encrypted client hello в составе TLS Client Hello. Мне потребовалось в zapret-е увеличить количество фейков с 1 до 3, чтобы пробить блок. | 2024-11-06T07:55:18.867Z | ||||||||||||||||||||||||
l8l | В ркн работает гораздо меньше людей, чем тех кто пытается восстановить себе конституционное право в свободном доступе к информации. Поэтому математически их победа невозможна, а успех временный. | 2024-11-06T08:02:39.704Z | ||||||||||||||||||||||||
anon9001(anon) | Мне нравится твой энтузиазм, особенно учитывая что для тех же плисов нужны серьезные программисты которые дружат с ассеблером и low-level програмированием, а все уехали сейчас… А тех кого вообще интересует ассемблер это только хоумбрюверов и нишовых геймдевов для старых приставок. | 2024-11-06T08:09:03.420Z | ||||||||||||||||||||||||
minecrafter(Minecrafter) |
Неужели вы вот на полном серьезе думаете, что богатейшая страна не найдет спецов, пускай даже очень редких и нишевых? | 2024-11-06T08:18:13.939Z | ||||||||||||||||||||||||
A.g(A.g) | Не надо надеяться, что государство не добьется поставленной цели. Пусть криво и косо, с сопутствующим ущербом, но сделают как им удобно. | 2024-11-06T08:19:40.515Z | ||||||||||||||||||||||||
electrifying |
Страна-то найдет, другой вопрос а сможет ли ркн платить такие вилки которые эти спецы за работу запросят | 2024-11-06T08:20:48.759Z | ||||||||||||||||||||||||
minecrafter(Minecrafter) | При чем тут ркн. РКН - это исполнительный орган. Он ничего не оплачивает сам, точно так же как сотрудник полиции, например. | 2024-11-06T08:23:56.895Z | ||||||||||||||||||||||||
Cryptor(Sergey) |
Проблема решается изи, путём добавления соответствующего домен в спуфер. Или просто выключением DOH в браузере. Ну да, заблочили, неприятненько… Особенно наверно для тех наивных людей которые помнится рассуждали, что если технология ESNI (ECH) будет везде повсеместно использоваться на всех ресурсах, то короблка (тспу) ослепнет и станет бесполезной, мол грядёт закат этих чёрных ящиков… | 2024-11-06T08:28:31.755Z | ||||||||||||||||||||||||
naruto522ru | Ага с нИхуевыми идеями Россия создает собственную инфраструктуру интернета. Теперь для проверки маршрутизации IP-адресов - CNews | 2024-11-06T08:33:00.440Z | ||||||||||||||||||||||||
elain(dmitry) | Какая разница если в итоге не работают сайты | 2024-11-06T08:46:20.867Z | ||||||||||||||||||||||||
electrifying |
Ну а челы куда на работу будут устраиваться? В РКН? И вилки будут обсуждать там же. Я к тому что узкий спец затребует и большую зп, а готовы ему будут столько платить или нет уже другой вопрос | 2024-11-06T09:17:28.989Z | ||||||||||||||||||||||||
uwu(uwu) | тем временем где-то в ркн Спойлер | 2024-11-06T09:23:36.761Z | ||||||||||||||||||||||||
anon60595749 | Кстати, ECH через API можно отключить и на free-тарифе. https://antiddos24.ru/blog/blokirovka-cloudflare-roskomnadzor-seriya-2 | 2024-11-06T09:24:21.857Z | ||||||||||||||||||||||||
mlebd | Для владельцев сайтов. Вы все еще можете отключить ECH без отключения TLSv1.3 через API.
У токена должны быть права на Zone Settings. | 2024-11-06T09:25:09.770Z | ||||||||||||||||||||||||
minecrafter(Minecrafter) | Перед ними поставлена задача и выделены бюджеты. Как они будут решать ее - это уже вопрос десятый. Не решат - полетят головы. | 2024-11-06T09:28:06.110Z | ||||||||||||||||||||||||
spv82 |
Вроде бы софт для DPI Ростелеком поставляет. По кр. мере разработчик ТСПУ rdp.ru был поглощен РТК в свое время. | 2024-11-06T10:03:36.267Z | ||||||||||||||||||||||||
dash |
Спс. Но пока помогает более простой вариант - отключить tls 1.3 в бесплатном тарифе. | 2024-11-06T10:10:58.524Z | ||||||||||||||||||||||||
denium |
Так что простое отключение DoH помогает в браузерах на win10/11? | 2024-11-06T10:26:35.944Z | ||||||||||||||||||||||||
Cryptor(Sergey) |
У меня в браузере без Doh не работает ESNI соответственно. По этому должно помогать. | 2024-11-06T10:31:54.343Z | ||||||||||||||||||||||||
favicon | Не знаю как у вас, но у меня отключение TLS 1.3 отключило именно ECH, а не сам TLS 1.3. здесь но так соединяется: Правда сайт не просто проксируется, но и хостится на CF Pages. | 2024-11-06T10:32:22.384Z | ||||||||||||||||||||||||
Dhowti(Eugene) | Что-то не выходит, вот такое вываливает:
Что ему не так? Mingw curl виндовый. | 2024-11-06T11:16:05.983Z | ||||||||||||||||||||||||
AlexPy(Алекс) | API KEY домена верно вводишь? Взять его можешь например с примера обращения к API то что между zones и settings | 2024-11-06T11:24:28.997Z | ||||||||||||||||||||||||
Dhowti(Eugene) | Да, верно, брал на главной домена, но в разделе на картинке такой же. Так, для начала кавычки должны быть двойные, уже легче: "Malformed JSON in request body Пишут, надо так:
но что-то всё равно false Ага, надо так: Теперь Unauthorized to access requested resource Так, победил иначе (винда):
| 2024-11-06T11:34:02.087Z | ||||||||||||||||||||||||
roman_sv | Это было ожидаемо. Придётся на ведре отключить DOT / DOH / DOH3 на уровне ОС и в настройках хрома. И терпеть провайдерский днс, который подменяет ответы. На ПК можно оставить DOH на уровне ОС (dnscrypt-proxy). Ну а заблоченые сайты в любом случае резолвились через проксю. Поэтому подмена провайдера на заглушку не сработает. | 2024-11-06T12:01:35.491Z | ||||||||||||||||||||||||
abc555 | Имеете введу в лисе Включить DNS через HTTPS, используя: ? | 2024-11-06T12:10:35.459Z | ||||||||||||||||||||||||
KAcidi(K Acidi) | Вижу, что некоторые сайты начали отключать ECH (например DTF), остальные всё также в отключке. | 2024-11-06T12:13:25.175Z | ||||||||||||||||||||||||
meow2 | Как починить ech, а не отключать его? Добавляю *.cloudflare-ech.com в список проксирования антизапрета(со своими прокси) - не помогает. | 2024-11-06T13:00:06.021Z | ||||||||||||||||||||||||
Aleksandr75ru | И РКН даже ничего не прокомментировало (как это было с Ютубом или Дискордом). Просто в тихую накосячили и молчат. | 2024-11-06T13:16:59.270Z | ||||||||||||||||||||||||
Aleksandr75ru | Вот, тут Ori писал об этом, может как-нибудь поможет. | 2024-11-06T13:21:26.884Z | ||||||||||||||||||||||||
kencarson | а вам не кажется, что если смотреть чуть наперед, как будто бы DOH уже в принципе использовать в режиме по умолчанию не стоит? Оставить его только для обходных вариантов и всё, ибо рисовать себе такой портрет для провайдера < ркна уже не выглядит перспективно | 2024-11-06T13:32:04.497Z | ||||||||||||||||||||||||
denium |
Лиса (последняя, в годных осях типа линукса) умеет ECH даже с простым DNS (если в браузере DoH отключен, а в системе нешифрованный 1.1.1.1, например). Смотрите, rutracker только в днс запросах упоминается, а сайт открывается. | 2024-11-06T13:34:33.777Z | ||||||||||||||||||||||||
roman_sv |
И правда работает ECH с провайдерским днс. Я же проверял несколько месяцев назад - не работало. Недавно запилили? И почему на ведре тогда не может без поддержки DOH3 на уровне OS? Это я проверял уже буквально недели 2 назад. Когда в андроиде завезли только DOT, то ECH в лисе не пашет. А хрому всё равно. И через DOT на уровне OS будет работать ECH. И если в самом браузере включить DOH3, тем более работает. Ну да ладно. Теперь уже не важно. Хороним DOH/DOT в ведре. | 2024-11-06T13:44:42.211Z | ||||||||||||||||||||||||
uwu(uwu) | блин какая разница doh или нет | 2024-11-06T13:46:34.068Z | ||||||||||||||||||||||||
roman_sv |
Ну вот на андроид в лисе без DOH не работает и ECH. На пк так же было раньше. Сейчас перепроверил на линуксе - теперь дох не нужен, ECH работает даже с днс по DHCP. Если на ведре так же сделают в лисе, то кирдык. Придётся вообще весь трафик рулить в прокси. Ибо about:config на ведре в лисе недоступен, чтобы выключить ECH. Ещё один головняк добавили паскуды РКНовские. | 2024-11-06T13:50:25.697Z | ||||||||||||||||||||||||
denium |
Да, в 129 завезли.
