http://ursula-dora.livejournal.com/ ([identity profile] ursula-dora.livejournal.com) wrote in [community profile] useless_faq2016-11-20 10:59 pm
  • Add Memory
  • Share This Entry

Почему никто не обсуждает блокировку LinkedIn?

По поводу торрентов было столько шума, а теперь что изменилось? Ведь понятно, что дальше заблокируют Facebook, VK и Интернет.
Flat | Top-Level Comments Only

[identity profile] blackyblack.livejournal.com 2016-11-22 06:48 am (UTC)(link)
Ну продастся, а дальше что? Данные пользователя у линкедина хранятся и всё доверие на стороне линкедина. VPN в худшем случае открытый трафик украдёт, доля которого исчезающе мала.

[identity profile] xen0n.livejournal.com 2016-11-26 03:19 am (UTC)(link)
VPN получает технический доступ ко всему трафику (ну если мы "в весь интернет" через VPN ходим). То есть, юзер не на линкедин и рутрекет будет ходить через VPN, а либо никуда ходить не будет (т.к. заблокировано), либо VPN будет по дефолту включен и весь трафик будет через него.


Конечно, дальше там SSL защищает, но... возможны разные варианты, когда он на самом деле не защищает. Для примера:
- Вообще SSL не используется или используется неправильно. Ну вот сделал кто-то себе сайт через http (не https) и в ус не дует. Кому он нужен, мол. Раньше, владелец VPN никак не мог это использовать, сейчас, когда трафик через него - уже может. Или сайт с self-signed сертификатом. Пользователь привыкает к ворнингам и игнорирует их.
- SSL используется, но... не каждая домохозяйка ведь должна разбираться в этом? Подменить сертификат. Выскочит большое красное страшное предупреждение. Она испугается. А что делать? В полицию звонить? Пару кнопок нажмет и пройдет дальше - ура, вот они, любимые одноклассники! проблема решена
- Вебсайт содержит mixed content (дофига таких). То есть, зашел вроде по https:// но что-то подгружается по http. Некоторые браузеры сейчас уже блокируют такое. (а некоторые - нет). Фактически есть возможность изменять содержимое страниц
- Не используется HSTS - то есть, сайт допускает https, но "не настаивает".

Самое простое и обычное:
- Юзер пользуется HTTP ссылкой. так проще - набрать в адресе vk.com например, и все. Выполняется http запрос, а не https. (а уже он обычно перекидыавет на https). Но раз у нас "злой" VPN - он может подменить http ответ и не перекидывать на https или перекинуть на фейковый сайт vk0nktakte.com

Самое маловероятное, но возможное:
- фейковый, но валидный сертификат. (из-за проблем у CA. Такое уже пару раз было). В этом случае у фейк-сайта будет валидный, подписанный сертификат, но чтобы юзера завести на этот сайт, нужен MITM - и вот как раз в этом случае VPN имеет такую возможность.

Flat | Top-Level Comments Only