Ivan
25.09.2017
07:15:49
Веб-сервер
nginx директива server_name, у апача виртуал вроде
Innokentiy
25.09.2017
07:16:28
штатная фича HTTP1.1
вообще называется virtual hosting
Google
Jen
25.09.2017
07:17:49
спасибо
извините за дилетанские вопросы, с хостингом не сталкивался ни разу, в основном СОРМ/DPI и мобильная кора
Innokentiy
25.09.2017
07:18:00
если используется HTTPS, то нужнорасширение SNI
https://en.m.wikipedia.org/wiki/Virtual_hosting
Ivan
25.09.2017
07:18:39
Innokentiy
25.09.2017
07:18:54
что не нужно?
Ivan
25.09.2017
07:19:36
А что нужно?)
Innokentiy
25.09.2017
07:19:42
тебе надо азные серты отдать для разных сайтов
Ivan
25.09.2017
07:19:58
Делаешь один и не нужно
Innokentiy
25.09.2017
07:20:04
без SNI ты должен хендшейк провести до того, как узнаешь имя
Ivan
25.09.2017
07:20:16
Ну да
Innokentiy
25.09.2017
07:20:20
Ivan
25.09.2017
07:20:54
Пошло обобщать не учитывая частные случаи
Innokentiy
25.09.2017
07:21:11
баба-яга против
Google
Jen
25.09.2017
07:21:30
без митма HTTPS в онлайне не вскрыть?
Innokentiy
25.09.2017
07:21:52
маловероятно
не имея правильного закрытого ключа и с клиентом, который проверяет правильность сертификата - нет
Jen
25.09.2017
07:22:43
т.е. только back-to-back прокся с подменой серта
Innokentiy
25.09.2017
07:22:49
да
Jen
25.09.2017
07:22:54
и то, браузер будет ругаться у юзера
Innokentiy
25.09.2017
07:23:01
не обязательно
Jen
25.09.2017
07:23:18
имеешь ввиду, если насильно юзера заставить серт установить, то не будет?
Innokentiy
25.09.2017
07:23:32
в копропротивной среде обычно прокся выписывает сама себе серты на лету
Jen
25.09.2017
07:23:42
это вроде пофиксили
Innokentiy
25.09.2017
07:23:50
и подписывает из доверенным копропротивным корневиком
Jen
25.09.2017
07:24:03
да да, читал про это, вроде как фиксед уже
дыра нифиговая была
Innokentiy
25.09.2017
07:24:29
ну там есть два механизма против такого
certificate pinning на клиенте
и http public key pinning в заголовках http
но пока это все не шибко распространено
Jen
25.09.2017
07:26:44
да ну? вроде как по миру https растет, пора бы озаботится
хотя с другой стороны, если у тебя квантовый комп под рукой, то поиметь этот SSL труда не составит
Innokentiy
25.09.2017
07:28:19
а, еще есть DANE
но его вообще полторы калеки поддерживают
Google
Innokentiy
25.09.2017
07:28:46
https://en.m.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities
Jen
25.09.2017
07:31:23
О, не знаешь, как редирект с https ресурса работает?
С http все понятно, 302 и готово
Innokentiy
25.09.2017
07:35:50
так же
https - это обычный http, завернутый в TLS-трубу
Jen
25.09.2017
07:38:39
Это понятно, вот пример:
У меня нет денег на счете, провайдер интернет блочит
Захожу на гугл.ком,меня кидает на страницу оператора
Как это произошло, если хендшейка не было
Innokentiy
25.09.2017
07:39:00
был
с сервером https://гугл.ком
у которого адрес 192.168.1.1
кто контролирует днс, тот контролирует мир
Jen
25.09.2017
07:40:05
т.е. DNS подменяется?
понял, спасибо
Innokentiy
25.09.2017
07:40:13
конечно
Jen
25.09.2017
07:41:10
а на 192.168.1.1 вертится сайт оператора, который поле Host не анализирует, выходит?
Innokentiy
25.09.2017
07:42:11
да
именно в примере с https браузер будет ругаться
с http - нет
потому что доверенного сертификата на имя гугл.ком на том сервере нет
Jen
25.09.2017
07:43:38
спасибо
Александр
25.09.2017
07:45:06
чет я сильно сомневаюсь, что они в днс гугл ком запихали
Google
Jen
25.09.2017
07:45:28
там скорее всего правило на весь DNS при полной блокировке такое
Александр
25.09.2017
07:45:33
потому, что это грозит проблемами у пользака
Jen
25.09.2017
07:45:47
гуглком у меня редиректился на SkyNet
Александр
25.09.2017
07:45:53
(в днс кэш попадет - пользак заебет техподдержку)
Jen
25.09.2017
07:46:12
у меня не попадал?
твое высказывание справедливо для любого сайта
Александр
25.09.2017
07:46:37
потомо что они редирекият, а не днс подменяют как кеша сказал
Jen
25.09.2017
07:47:10
так опять же, как ты средиректишь не влезая в TLS?
Александр
25.09.2017
07:47:27
а причем тут tls то?
это элементарно даже на фаере делается "если денег нет - любой запрос разворачивать туда", до тлс дело даже не доходит
Innokentiy
25.09.2017
07:48:18
Александр
25.09.2017
07:48:42
прекрасный костыль
Innokentiy
25.09.2017
07:48:46
но да, можно и не заморачиваться с этим
можно натить
Jen
25.09.2017
07:50:08
можно, но натить все не подойдет, если хочется блочить определенные сайты
Innokentiy
25.09.2017
07:50:34
почему не подойдет?
dstnat на 192.168.1.1 на те адреса, которые не хочется при отрицательно балансе показывать
и accept на те, которые хочется
Jen
25.09.2017
07:52:04
дело в том, что я со стороны DPI на это смотрю
и абоненты на нем могут быть с совершенно разными полиси
Google
Jen
25.09.2017
07:52:42
если вопрос стоит в том, чтобы заблочить что то для всех - то вариант с натом более чем уместен
а если вопрос стоит о блокировке доступа к разным сервисам для разных абонентов - то нет
похоже здесь подмена DNS с выставлением TTL будет как раз
Innokentiy
25.09.2017
07:53:33
не могу понять разницу
Jen
25.09.2017
07:53:58
в случае с NAT необходимо следить за IP постоянно
а с DNS - нет
Innokentiy
25.09.2017
07:54:41
абонент может и не использовать днс
так что за ip следить так или инаяе придется
Александр
25.09.2017
07:55:06
с днс правильный абон тебя обойдет через 2 минуты
Jen
25.09.2017
07:55:09
это упустил
Александр
25.09.2017
07:55:21
а еще более правильный - даже не заметит тебя
Jen
25.09.2017
07:55:27
Александр
25.09.2017
07:55:37
именно так
Jen
25.09.2017
07:55:54
речь не о правильных, а о большинстве :)
Александр
25.09.2017
07:56:13
это для фз?
или просто поразвлекаться?
Jen
25.09.2017
07:56:24
нет
просто поразвлекаться и понять, как работает
Александр
25.09.2017
07:56:41
а, ок
тогда даже обсуждать не интересно
Jen
25.09.2017
07:57:07
потом в DPI втащить
Александр
25.09.2017
07:57:37
dpi это другое
точно никак не связанное с дрочевом с подменой днс и т.д.