| 2024-11-06T14:06:03.200Z | ||||||||||||||||||||||||
favicon | Такое сделали либо по дурости, либо приняли серьезное решение на самом верху. | 2024-11-06T14:12:47.093Z | ||||||||||||||||||||||||
dash | Может кэш? | 2024-11-06T14:24:14.441Z | ||||||||||||||||||||||||
KAcidi(K Acidi) | тоже не понял, но гайдов таких полно почему-то | 2024-11-06T14:36:46.323Z | ||||||||||||||||||||||||
roman_sv |
Почему? Якобы это тригернет на более пристальное внимание ко всему трафику? Вряд ли у них до такого техника дошла пока что. Да и зачем тратить ресурсы на такой алгоритм, если в итоге все повыключают DOH и перестанут палиться. Да и в чём палево? DOH не коррелирует с использованием проксей абсолютно никак. При использовании проксей резолв шурует в саму проксю и пров не видит ДНС вообще. К слову, читал на сагернет рекомендацию по настройке сингбокса. Там упоминается, что нежелательно отправлять udp внутрь прокси, если при этом не прописать использование мультиплекса и TLS-Padding. А днс это udp. Поэтому, я так понимаю, резолвить внутри проксей желательно через DOT или DOH, но не udp и не DOH3). Или через doh3 можно? Мельком глянул, что это такое. Как будто udp вместо tcp уже используется. | 2024-11-06T14:44:33.493Z | ||||||||||||||||||||||||
denium |
Китай не перейдёт и вообще фильтровать интернет любят во многих странах. Те же арабские страны порнуху блочат. А как они это будут делать с DoH и ECH? | 2024-11-06T14:45:43.649Z | ||||||||||||||||||||||||
roman_sv |
Нет, у меня dnscrypt-proxy слушает ДНС запросы от всей системы. В лисе системный днс, соответственно. | 2024-11-06T14:57:47.887Z | ||||||||||||||||||||||||
easyone11 | https://www.techpowerup.com - не смог зайти, хотя вчера заходил на сайты которые работают по ECH добавив дурку для cloudflare-ech.com. | 2024-11-06T17:19:09.807Z | ||||||||||||||||||||||||
Zanoni(Zanoni) |
| 2024-11-06T17:58:37.383Z | ||||||||||||||||||||||||
anon60595749 |
Сайт тянет контент (шрифты, CSS, и т.д.) с tpucdn.com. Этот домен с ECH. | 2024-11-06T18:09:32.778Z | ||||||||||||||||||||||||
easyone11 |
Понял, спасибо, хотя по идеи должен был помочь обход cloudflare-ech.com, но проще отключить видимо. | 2024-11-06T18:11:31.724Z | ||||||||||||||||||||||||
Atrusovmeister(Atrusovmeister) | Ottplayer.tv тоже там же? | 2024-11-06T21:35:15.678Z | ||||||||||||||||||||||||
favicon |
Нет, я делал Purge Everything, не помогло. Но потом я переделал как подсказал mlebd, Включил TLS 1.3 и отключил ECH через апи. | 2024-11-06T22:02:40.571Z | ||||||||||||||||||||||||
favicon |
Смотришь тут: или тут: | 2024-11-06T22:08:37.642Z | ||||||||||||||||||||||||
Mikanoshi | Куча сайтов легла:
Добавил cloudflare-ech.com в GoodbyeDPI, ВСЕ снова заработали лол, даже проксировать не пришлось)) | 2024-11-06T22:23:37.903Z | ||||||||||||||||||||||||
denium | Или можно этой прогой чекнуть. | 2024-11-06T22:57:48.273Z | ||||||||||||||||||||||||
Ori |
Для этих целей я другую прогу писал, вот тут. А вот тут батник для проверки только одного адреса.
| 2024-11-06T23:07:47.368Z | ||||||||||||||||||||||||
naruto522ru | Мы все такие молодцы, но давайте будем реалистами из всех вариантов, который пользователь быстро и просто может решить проблему это просто отключить ECH в браузере, но давайте подумаем данный вариант не везде применим поскольку приложения-клиенты вот там так не прокатит | 2024-11-07T00:30:53.989Z | ||||||||||||||||||||||||
joric(joric) | В новом хроме нету chrome://flags/#encrypted-client-hello. Сайты начинают открываться если сделать | 2024-11-07T01:57:09.969Z | ||||||||||||||||||||||||
naruto522ru |
Прикол в том, что с VPN это не катит если занести. | 2024-11-07T02:08:11.906Z | ||||||||||||||||||||||||
naruto522ru | видел конечно способ через dnsmasq он сильно специфический требует шлюза с dnsmasq или роутера с openwrt в котором уже есть dnsmasq. А ну в браузере не включать сам DoH. Я так потыркал вроде работает с вкл ECH в браузере, но выключенным DoH в самом браузере. Сайт по проверке ECH говорит, что он не поддерживается и сайты проблемные открываются. | 2024-11-07T02:09:46.783Z | ||||||||||||||||||||||||
naruto522ru |
Если бы только в хроме и браузере была проблема. Есть IDE, которые в большей части на электроне написаны и IDE могут, что-то “дергать” из сети. А там привет ресурс на котором ECH включен. И все это надо сделать типа какой-нибудь “походный” вариант т.к не будет у тебя шлюза с соответствующим ПО или роутера. Поэтому и пишу дело не только в браузере. Не совсем ясно может быть ech запись быть у домена, но не использоваться ECH. По типу как AAAA-запись у домена, но не факт, что сервер на соответствующем IPv6-адресе слушает порт. | 2024-11-07T02:32:44.336Z | ||||||||||||||||||||||||
dartraiden(Alexander Gavrilov) |
Firefox 129:
| 2024-11-07T05:16:06.803Z | ||||||||||||||||||||||||
kencarson |
Да, привлечёт внимание, и помимо обычного массового сканирования будут таргетно проверять. Касательно того есть ли у них такая технология - она есть у некоторых братушек, опыт которых активно перенимается. Я слышал, что DPI даже может автоматически палить reality по двойным запросам. Смогут ли они даже в приближенном будущем чето найти, вопрос один, другое дело - это постоянно находиться под подозрением, рано или поздно пробьют. | 2024-11-07T05:35:39.468Z | ||||||||||||||||||||||||
roman_sv |
А не надо юзать реалити. Надо свой домен делать. И если будет стабильно работать, то оставлять TLS Padding + мультиплекс. У меня друг в китай скоро полетит. Попробуем протестить их фаерволл, если у него время будет. Но проблема в том, что фаер ситуативно работает и не везде. Как и у нас. | 2024-11-07T06:18:19.510Z | ||||||||||||||||||||||||
kencarson | Тут поинт в том, что реалити одна из самых продивнутых схем, но по одним лишь повторым запросам dpi ловит такие тонкости, чего уж говорить про днс. | 2024-11-07T06:31:06.395Z | ||||||||||||||||||||||||
roman_sv | Я не думаю, что ТСПУ будут особенно усложнять в этом направлении. Мафиозно-кгбшная шобла может себе позволить более радикальные решения на десятилетия вперед. И когда пилить на модернизации ТСПУ им надоест, они пойдут в сторону повсеместного МИТМ. Ну то есть каждое клиентское устройство будет вылезать в интернет через МИТМ виртуалочку в локалке прова. Ты сам добровольно поставишь паленый сертификат, сам установишь паленый браузер от маилру или яндекса. И тут уже снимаются все проблемы щита и меча. Потому что твой TLS станет открытой книгой для этой митм виртуалки. Она будет полностью анализирвать весь трафик. Можно будет даже отдельные странички на https сайтах банить. или анализировать по ключевым словам твои коменты на любых сайтах и тут же автоматом присылать штраф тебе в госуслуги. Конечно будут издержки. И если ты владелец бизнеса или учёный или гебнявый или чиновник. То тебе выдадут шлюз в обход митма. И даже с выходом в глобальный интернет без фильтров через условный селектел. Этот выход в интернет будет по ВПН, который конечно будут тоже анализировать. Но фильтровать не будут, чтобы все работало стабильно. И будешь платить x50 за такую привилегию. Куда-то в ту сторону всё это поедет. Я не особо шарю, но я художник, я так вижу. | 2024-11-07T06:44:45.067Z | ||||||||||||||||||||||||
kencarson | Не ну с таким размахом можно и в принципе общий доступ к интернету запретить, и выдавать только на лицензионные компы, с гос ОС и запретом к чему либо вообще прикасаться. | 2024-11-07T06:49:19.512Z | ||||||||||||||||||||||||
zzr |
походу хабр туда же из-за етого я понтдазревайю | 2024-11-07T06:56:03.149Z | ||||||||||||||||||||||||
Aleksandr75ru | Как-то слишком депрессивно. | 2024-11-07T07:06:38.419Z | ||||||||||||||||||||||||
dartraiden(Alexander Gavrilov) |
Если у пользователя не включён DoH, то пользователь даже не заметит проблемы, т.к. ECH не работает. У многих он включён? Даже, если у многих включён, пользователь, скорее, выключит DoH, чем откажется от посещения сайта, ведь, как известно, если какая-то мера безопасности мешает и отключаема, она будет выключена при первой же возникшей проблеме. | 2024-11-07T07:08:30.427Z | ||||||||||||||||||||||||
Aleksandr75ru | Сложно сказать. | 2024-11-07T07:13:44.650Z | ||||||||||||||||||||||||
dartraiden(Alexander Gavrilov) | Для GDPI, в принципе, это не обязательно, т.к. там есть dns-redir | 2024-11-07T07:15:33.482Z | ||||||||||||||||||||||||
Aleksandr75ru | Не знал про это. Думал, что там нужно какой-то отдельно ключ прописывать. Что-то вроде --dns-addr. | 2024-11-07T07:17:51.051Z | ||||||||||||||||||||||||
zzr | хотя не, не из-за етого, там нет ech’а в записи | 2024-11-07T07:22:44.571Z | ||||||||||||||||||||||||
Aleksandr75ru | Проверил Habr. | 2024-11-07T07:24:42.564Z | ||||||||||||||||||||||||
naruto522ru |
Ну у тех кто недавно браузер поставил DoH по-умолчанию включен в FF\Chrome | 2024-11-07T07:26:09.610Z | ||||||||||||||||||||||||
kencarson | Он работает только при системном DNS подразумевающем такую опцию. У провайдерских DNS нету doh, и даже у Яндекса он пропал | 2024-11-07T07:40:14.297Z | ||||||||||||||||||||||||
roman_sv | Да хватит уже про DOH говорить. Поскрольте выше. Уже выяснили, что браузеры начинают работать с ECH без DOH, даже с провайдерским днс. Проверил на firefox в linux - ECH работает с ДНС от ТТК, который получен по DHCP. | 2024-11-07T07:47:40.227Z | ||||||||||||||||||||||||
naruto522ru | Да, ладно, а я и Блокировка (замедление) ECH Cloudflare - #210 by dartraiden вот не согласны. | 2024-11-07T08:00:30.095Z | ||||||||||||||||||||||||
naruto522ru |
Он тебе еще не то нарисует | 2024-11-07T08:02:10.074Z | ||||||||||||||||||||||||
iosexception(Dan) | До 129 версии в лисе так и было. Сейчас же она запрашивает ech даже если стоит системный “незащищенный” резолвер, а doh в настройках выключен. По крайней мере, на линуксе встретил именно такое поведение | 2024-11-07T08:13:21.009Z | ||||||||||||||||||||||||
naruto522ru | Ну, а в Windows 10 при тех же настройках не работает он. ![]() Млять и вообще три варианта выбора ну это зашквар. Должно быть 2. 1. Вкл и поле выбора поставщика с возможностью вписать свой 2. Выкл т.е использовать стандартный на 53-ом порту. | 2024-11-07T08:19:23.871Z | ||||||||||||||||||||||||
iosexception(Dan) | Не дотыкали вероятно пока еще. Ну да еще появится, как смержат все пр)) | 2024-11-07T08:23:23.146Z | ||||||||||||||||||||||||
Cryptor(Sergey) |
На Windows 10 - ESNI работает только в связке с Doh. | 2024-11-07T08:41:30.573Z | ||||||||||||||||||||||||
roman_sv | Я ещё раз проверил всё. И расклад такой на данный момент. Firefox на Linux:
Firefox на Android:
! DOT прописывается в ведро так: “ Хром на linux:
У хрома на android:
UPD
PS Венды в хозяйстве нет. Сами проверяйте и дополняйте. | 2024-11-07T08:50:55.776Z | ||||||||||||||||||||||||
MayanKoyote(Mayan Koyote) | MV2 можно “протянуть” до июня 2025. Но есть ньюансы. | 2024-11-07T09:16:04.388Z | ||||||||||||||||||||||||
anon60595749 | “Рекомендуем отказаться от CDN-сервиса CloudFlare” https://cmu.gov.ru/ru/news/2024/11/07/рекомендуем-отказаться-от-cdn-сервиса-cloudflare/ | 2024-11-07T09:24:02.221Z | ||||||||||||||||||||||||
manwithbox(manwithbox) |
| 2024-11-07T09:33:11.610Z | ||||||||||||||||||||||||
naruto522ru |
Спорим, что это же “толкнут”, когда заблокируют Play Market. Ну так че млять есть Рустор это типа правильней будет, его использование. Еще и движ сделают, а там VPN есть, которые Google отказалась удалять. Ну типа не такие податливые как яблочники Короче вменяемого ответа можно было и не ожидать. С такой риторикой можно все и вся было заблокировать | 2024-11-07T09:33:17.839Z | ||||||||||||||||||||||||
zidan84(Zidan84) | https://www.icy-veins.com может кто-нибудь открыть, уже второй день не открывает без vpn? | 2024-11-07T09:44:49.324Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Самое смешное, что которое не является технологией обхода. | 2024-11-07T09:45:15.861Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Работает. | 2024-11-07T09:45:59.321Z | ||||||||||||||||||||||||
Aleksandr75ru | Открыл. Провайдер МТС, DoH включен. | 2024-11-07T09:46:28.703Z | ||||||||||||||||||||||||
Cryptor(Sergey) |
Поэтому написано - “для обхода”. | 2024-11-07T09:48:49.384Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Как можно использовать технологию не для обхода для обхода? | 2024-11-07T09:50:36.043Z | ||||||||||||||||||||||||
zidan84(Zidan84) | А DoH какой у вас? У меня провайдер ростелеком Калининград, DoH https://dns.controld.com/comss . | 2024-11-07T09:50:44.704Z | ||||||||||||||||||||||||
Aleksandr75ru | Проверил 3 DoH. Google, CF и Comss. Везде работает, но только со средством обхода блокировок. Сам сайт у меня не добавлен, только cloudflare-ech.com. Попробуйте тоже его бахнуть в список. | 2024-11-07T09:53:12.520Z | ||||||||||||||||||||||||
kencarson | оппа, наш | 2024-11-07T09:53:33.516Z | ||||||||||||||||||||||||
Cryptor(Sergey) |
Ну вот так легко. Какая-то технология сделана для одного, но используется в итоге для обхода блокировок. ESNI - технология шифрования поля SNI, чтоб сохранять конфиденциальность от третьих лиц, а то что это помогает также обмануть ящик цензуры, так это сопутствующий приятный бонус. | 2024-11-07T09:57:46.103Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Не, я не про то, что это. Я про то, как это формулирует роспозор. | 2024-11-07T10:00:06.745Z | ||||||||||||||||||||||||
Cryptor(Sergey) | Наши чиновники и в частности РКН, вообще богаты на заявления которое можно сразу отнести в категорию - ВЫСЕРЫ. Напомню, что ютуб замедлился, потому-что внезапно деградировало оборудованию гугла, т.к. перестали обслуживать. Вот так внезапно наступила деградация зарубежных сервисов… Правда когда включаешь ВПН или спуфер, то случается чудо, оборудование внезапно оживает. | 2024-11-07T10:06:10.465Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Потом окажется, деградировал интернет, потому что пираньи погрызли подводные кабели | 2024-11-07T10:07:37.767Z | ||||||||||||||||||||||||
Hentay(Hentay) | Торренты виноваты | 2024-11-07T10:12:54.401Z | ||||||||||||||||||||||||
Zanoni(Zanoni) | Раз официально сообщили - значит, решили технологию блокировать серьезно и навсегда, ведь она мешает цензуре… | 2024-11-07T10:17:51.461Z | ||||||||||||||||||||||||
c5sa(c5sa) | Ведь если cloudflare такой весь из себя противодействующий блокировкам, они могут и зарандомизировать этот внешний sni, вот это весело будет. Или позволят вручную выбирать, не уверен, позволяет ли стандарт такое. | 2024-11-07T10:18:16.857Z | ||||||||||||||||||||||||
Cryptor(Sergey) |
Я не думаю что они противодействуют блокировкам, это не их задача. Они внедряют современные технологии которые повышают конфиденциальность и безопасность пользователя в интернете, вот это их задача. Ну а бонусом идёт к этому “ломание” цензуры авторитарных стран/государств. | 2024-11-07T10:21:59.218Z | ||||||||||||||||||||||||
c5sa(c5sa) | Да это ясно | 2024-11-07T10:24:44.058Z | ||||||||||||||||||||||||
anon9001(anon) |
Иронично
Найс левый сайт. Такое еще они хотят чтобы в серьез воспринимали?
Значит не совершенная у Вас технология. Работайте ребята, щас работы нету ни у кого, а у вас есть поэтому не нойте, силовички. | 2024-11-07T10:30:47.049Z | ||||||||||||||||||||||||
Stavenc | Понятно, почему регулярно отваливается sponsor block. https://sponsor.ajay.app тоже использует ECH… | 2024-11-07T10:35:30.747Z | ||||||||||||||||||||||||
anon60595749 |
Вопрос к админам сервера. Он не отдает промежуточный GlobalSign GCC R3 DV TLS CA 2020. Сам сертификат верный. | 2024-11-07T10:43:10.689Z | ||||||||||||||||||||||||
zzr | ну хз | 2024-11-07T10:44:37.685Z | ||||||||||||||||||||||||
Zanoni(Zanoni) | У меня тоже все перечисленные сайты в Хроме открываются, поэтому не вижу смысла отключать ЕСН. | 2024-11-07T10:47:40.510Z | ||||||||||||||||||||||||
Hentay(Hentay) | Ну ждем кто победит Хабр сильно уронился и до сих пор как-то странно пашет или лежит… полулежападает | 2024-11-07T10:50:46.575Z | ||||||||||||||||||||||||
Aleksandr75ru | Мы же про эти сайты говорим? Если да, то вот скрины. | 2024-11-07T10:54:20.857Z | ||||||||||||||||||||||||
Hentay(Hentay) | Значит у части он стал не доступен по какой-то причине Правда у меня хабростор не отвечает ни на пинги, ни на прокси | 2024-11-07T11:01:45.048Z | ||||||||||||||||||||||||
roman_sv |
У меня в волгоградской области на ростелекоме плеймаркет уже в бане месяца 3-4. Не только сайт, а именно приложение на ведре. Не качается ни одного байта apk. Только UI показывает и поиск. | 2024-11-07T11:08:23.797Z | ||||||||||||||||||||||||
uwu(uwu) |
а hetzner открывается? | 2024-11-07T11:09:10.230Z | ||||||||||||||||||||||||
anon9001(anon) | Хабр бесхребетные трусы и реддит ваннабис которые жопу подложили под силовиков и вместо того чтобы дать себя заблокировать как положено с честью, раздвинули ягодицы ркновской дубинке. | 2024-11-07T11:09:10.482Z | ||||||||||||||||||||||||
naruto522ru |
Ого впервые слышу, а да забыл же с Web тоже там какие-то пляски типа в полузаблокированном состоянии. | 2024-11-07T11:10:20.694Z | ||||||||||||||||||||||||
Hentay(Hentay) | Бывает Много кто лег под все… | 2024-11-07T11:10:32.423Z | ||||||||||||||||||||||||
l8l | Хаха и при том там столько ярой либерды в комментах, ненавидящих “рашку”, читали, знаем. До войны так точно было, щас плевать. | 2024-11-07T11:11:28.998Z | ||||||||||||||||||||||||
naruto522ru | не беда зеркала есть | 2024-11-07T11:13:36.790Z | ||||||||||||||||||||||||
rewhat | (del) | 2024-11-07T11:17:30.510Z | ||||||||||||||||||||||||
roman_sv | Веб уже сто лет в бане. Еще например | 2024-11-07T11:21:33.949Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Ну удачи им с блокировкой. Саму технологию они заблокировать не в состоянии, ведь нельзя блокировать то, что не палится. А блокировку сервисов, предоставляющих эту услугу, можно спокойно обойти. | 2024-11-07T11:23:03.351Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Б - безопасность | 2024-11-07T11:25:25.257Z | ||||||||||||||||||||||||
Cryptor(Sergey) |
Это ошибочно так думать. Коробку можно настроить так, что она просто не будет пропускать пакеты с зашифрованным SNI. Пакеты с ESNI отбрасываются и всё. Даже как-то странно, что они решили с этим бороться путём блокировки сервиса который обеспечивают работу этой технологии. | 2024-11-07T11:28:04.700Z | ||||||||||||||||||||||||
manwithbox(manwithbox) |
И вся банковская сеть рухнет. На кукан тогда присядут все. Эта технология используется самим РКН, вот и всё. | 2024-11-07T11:33:28.160Z | ||||||||||||||||||||||||
zzr |
китай блочит целиком tls1.3 вполне себе с 20го года | 2024-11-07T11:37:54.831Z | ||||||||||||||||||||||||
misamisa | на местном провайдере тоже было такое, неделю месяц назад, сейчас пока все работает | 2024-11-07T11:39:07.525Z | ||||||||||||||||||||||||
zzr |
не открывается его давно уже над ъе бнули жеш | 2024-11-07T11:39:30.463Z | ||||||||||||||||||||||||
rick646236423623(Rick646236423623) | Как это повлияет на работу впн? Тот же “антизапрет на своем сервере” юзает днс клаудфлейр, он отвалится? | 2024-11-07T11:42:55.755Z | ||||||||||||||||||||||||
irregular-circle | Китай НЕ блочит tls 1.3 | 2024-11-07T11:43:14.019Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Не блочит. Это кто-то давно вкинул дезу, толком не разобравшись. Там блокируют пакеты с конкретным байткодом, но так как эта часть пакета рандомная, “великий китайский дырявый файрвол” просто их не видит. | 2024-11-07T12:06:58.705Z | ||||||||||||||||||||||||
roman_sv | А как китай собирается продолжать фильтрацию доменов? | 2024-11-07T12:08:34.804Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Да никак. | 2024-11-07T12:11:48.559Z | ||||||||||||||||||||||||
dartraiden(Alexander Gavrilov) |
Конкретно такой сетап бесполезен, т.к. провайдерский DNS, если провайдер не совсем идиот, просто не резолвит “запрещёнку” или резолвит в адрес своей заглушки. Таким образом, до DPI и обнюхивания SNI дело даже не дойдёт. | 2024-11-07T12:30:01.335Z | ||||||||||||||||||||||||
dartraiden(Alexander Gavrilov) |
Возможно, это баг в Firefox. | 2024-11-07T12:31:42.758Z | ||||||||||||||||||||||||
roman_sv | Да речь не о том, чтобы юзать ECH для обхода блокировки. А о том, когда он точно выключен. Я это проверял. | 2024-11-07T12:46:18.758Z | ||||||||||||||||||||||||
electrifying | Кто ответит, вот у меня doh/dot и обычные plaintext dns прописаны на роутере кинетик, если в хроме или фаерфоксе вырублю полностью безопасный dns у меня все равно ech будет юзатся или нет? В Windows 11 в свойствах сети в разделе назначение dns сервера стоит:Автоматически(DHCP). А если зайти в свойства подключения то в разделе dns-серверы ipv4 показывает айпи адрес роутера с припискрй без шифрования | 2024-11-07T13:04:23.138Z | ||||||||||||||||||||||||
naruto522ru | Ахахах мне уже все равно, что там в блоке P.S Ну и да все это благодаря людям, которые на удивление тут есть все. Их вклад в мое творение тоже. Список делается благодаря ихним наработкам и утилитам. | 2024-11-07T13:21:55.790Z | ||||||||||||||||||||||||
Zanoni(Zanoni) | Что-то у меня лег и не работает Рутрекер. Буквально часа два назад перестал открываться на Запрете. Через прокси-сервер открывается. | 2024-11-07T13:33:05.919Z | ||||||||||||||||||||||||
Aleksandr75ru | Может стратегия отвалилась? | 2024-11-07T13:34:15.806Z | ||||||||||||||||||||||||
Zanoni(Zanoni) | Опять (https://dns.controld.com/comss) подводит. С ним в браузере Рутрекер не открывался, перешел на другие DNS - Рутрекер летает. | 2024-11-07T14:16:22.719Z | ||||||||||||||||||||||||
zzr | ну хз токда ето получается что мы впереди планеты всей по блокировкам | 2024-11-07T14:16:36.306Z | ||||||||||||||||||||||||
Hentay(Hentay) | СпойлерКитай не обогнали Боремся с ветренными мельницами | 2024-11-07T14:20:59.873Z | ||||||||||||||||||||||||
l8l | Немного оффт: у друга не открывалась почта protonmail (не прогружалась страница после ввода пароля), он удалил сертификаты минцифры, которые ставил чтобы сайт сбербанка открывался, почта протон стала открываться. Возможно какое-то совпадение. | 2024-11-07T14:21:52.663Z | ||||||||||||||||||||||||
Hentay(Hentay) | СпойлерЭти сертификаты возможность нас послушать. | 2024-11-07T14:25:29.047Z | ||||||||||||||||||||||||
ahcbqflpa |
Зачем, правда, их вообще ставить, если можно ткнуть “перейти на сайт”. | 2024-11-07T14:37:06.411Z | ||||||||||||||||||||||||
denium |
Нашёлся способ с политиками.
Для браузера Brave путь будет: А на винде правится в реестре. Обязательно только для win11. В win10 достаточно отключить DoH. Хотя, я бы и в win10 отключил ECH, но не отключал DoH. Зачем провайдеру днсы в чистом виде показывать? Если быть точнее, ECH (более новая технология). В ECH SNI есть всегда, но фейковый. Вот его и заблокировали (самую популярную реализацию от Cloudflare). | 2024-11-07T14:49:17.754Z | ||||||||||||||||||||||||
Aleksandr75ru | Там даже описана PowerShell команда, главное, от админа запускать, а то не пропишет ключи. Спойлер$PATH = "HKLM:\Software\Policies\Google\Chrome" С другой стороны, нужно ли отключать ECH. Не влияет ли это на безопасность подключения? Я в том плане, что сейчас мы дурим адрес CF и соединение, вроде, продолжает быть зашифрованным ECH или я дурак и вообще не так все понимаю? Проверить успешность процедуры можно следующим образом. Вбиваете в адрес chrome://policy/, осуществляете поиск EncryptedClientHelloEnabled, значение должно быть на false. Если хотите все вернуть обратно, то в редакторе реестра данный ключ будет находиться по адресу - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome | 2024-11-07T15:05:18.537Z | ||||||||||||||||||||||||
denium | Если есть дурение, конечно, ECH будет более приватным (провайдер не будет знать какие сайты вы посещаете, будет видеть только IP Cloudflare). Тогда лучше DoH и ECH не отключать. | 2024-11-07T15:08:11.872Z | ||||||||||||||||||||||||
sysliklol199(полное) | freetp ru тоже пал, с org заходит ( | 2024-11-07T15:52:15.437Z | ||||||||||||||||||||||||
uwu(uwu) |
почти угадал) судя по всему связано с этим: (у меня правда все работает) | 2024-11-07T16:04:47.685Z | ||||||||||||||||||||||||
zzr | вот оно чё, значит хабор там хостица | 2024-11-07T16:15:53.862Z | ||||||||||||||||||||||||
CyberTailor(CyberTailor) |
Не могут, потому что для внешнего SNI нужен валидный сертификат, а бесконечного числа лишних доменов у клаудфляры всё-таки нет. | 2024-11-07T16:17:32.877Z | ||||||||||||||||||||||||
denium |
Что-то с ungoogled chromium это не работает. В chrome://policy/ пусто. При этом, кто тестит под варпом, имейте в виду, что там ech почему-то вообще не работает. | 2024-11-07T16:20:14.494Z | ||||||||||||||||||||||||
Aleksandr75ru | А разве | 2024-11-07T17:25:24.594Z | ||||||||||||||||||||||||
CyberTailor(CyberTailor) |
| 2024-11-07T17:27:25.292Z | ||||||||||||||||||||||||
tango |
Is there also an announcement from Roskomnadzor? I know only of the notice from ЦМУ ССОП linked at Обсуждение: Блокировка (замедление) ECH Cloudflare - #227 by Istr. EDIT: Ok, I see at Роскомнадзор рекомендует отключить шифрование ECH от Cloudflare или перейти на отечественные CDN that ЦМУ ССОП is “Roskomnadzor’s monitoring center.” | 2024-11-07T17:45:14.500Z | ||||||||||||||||||||||||
tango | https://ntc.party/t/12837 says “Блокировка осуществляется, если в пакете ClientHello установлен SNI = I assume that an ECH extension means, at least, ExtensionType 0xfe0d from draft-ietf-tls-esni-22. Do you know if any other ExtensionTypes are affected?
The older ExtensionTypes may not interoperate with the current Cloudflare ECH deployment – but by checking for packet dropping it still should be possible to see whether they are being specifically blocked. With the blocking of ESNI in China back in 2020, only the specific ExtensionType 0xffce was blocked, not others like 0xff02, 0xff03, and 0xff04. (However, I consider the tests that were done back then inconclusive, because Client Hellos containing the other ExtensionTypes were not well-formed.) | 2024-11-07T18:18:32.101Z | ||||||||||||||||||||||||
tango |
Can you say more about this? What I understand is that browsers will eventually retry the connection without ECH (with plaintext SNI).
Do I understand correctly about browsers falling back to non-ECH? | 2024-11-07T18:28:20.417Z | ||||||||||||||||||||||||
Texsis | У меня адгуард с DOH поднят уже давно, но хост не особо публичный и только с определенным идентификатором разрешено подключение. Вроде пока все норм. | 2024-11-07T18:52:28.415Z | ||||||||||||||||||||||||
Drebi(Дмитрий) | ECH - это обход блокировок на стороне сервера. Мы сейчас обсуждаем способы выключения обхода блокировок (DOH, ECH, HTTP3). Дальше только инструкции об отключении обхода блокировок на стороне пользователя (GoodbyeDPI, Zapret) и шифрования TLS (замок в браузере), потому что с ними перестанет работать интернет вообще, как сейчас не работает с ECH. | 2024-11-07T19:12:40.930Z | ||||||||||||||||||||||||
tango |
@ValdikSS do you know whether packets are dropped in both directions, or in only one direction? On the client, do you continue to see TCP ACK packets from the server, after the triggering ClientHello is sent? | 2024-11-07T19:17:02.398Z | ||||||||||||||||||||||||
l8l | Аллёё, отключая ECH вы палите SNI | 2024-11-07T19:28:49.821Z | ||||||||||||||||||||||||
Hentay(Hentay) | “КГБ на телефоне, говорите” Каждый поступает и решает как поступать на свой страх и риск. А так-же приключения на жопу. | 2024-11-07T19:33:26.268Z | ||||||||||||||||||||||||
l8l | Я на ютюбе путешествия смотрю и научные видео, так что ещё большой вопрос кого надо на бутылку сажать, того кто посмотреть хочет или помешать. Ни к месту кгб ваше, вон навезли навоза, а они теперь ловят этих мастурбеков, зато работой на годы вперёд обеспечены. | 2024-11-07T19:36:38.306Z | ||||||||||||||||||||||||
denium |
Chrome 130.0.6723.116 (официальная сборка от Google) с DoH в браузере (1.1.1.1) на Linux не пытается установить соединение без ECH даже после нескольких нажатий “Обновить” (кроме того, и без кнопки “Обновить” он сам безуспешно пытается восстановить коннект). Таймаут после 1 минуты, а потом ошибка. Кстати, интересно, что удаление или изменение настроек в /etc/opt/chromium/policies/managed/ech.json браузером отрабатывается не сразу. Какое-то время сайт может браться из кэша или игнорироваться настройка. В общем, замечена некоторая непослушность при измении параметра. Браузер, конечно, перезапускал. | 2024-11-07T23:46:23.604Z | ||||||||||||||||||||||||
uwu(uwu) | from my expierence - yes. I temporarely disabled cf-ech in “zapret” for testing windows 10 ltsc / firefox / cf dns on router / cf doh in browser Спойлерthen after few retransmissions it gets RST Спойлерthen second attempt with same actions (correct word?) Спойлерand then it opens with hwinfo client hello after 40 seconds Спойлерim not very expierenced with wireshark, thats just what I see. also cant say same for GH today, probably there was my mistake in previous testing (with doh disabled in chrome) | 2024-11-08T00:17:26.625Z | ||||||||||||||||||||||||
denium | Chrome 130.0.6723.116 (официальная сборка) без DoH в браузере на Linux после нескольких нажатий “Обновить” отключает ECH для домена. @uwu похоже Firefox нарушает стандарт. Кстати, DoH в Firefox принудительно или дефолт? | 2024-11-08T00:24:20.027Z | ||||||||||||||||||||||||
uwu(uwu) |
у меня trr mode = 3 использовать только TRR (если ты про это спрашиваешь) | 2024-11-08T01:40:33.745Z | ||||||||||||||||||||||||
naruto522ru |
т.е иными словами, чтобы получить доступ к сайту с ECH с не выключенным ECH в браузере\системе надо такие сайты в VPN гнать? | 2024-11-08T02:21:22.788Z | ||||||||||||||||||||||||
naruto522ru | это уже масштаб трагедии другой. ну ладно по своим закладкам пройтись еще можно закинуть в VPN, а как же с любыми другими. Че млять два списка делать? один чисто заблокированных, а другой “заблокированных”, но из-за ECH не выключенным хозяином сайта. Ну так лол второй перегонит первый по размеру. | 2024-11-08T02:28:04.386Z | ||||||||||||||||||||||||
naruto522ru | В одной из новостей
| 2024-11-08T03:21:23.116Z | ||||||||||||||||||||||||
Aleksandr75ru | Немного запоздалый ответ.
Спойлер
Но не советую 3-й способ, так как при нем ISP продолжает оставаться Cloudflare, но вот страна становится - РФ, Москва при тестах. | 2024-11-08T04:12:07.014Z | ||||||||||||||||||||||||
BorisP | 2024-11-08T04:56:55.175Z | |||||||||||||||||||||||||
naruto522ru | Еще мало кто обратил, но полетели сайты не только использующие использующие CDN услуги от CF, но “Cloudflare Workers, a serverless computing” их конечные ссылки используют тоже ECH. Как отключить в настройках worker я не нашел (и скорее всего никак). Вот так кто-то за бесплатно что-то заплоил, а RKN приходит и ломает. | 2024-11-08T05:59:51.325Z | ||||||||||||||||||||||||
naruto522ru | Хотя на Linux ровно обратное происходит там работает. Следовательно блокировка работает там. Ну то есть подтверждаю скрины людей выше. | 2024-11-08T07:50:10.003Z | ||||||||||||||||||||||||
Frrienwrvale |
Так у меня что-то не сработало.
| 2024-11-08T07:51:53.167Z | ||||||||||||||||||||||||
Ori | Так это для винды строка была | 2024-11-08T09:19:16.865Z | ||||||||||||||||||||||||
anvil | Отключать ECH в самом браузере, для меня, не очень удобно. Для работы ECH требуется запись в DNS в поле HTTPS (Type 65). Это новый тип DNS записи, утвержден год назад. Для ее получение совсем не обязательно использовать
Так же в Firefox можно посмотреть это поле здесь about:networking#dnslookuptool. В этой записи должен находится
У себя я через dnsmasq заблокировал запись HTTPS в DNS ответе, теперь у меня не работает ECH и не надо настраивать каждый браузер. Это можно сделать прописав в конфиг Такой метод даже указывается CloudFlare для отключения ECH. Другим методом, они называют, отключение DoH в Firefox, но это уже не работает как указывает сама Mozilla в своей wiki. Хорошие сайты для тестирование включенного ECH: Они не используют домен | 2024-11-08T09:36:52.494Z | ||||||||||||||||||||||||
kencarson | если кому интересно, в браузере Vivaldi выключен ECH, если он на уровне ОС не включен. | 2024-11-08T10:06:06.239Z | ||||||||||||||||||||||||
naruto522ru | Ну так выходит для Windows-версии баг. Почему-то из Edge при тех вводных получает ECH не используя DoH в браузере т.е из системных DNS берется информация. | 2024-11-08T11:20:24.834Z | ||||||||||||||||||||||||
Frrienwrvale | Мобильный Edge тоже ECH юзает без DoH. | 2024-11-08T12:30:17.898Z | ||||||||||||||||||||||||
Frrienwrvale | Ну значит теперь и для Линукса есть) | 2024-11-08T12:32:59.729Z | ||||||||||||||||||||||||
naruto522ru | Вроде мобильный FF не. Да там и параметров нет под DoH. В общем на мобиле он никак не реализован. Да и переезжали на новый движок от того он лишился дополнений, но вот ситуация выправляется. | 2024-11-08T12:33:46.365Z | ||||||||||||||||||||||||
easyone11 |
круто, тут как раз кто то жаловался что отключать в браузере не вариант по каким то причинам. | 2024-11-08T12:38:22.651Z | ||||||||||||||||||||||||
l8l | Кто нибудь знает как firefox заставить работать с включенным ECH если отключен DoH? | 2024-11-08T13:30:33.058Z | ||||||||||||||||||||||||
naruto522ru | ну так перейти на линукс =) | 2024-11-08T14:22:05.613Z | ||||||||||||||||||||||||
naruto522ru | Лол и че так ломанулись все включать ECH в браузере если заблокированные сайты (и не только,видать, в стане заблокированных быть не хотят) выключают поддержку ECH с сайта. | 2024-11-08T14:26:30.801Z | ||||||||||||||||||||||||
basososas | Перейти на одну из поддерживаемых ОС.
| 2024-11-08T14:30:55.518Z | ||||||||||||||||||||||||
naruto522ru | thk за ссылку там ответ на вопросы.
Под предыдущими имеется ввиду предыдущие версии Firefox. | 2024-11-08T14:37:31.233Z | ||||||||||||||||||||||||
lebogonso | В zapret ech-cloudflare есть, всё норм, но новые ранее не открытые ECH сайты в хром открывает через ~20+ сек а иногда и со 2 раза, у всех так? хорошая технология, не буду отключать но вот бы был метод более быстрый | 2024-11-08T22:07:45.723Z | ||||||||||||||||||||||||
User69 | Safari вообще не поддерживает ECH | 2024-11-09T07:40:17.216Z | ||||||||||||||||||||||||
manwithbox(manwithbox) | Просто оставлю это здесь, может быть уже обсуждалось, но мне лень читать километры текста Отключение ECH в Хроме можно сделать. В реестр добавить
В лисе в about:config просто отключить network.dns.http3_echconfig.enabled | 2024-11-09T11:05:55.387Z | ||||||||||||||||||||||||
cimon357(Elena) | Они на этом не остановятся. Вот что депутат Горелкин в своем Телеграме пишет. Кто-нибудь может пояснить простым языком, чем это грозит для простого пользователя? И как это можно остановить? "В списке «нерекомендованных» сервисов кроме Cloudflare могут оказаться и другие провайдеры облачных и хостинг-услуг: например, Akamai и CDN77. По моим данным, запущен процесс выявления компаний, которые причастны к распространению на территории РФ деструктивного контента, информации, дискредитирующей вооруженные силы России, размещению сайтов нелегальных онлайн-казино. В ходе этой работы будут выявляться также российские юрлица, которые выступают реселлерами услуг этих компаний". | 2024-11-09T11:16:25.547Z | ||||||||||||||||||||||||
roman_sv |
Там два параметра. | 2024-11-09T11:17:25.528Z | ||||||||||||||||||||||||
denium | Очебурнечивают потихоньку. Пересаживают российские сайты на местные хостинги. И не только владельцев сайтов, но и (пока некоторым) пользователям намекают. В этом есть смысл. Независимые СМИ не только нейтрально вещают правду, но и пропагандируют против власти. Т.е. власти борятся и с правдой и с настроем населения против себя. Второе, я думаю, гораздо важнее для них. Правда, ну что правда? Вот, в википедии правда, но народу ещё надо разобраться в тонне контента. | 2024-11-09T11:21:18.149Z | ||||||||||||||||||||||||
roman_sv | Вчера до Google DNS в течение часа не достукивалось. Ни по udp, ни по DOH. PS: Ответы от 8888 подменяются, если без шифрования резолвить. Отправляет на заглушку, если домен запрещенный. 1111 почему-то не портят. | 2024-11-09T11:45:08.102Z | ||||||||||||||||||||||||
Aleksandr75ru | Да, не так выше было. | 2024-11-09T11:48:37.216Z | ||||||||||||||||||||||||
manwithbox(manwithbox) |
То что я написал - абсолютно то же самое, но без повершелла. | 2024-11-09T11:53:11.597Z | ||||||||||||||||||||||||
Hentay(Hentay) | Старая тема… Очень старая тема. Щас предпочтительно не давать ДНС течь и подменять | 2024-11-09T12:06:07.487Z | ||||||||||||||||||||||||
roman_sv | Суть не в подмене, а что на час заблочили 8888. Ну или хз что это было. Если бы у гугла упало, наверное об этом бы написали где-то. Больше народу заметило бы. | 2024-11-09T12:14:05.892Z | ||||||||||||||||||||||||
Hentay(Hentay) | По твоим скриншотам прекрасно видно, что провайдер успел поиграться с твоими ДНС запросами. | 2024-11-09T12:22:09.863Z | ||||||||||||||||||||||||
Ritsu(Ritsu) |
Все сайты это какие? Подавляющее большинство зарубежных этого делать не собирается. | 2024-11-09T12:28:40.034Z | ||||||||||||||||||||||||
denium |
Напишите им и попросите для русских, китайцев и других авторитарных стран отключить ECH. Покажите как. В идеале нужна зарубежная статья с описанием происходящего. | 2024-11-09T13:39:47.391Z | ||||||||||||||||||||||||
Hentay(Hentay) | Скорее будет прокся и редирект на сайт без ECH по GEO | 2024-11-09T13:41:20.099Z | ||||||||||||||||||||||||
easyone11 |
лольнул | 2024-11-09T13:59:07.077Z | ||||||||||||||||||||||||
PeFeD(Fedor) |
Дайте определение термину “простой пользователь”? Повышать интелектуальный уровень народных избранников. Порой принудительно. Вы всё не так перевели, “переводчик” из вас так себе. | 2024-11-09T18:02:13.613Z | ||||||||||||||||||||||||
naruto522ru | Ну так ответ очевиден убирают, те которые на русскоязычную аудиторию вещают, а не убирают западные, потому, что им все равно. | 2024-11-09T19:41:01.615Z | ||||||||||||||||||||||||
naruto522ru | Да даже больше скажу убирают даже те которые заблокированные (в реестре). Я с этого больше ржу. Будто если они отключат у просто обывателя в РФ заработает. А отключать по сути нет смысла им. | 2024-11-09T20:54:08.003Z | ||||||||||||||||||||||||
naruto522ru |
Да вот только казус это в обратную сторону работает. Эти блокировками убивают последнюю каплю патриотизма в людях. Тем, что он после рабочей смены не то что YouTube не посмотрит, а в Лампе на балансировщике фильмы не посмотрит все эти сайты по просмотру используют CDN сервисы. А молодёжь в Стиме свои игрушке не поиграет Steam полностью висит на Akamai и на других.
Другой вопрос изначально у них было выключено или Роскомнадзор их предупредил и они выключили. Хе-хе-хе вот бы щас визгу было бы) | 2024-11-09T22:36:22.690Z | ||||||||||||||||||||||||
IS2511 |
Так и случилось бы, если бы адопция была выше. Cloudflare правильно сделал что включил ECH всем по-умолчанию, это шаг в правильную сторону. И браузеры не просто так убирают эту настройку. Если у пользователей не будет выбора (браузер) и у хостера не будет выбора (Cloudflare), то задача исполнима. Это фактически насильная адопция безопасности и анти-цензура по отношению к пользователям в общем. Жаль что компаний которые могут и хотят быть на фронтире технологий так мало. Если бы достаточно высокий процент российского интернета был за ECH, то черные ящики действительно могли бы уйти в закат. К сожалению мы опоздали - РКН начало блокировать раньше чем это было бы фатально. Теперь весь долгий и мучительный прогресс в сторону более безопасного и свободного интернета будет откачен руками сисадминов у которых не будет выбора. Грустно это все… | 2024-11-10T04:09:49.873Z | ||||||||||||||||||||||||
kencarson | думаете, это прям проблема заставить всех владельцев сайтов в России перейти на локальный хостинг? Если даже не одним днём, то постепенно | 2024-11-10T04:43:47.216Z | ||||||||||||||||||||||||
IS2511 | Скорее отказаться от ECH в целом. Вопрос же не в локации хостинга, блокируется не IP CF, а именно технология, хоть и только к Cloudflare, как самому большому распространителю. Скрыть сайт за CF очень просто, подозреваю что это также одна из причин этой блокировки. Конечная цель ECH - полностью скрыть намерения пользователя на HTTP/TLS уровне. Да, постепенно внедрение ECH станет невозможно если оно будет так агрессивно блокироваться. Сама идея ECH противоречит целям РКН. Учитывая что сейчас еще и нормальных имплементации для ECH с гулькин нос, самостоятельная раскатка выглядит маловероятной. Да и зачем это компаниям? Как упражнение для сисадминов? Большой пользы от ECH для хостеров или компаний нет, тратить человеко-часы и деньги на это особого смысла нет. Вообще кажется что обязательность определенного cleartext host в обертке это уязвимость самой технологии в том числе. Интересно может ли Cloudflare разрешить указывать любой host, тогда опять можно было бы обходить ТСПУ мусором или легитимными хостами которые за CF и не заблочены… | 2024-11-10T05:01:38.088Z | ||||||||||||||||||||||||
kencarson | Ну я к тому, что даже если, как было упомянуто выше, ECH бы внедрялось намного активнее, и повсеместно бы использовалось, это всё равно бы никак не отразилось на ситуации, ибо это решается законодательно, обязуя всех использовать только угодные системы. | 2024-11-10T05:07:34.598Z | ||||||||||||||||||||||||
anon9001(anon) | В стиме было три сдна когда я логгировал его коннекты “just in case” после слухов его блокировки. Там: *.akamaihd.* *.cloudflare.* *.fastly.* Вообще все это и так следовало ожидать после санкций. Только полный кретин сейчас до сих пор играет в онлайн дрм клауд игры. Я думал что для большенства санкции будут поводом чтобы переходить на оффлайн игры без дрм которые никто у тебя не отнимет больше. А в недавних новостях сам габен подьвердил, что все что ты “покупаешь” в стиме, на самой деле нибуя не покупаешь. Собственно какие еще доказательства нужны что весь этот дрм клауд говно? 2010е вас сделали мягкими, диванными соплежуями. Вы думали что “купиь игру за 20р на распродаже было проще” чем быть русским воспитаным на бутлегах 90х и п2п сетях 2000х. А сейчас нас насильно пихнули на 25 лет назад в прошлое, поэтому все это возвращается. | 2024-11-10T07:45:10.028Z | ||||||||||||||||||||||||
easyone11 | После добавление cloudflare-ech.com в обход. заметил что часть сайтов на ECH всё равно не открывается, забил и убрал поддержку в хроме, но потом чё то решил посмотреть дебаг запрета. В логах заметил обращение к a.nel.cloudflare.com, добавил его в обход, сайты стали открываться. | 2024-11-10T08:10:13.486Z | ||||||||||||||||||||||||
iskander444 | После добавления cloudflare-ech.com в list-general.txt с сайтами проблем не наблюдается, но один ни в какую не работает - http://rustorka.com/forum/index.php . Самое странное то, что даже после отключения сервиса запрет очень изредка получается попасть на сайт, один раз из 20-ти наверно. При подключении просит поставить чекбокс проверки на человека от cloudflare, но не пускает ни в какую. На другом устройстве где запрета никогда не устанавливался (как и другие способы обхода блокировок) - всё отлично. Попробовал добавить в txt сайт a.nel.cloudflare.com о котором упомянул easyone11 - результата не дало. Что может помочь в данной ситуации? | 2024-11-11T15:46:50.519Z | ||||||||||||||||||||||||
manwithbox(manwithbox) |
Достаточно одного сетевого мейнстримера для форса технологий. И все эти ящики станут бесполезны. Только реконструкция tcp, а в текущих условиях в масштабах государства это не то, что нереально, этого в принципе существовать не может ближайшие много десятилетий. | 2024-11-11T16:20:29.381Z | ||||||||||||||||||||||||
easyone11 | у меня форум работает с запретом и включённым ech дурением | 2024-11-11T17:50:58.866Z | ||||||||||||||||||||||||
iskander444 | Попробую, спасибо за совет. Если не забуду - отпишусь получилось или нет) | 2024-11-11T18:03:52.093Z | ||||||||||||||||||||||||
iskander444 | Не подскажешь как быть? Пользую GitHub - Flowseal/zapret-discord-youtube, cloudflare-ech.com и a.nel.cloudflare.com прописаны в list-general.txt, как я описывал ранее - ничего не изменилось, не работает. Может быть что-то ещё стоит добавить? Или же лучше использовать этот GitHub - bol-van/zapret: DPI bypass multi platform? | 2024-11-11T18:15:33.494Z | ||||||||||||||||||||||||
KDS | Можно еще этот. | 2024-11-11T18:31:19.670Z | ||||||||||||||||||||||||
easyone11 | не помогу | 2024-11-11T18:36:01.981Z | ||||||||||||||||||||||||
minecrafter(Minecrafter) |
Дак и так весь замкад сидит на ПирСидском контенте. Ничего нового здесь нет | 2024-11-11T19:58:11.679Z | ||||||||||||||||||||||||
iskander444 | Довольно странно. Поставил, добавил DoH от comms (прописан прямо в роутере), там же гугловские dns. | 2024-11-12T11:17:36.547Z | ||||||||||||||||||||||||
KDS | А что с включенным обходом отвечает Это во всех браузерах так происходит? Может вы чего-то отключили да забыли потом? | 2024-11-12T11:25:31.928Z | ||||||||||||||||||||||||
iskander444 | Вот такое. Спойлер
Да, такое во всех браузерах. | 2024-11-12T11:38:46.774Z | ||||||||||||||||||||||||
KDS | Есть другой вариант. Убрать Обход блокировок. Поставить Censor Tracker там выбрать регион Россия вместо автоматически и потом отключить ползунок “Открывать сайты из реестра заблокированных сайтов”. Потом в список проксируемых внести русторку и рутрекер | 2024-11-12T11:43:57.390Z | ||||||||||||||||||||||||
KDS | Посмотрел в лог запрета, там постоянно перед коннектом с русторкой пролетает коннект вот сюда - | 2024-11-12T12:24:49.731Z | ||||||||||||||||||||||||
Aleksandr75ru | Это, возможно, тупо, но вы не пробовали отключить блокировщики рекламы? | 2024-11-12T12:27:43.294Z | ||||||||||||||||||||||||
iskander444 | Попробую попозже добавить и проверить, пока что всё завелось и работает “из коробки” с GitHub - bol-van/zapret: DPI bypass multi platform. | 2024-11-12T12:28:40.313Z | ||||||||||||||||||||||||
iskander444 | Не пробовал, но, если что вдруг - учту. | 2024-11-12T12:29:19.049Z | ||||||||||||||||||||||||
Aleksandr75ru | А, нет. Заглушку, о том, что нужно вырубить блокировщики рекламы, мне выдал сам сайт при долгой загрузке. | 2024-11-12T12:38:23.811Z | ||||||||||||||||||||||||
iskander444 | Как и описал ранее - удалил все обходы, скачал и запустил как службу GitHub - bol-van/zapret: DPI bypass multi platform. Никаких проблем, даже ничего не настраивал. Всё работает | 2024-11-12T12:40:18.852Z | ||||||||||||||||||||||||
Proorm | А вот такое поведение можно объяснить? Есть goodbyedpi с настройками для youtube, найденнымя с помощью goodcheck уже какое-то время как. Решил попробовать данную проблему изучить. При старте goodbyedpi сайты хостящиеся на cloudflare открываются успешно (что упомянутые здесь, что те, с которыми лично столкнулся). Без - не открываются. | 2024-11-12T13:23:44.860Z | ||||||||||||||||||||||||
Aleksandr75ru | Если я вас правильно понял, то с 05.11.2024 РКН обрезает доступ к | 2024-11-12T13:43:54.176Z | ||||||||||||||||||||||||
Zanoni(Zanoni) | Попробуйте другой DNS. У меня тоже каждый день он от comss (https://dns.controld.com/comss) то работает, то не работает. Перехожу на другие ДНС - и Рутрекер и все остальные сайты летают. Не вывозит comss нагрузку. Слишком много людей за год подключились. | 2024-11-12T14:03:35.335Z | ||||||||||||||||||||||||
Proorm | Спасибо, немного почитал как ECH работает. Получается, что ClientHelloOuter, который незашифрованный и содержит SNI | 2024-11-12T15:44:52.300Z | ||||||||||||||||||||||||
easyone11 | comms тоже юзаю | 2024-11-12T17:22:16.771Z | ||||||||||||||||||||||||
BorisP | Это учли ?
DNS-over-HTTPS (DoH) DNS-over-TLS (DoT) DNS-over-QUIC (DoQ) Сервер “dns.comss.one” старый, один из первых. Они его хотели отключать. Сейчас Comss работает исключительно через ControlD. | 2024-11-12T17:48:28.135Z | ||||||||||||||||||||||||
easyone11 |
да, он и стоит | 2024-11-12T18:15:14.793Z | ||||||||||||||||||||||||
Skiv64(Skiv64) | Здравствуйте, хотел поделится. Использую zapret на роутере и с 10 на 11 число ночью вдруг ютюб перестал видео крутить. Причем некоторые сайты работали, а например рутрекер нет. А самое интересное, что на компе работает с win64 zapret. В итоге выяснил, что у меня cloudflare-ech.com пингуется только по IPv6, а в роутере в zapret он у меня выключен. Включил и всё завелось. Сейчас тоже проверил, выключаю IPv6 и cloudflare-ech.com не обходит. До этого точно работал. | 2024-11-14T05:34:56.059Z | ||||||||||||||||||||||||
xofamim548 | Не знаю, упоминалось уже или нет, но беглым пролистыванием не нашёл. Наткнулся на скрипт, который, как пишут в некоторых источниках, позволяет отключить ECH в Cloudflare на бесплатном тарифе (со стороны администратора ресурса). Понятия не имею, как устроен Cloudflare изнутри и действительно ли это работает на бесплатном тарифе - если нет, то прошу прощения за беспокойство. | 2024-11-14T12:05:23.990Z | ||||||||||||||||||||||||
anon60595749 |
Да, работает. Можно и без скрипта. Вот инструкция: Как отключить ECH для вашего домена на Cloudflare / Хабр | 2024-11-17T18:14:22.062Z | ||||||||||||||||||||||||
Drebi(Дмитрий) | После перехода всех пользователей и владельцев сайтов на ECH пришлось бы снять блокировку на “дурилку”, а значит блокировки вообще ведь ТСПУ будет видеть только cloudflare-ech.com | 2024-11-18T16:47:08.056Z | ||||||||||||||||||||||||
Anonimno(Anonimno) | Блокировку ECH откатили? Без обходов https://tls-ech.dev/ показывает
https://www.cloudflare.com/ru-ru/ssl/encrypted-sni/ так же отображает: | 2024-11-18T19:01:20.592Z | ||||||||||||||||||||||||
manwithbox(manwithbox) |
Не “пришлось” а “придется”. Этот момент настанет уже в обозримом будущем. | 2024-11-18T19:15:14.322Z | ||||||||||||||||||||||||
easyone11 |
мгтс мск, блочится | 2024-11-18T19:18:31.362Z | ||||||||||||||||||||||||
easyone11 | мне не понятна почему часть сайтов работает с ECH часть нет, если бы не работали все тогда я бы не сомневался что дело в стратегии | 2024-11-23T06:58:33.449Z | ||||||||||||||||||||||||
anon9001(anon) | У меня кстати два сайта с обращениями нужно добавить, может в этом дело? cloudflare-ech.com и encryptedsni.com | 2024-11-23T07:00:21.268Z | ||||||||||||||||||||||||
easyone11 | у меня к нему обращений не было, иначе он бы появился в аутохостлисте как недоступный | 2024-11-23T07:03:05.776Z | ||||||||||||||||||||||||
anon9001(anon) | У меня обращений к cloudflare-ech.com в F12 кстати тоже нету. Однако его все равно нужно было добавить. Это я тут все смотрел разумеется Cloudflare Browser Check | 2024-11-23T07:05:49.627Z | ||||||||||||||||||||||||
easyone11 | там и не будет, надо смотреть трафик | 2024-11-23T07:06:20.660Z | ||||||||||||||||||||||||
anon9001(anon) | Тут еще может быть такая фигня, но у меня почему то ech вообще не работает unless у меня шифрованый туннель между машиной с запретом и клиентом… на локалке. Понятия не имею почему так. Причем это касается и самого doh, он и до блокировки ech не рабоатал с ech пока я не сгенерировал https cert и не прикрутил к резолверу. | 2024-11-23T07:12:02.809Z | ||||||||||||||||||||||||
denium | Смотрите трафик в Wireshark. Отфильтруйте по Client Hello. | 2024-11-23T17:12:10.974Z | ||||||||||||||||||||||||
easyone11 | так и делал | 2024-11-23T17:13:11.225Z | ||||||||||||||||||||||||
Quqas(Quqas) | по теме а сам этот тест “Проверить мой браузер” https://www.cloudflare.com/ru-ru/ssl/encrypted-sni/ вообще хоть у когонибудь работает? галку на “Защита SNI” не видел ни разу. какой браузер не пробуй и какой doh не выбирай | 2024-11-25T15:47:50.085Z | ||||||||||||||||||||||||
easyone11 | работает | 2024-11-25T15:48:17.829Z | ||||||||||||||||||||||||
Quqas(Quqas) | условия? | 2024-11-25T15:49:01.443Z | ||||||||||||||||||||||||
easyone11 | обход cloudflare-ech.com | 2024-11-25T15:50:04.175Z | ||||||||||||||||||||||||
Quqas(Quqas) | т.е. работает не правильное слово у когонибудь проходит всё 4 галки? | 2024-11-25T15:50:15.087Z | ||||||||||||||||||||||||
easyone11 | 4 если doh клаудовский | 2024-11-25T15:51:19.499Z | ||||||||||||||||||||||||
Quqas(Quqas) | ясно смысла уже нет значит +чтож это за протокол если сам себя палит в открытом виде | 2024-11-25T16:00:42.977Z | ||||||||||||||||||||||||
anon9001(anon) | У меня условия спесифичные которых ни у кого похоже нету. На локалке должен быть шифрованый туннель в том числе и для doh с самогеренированым сертом если он на другой машине (в другой комнате, тот же роутер). Для меня это такая же загадка, видно когда клаудфлейр говорит no one listens your connection ON THE WIRE имеет ввиду самое начало этого wire, потому что как бы да…я сам себя могу слушать на локалке тем же вайршарком. Очень странно | 2024-11-25T16:00:47.259Z | ||||||||||||||||||||||||
h6lv7 | ECH не предназначался для ситуаций типа российской, он нужен просто для сокрытия SNI от любопытных (но не активно враждебных) лиц. во всяком случае, это уже оффтопик | 2024-11-25T18:42:40.335Z | ||||||||||||||||||||||||
anon9001(anon) | Тогда от него вообще толку нету даже на западе. Отдавая все свои привелегии клаудфлейру, человек добровольно создает монополию и доверяет одному гиганту компании которая и так уже считается де-факто МИТМ, шейпит и стрипует твой траффик и хочет быть абсолютным правителем сети. Нет уж. Тут либо протокол должен работать в китае для настоящей защиты, или мне нафиг не нужны вы с еще большими глазами и слежками помимо уже имеющихся, и без клаудфрейра проблемы есть. | 2024-11-25T20:04:14.161Z | ||||||||||||||||||||||||
denium | ECH не привязан к Cloudflare, просто активней всего используется именно им. | 2024-11-26T00:08:20.192Z | ||||||||||||||||||||||||
PatchDragon(Patch) | Можно сделать свой ECH. Вообще у клаудфлеера очень чистая бизнес модель и он отказоусточив. Они прекрасно защищают очень большие компании от ботов, дают мощную инфраструктуру. Все эти warp, tunnel ECH DNS позволяют им лучше контролировать DDOS атаки и понимать как защититься. Компания крайне неплохая, увидят что выгодно собирать данные, начнут это делать. Но я не думаю что это скоро будет - все таки круче Гугл с Метой и брокерами никто продавать данные так и не научился. А вот рф все это не нужно - чем больше они будут знать тем для них лучше и нам соотвественно и хуже. Они не компания - их заработок это палки посадок и общая стабильность системы госуправление. Но при этом они тоже пользуются инфраструктурой клаудфлеер. | 2024-11-26T12:00:52.020Z | ||||||||||||||||||||||||
bruh | Интересно, есть ли возможность путем подмены SNI в значении поля HTTPS продолжить пользоваться ECH? Кажется, это весьма тривиальная вещь, не влияющая на общую работу технологии и позволяющая легко обойти данного рода блокировку. | 2024-11-27T06:30:24.523Z | ||||||||||||||||||||||||
anon9001(anon) | В будущем, когда технология станет нормой, можно будет свой canary domain поднять, траффик, в отличии от впс через которые ВСЕ идет, будет минимальным, а все остальное будет напрямую. | 2024-11-27T07:01:59.907Z | ||||||||||||||||||||||||
anon60595749 |
Вы что под canary domain подразумеваете? Это? Canary domain - use-application-dns.net | Firefox Help Что-то сомневаюсь. А больше ничего не гуглится. | 2024-11-27T07:21:51.064Z | ||||||||||||||||||||||||
anon9001(anon) | Это разве не фронт домейн? Котороый тот самый с outer sni | 2024-11-27T07:52:37.617Z | ||||||||||||||||||||||||
bruh | Конкретно в данном случае использование canary domain это способ отключить ECH в браузере в сети предприятия. Если для домена use-application-dns.net возвращается неправильный ответ (см. статью от @anon60595749 что значит неправильный), то ECH не используется приложением. Это не outer sni. | 2024-11-27T08:08:54.195Z | ||||||||||||||||||||||||
anon60595749 |
То, о чем вы говорите, в draft называется public_name
А “canary domain” в draft-ietf-tls-esni-22 даже не обсуждается. | 2024-11-27T14:00:45.379Z | ||||||||||||||||||||||||
alk2ntc(Alk2ntc) | Конечно, можно все сделать отдельно от CF, но это дело непростое. Помимо того, что нужно правильно сформировать запись HTTPS в DNS, а для этого требуется openssl с поддержкой ECH, который нужно собрать самостоятельно, еще нужен и веб-сервер, который будет это поддерживать, то есть уметь прикидываться outer, принимая шифрованный запрос. Есть экспериментальная сборка nginx с поддержкой ECH, но его тоже надо собирать из исходников. | 2024-11-29T08:18:20.317Z | ||||||||||||||||||||||||
shinkareff(SSS) | Мой сайт на free тарифе CloudFlare — https://www.shinkareff.com/ — ECH по умолчанию включен. Проблемы с загрузкой стал замечать с середины октября, от нескольких минут ожидания до 10-20 минут иногда (Россия, Ростелеком Юг). Под ВПН всё нормально. Теперь пытаюсь понять: отключать CloudFlare или забить? | 2024-12-04T11:02:44.733Z | ||||||||||||||||||||||||
0ka(0ka) | так исправить же легко, отключите TLS 1.3 в cf dash, или скриптом отключите ECH на домене @abc555 ваша ава не внушает доверия, только наоборот, как и ваши посты | 2024-12-04T13:03:03.558Z | ||||||||||||||||||||||||
shinkareff(SSS) | Благодарю за подсказку. Нашёл что-то похожее в секции SSL > Edge Certificates > | 2024-12-04T15:32:35.428Z | ||||||||||||||||||||||||
denium | Gismeteo встал за Cloudlare с ECH. Надо же. | 2024-12-15T16:34:29.191Z | ||||||||||||||||||||||||
gfqwdgecewgcdw | 2024-12-15T21:36:34.814Z | |||||||||||||||||||||||||
denium | Благодарю. Показания похожи пока. Хотя, и gismeteo заработал. Хоть и за ECH по прежнему. Я про то, что сайт вроде ориентирован на RU, а за ECH. Мне-то, конечно, всё равно, я за VPN. Просто странно. | 2024-12-15T22:31:15.598Z | ||||||||||||||||||||||||
Limping |
А за последние дни не было проблем с DNS?
| 2025-01-15T06:11:12.663Z | ||||||||||||||||||||||||
KDS | Нет, не было. Я использую CF DNS в виде IP на уровне ОС давно | 2025-01-15T19:59:41.659Z | ||||||||||||||||||||||||
hiraxen | Как сейчас ситуация с блокировкой ECH? | 2025-03-12T21:01:37.976Z | ||||||||||||||||||||||||
0ka(0ka) | https://rutracker.org/cdn-cgi/trace на рт сз норм c sni=encrypted, на прове с апстримом билайна загрузилось всего 2 раза со sni=encrypted, затем перестало (хотя через wireshark видел что пыталось по quic и tcp с ech), пытался 20 раз в течении 5 минут и не вышло | 2025-03-12T21:30:16.451Z | ||||||||||||||||||||||||
artenox |
На мобильном заблочено (таймаут). Quic и tcp. При включении интернета один запрос успевает проскочить, а также если долго шёл валидный трафик, но вскоре ТСПУ “просыпается”. Такая особенность интересная. | 2025-03-13T00:09:28.553Z |