@schors
schors

✋ Список всех проектов нормативных правовых актов по «устойчивому Рунету» с указанием дат публичного обсуждения, контактов разработчиков и комментарии о нарушении процедур размещения, если таковое нарушение есть:
https://usher2.club/helpers/stable-runet-npa-list

schors

Представьте себе Golang, только со злоебучим Makefile, линковщиком и вот этим вот всем
Причем, линкер не умеет -L, а сам ищет... как-то странно, по информации в библиотечных файлов - откуда они хедеры тягали
И впервые такое вижу, но думаю часто бывает - make парсит чтото.h , выдирает оттуда дефайны и по ним занимается кодогенерацией на асме

schors

что-то я застрял на этом http://mail.9fans.net/piper...eptember/037921.html

schors

⚔️ Неудачные блокировки и предвзятость, требовательность и отвага: всё это в один момент стало поводом не только для негативной реакции в Сети, но и для создания гениальных мемов.

РКН-тян является достаточно популярным персонажем в Сети, шибко отражающим поведение регулятора. Мы поговорили с художником Дмитрием Серебряковым — создателем этого шедевра и автором паблика Flick the Thief:

https://kod.ru/flick-the-thief-2019/

schors

В Московском метро есть бесплатный Wi-Fi. Вчера приложение этого Wi-Fi похоже сломали. Реакция МаксимыТелеком прекрасна своей чудовищностью:
https://t.me/aipreputation/271
"Репутация – это не только то, что о вас пишут на отзовиках, в соцсетях и на картах, но и то, как вы себя ведёте и как реагируете на собственные косяки. Вот пример.

Вчера, предположительно, было взломано приложение московского WiFi, в результате чего пользователи получили кучу уведомлений с текстом «Гай-гуй спасай Россию!». Судя по скринам, уведомления сыпались пачкой и изрядно попортили людям нервы.

В классическом варианте компания выкатывает извинительный пост, клянётся всё поправить и всё. Но Максимателеком пошли дальше. Оператор превратил вирусный «гайгуй» в промокод, предоставляющий доступ к WiFi без рекламы и авторизации.

Надеюсь, это было не разовое просветление отдельной компании, а ещё один шажок в сторону нормального сервиса и работы с проблемами."

Напомню, что год назад именно их поймали за руку с ловлей проксей Telegram по трафику пассажиров метрополитена:
https://usher2.club/articles/mt-free-pre-block/

P.S. Есть предположение, что это они вчера тестировали этот самый промокод, и что-то пошло не так. Но уровень работы с информацией - Государство

schors

Про нашумевшую блокировку сайта англоязычного форума по олимпиадной математике Art Of Problem Solving хорошо высказался Владислав, избавив меня от необходимости формулировать:
https://t.me/unkn0wnerror/1453
«IP-адрес, на который прыгнул (судя по всему, недавно) этот сайт, принадлежит облачному провайдеру Linode и давно использовался в качестве эндпоинта Telegram (прим. Фила: скорее всего прокси для Telegram)». Добавлю, что это суть облачных сервисов — менять или добавлять адреса в зависимости от каких-то причин — что-то сломалось, увеличилась нагрузка, надо обновить сайт.

Напомню, что всё это называется «сопутствующий ущерб» и вопрос лета прошлого года не так остёр, но остаётся актуальным:

https://usher2.club/article...en-letter-darkk-net/
05 июля 2018 года программист Леонид Евдокимов опубликовал открытое письмо к Роскомнадзору. Он провел огромную работу по выявлению, какие конкретно сервисы (с пруфами) попали под блок в связи с попытками Роскомнадзора заблокировать Telegram и задает в своем письме хороший вопрос, ответ на который интересует и меня. Я просто процитирую его:

"Ну сколько можно, Роскомнадзор? Разберитесь, пожалуйста, с оставшимися 3 миллионами IP адресов. Там всё ещё много полезных сервисов. Остался ли там ещё Телеграм спустя пару месяцев блокировки – не очевидно. Ну да приборы, судя по заявлениям, у вас есть :-)"

schors

⚡️ Что произошло? В сети оказались служебные данные по СОРМ (это устройства прослушки) сети МТС. Подробные. По ошибке сотрудника Nokia:
https://www.upguard.com/bre...curity-lapse-russia/

☠️ Это вот то, о чем говорил то ли Daniel Ginsburg, то ли Арканоид, то ли может и я в далёком 2017 что ли году: ВОКРУГ КАКИХ-ТО ДАННЫХ БУДУТ ВЕРТЕТЬСЯ КАКИЕ-ТО ЛЮДИ. Вот эти все утечки они про это. И не только наши с вами данные, но и супер-секретные государевы

🏴‍☠️ А может это и не ошибка была

schors

Проект положения о национальной системе доменных имен отправлен для подготовки Заключения об оценке регулирующего воздействия:
https://regulation.gov.ru/p/92632
Это тот проект, который описывает всероссийский суверенный государственный DNS (имеется ввиду в основном ресолверы, но там всё сложно) от Роскомнадзора.

Документ сильно преобразился после обсуждения:
✅ Убрано положение об обязанности предоставлять сведения о полученных IP-адресах
✅ Убрано положение о том, что какие-то там средства не могут находиться во владении иностранцев
✅ Убрано положение об обязанности пользоваться этой системой абонентами
✅ Документ стал менее категоричным, формулировки теперь более осторожные
✅ Несмотря на то, что Роскомнадзор отказался рассматривать мои замечания, которые я поздновато выложил, заметную часть из них они учли
😎 Общей логике документа это всё не очень помогло. Вцелом, по документу, вообще не ясно о чем речь. Наши домыслы — это наши домыслы

👎 Как видно, документ существенно доработан. В этом случае должно было быть повторное размещение с половинным сроком, как раз по тому пункту Правил, которым они все пользовались для исправления нарушений

schors

Мне помогает много людей и компаний. У меня хватает отложенных с крупных пожертвований средств на хостинг, но надо понимать, что публичная цифра (на самом деле умноженная на два) на Patreon — это показатель уровня моих рисков и перспектив. И с кофе с конфеткой уже не всё так гладко. У меня нет рекламной модели, это даёт массу преимуществ для дела — распространения информации, но имеет глубокий пробел в рамках просчитываемости финансовых рисков, сильно зависит от хайпа и «сезон отпусков» выгребает запасы.

❇️ Хочу посетить осенью-зимой 2-3 международные конференции. Ничего не докладывать, ничего не защищать, для себя. Послушать, узнать что-то новое. А то так долго и потерять связь с реальностью. Но «участник сам себя не отправит». Вот TLDCON-2019 уже посетил.

❇️ Мне нужен нормальный современный рабочий ноутбук. Мои глаза перестали переносить нетбук. Даже в дорогущих японских очках.

☀️ Пожертвования по подписке:
https://www.patreon.com/usher2

⭐️ Традиционные способы:
PayPal: https://www.paypal.me/schors
Яндекс.Деньги: http://yasobe.ru/na/schors
WMP: P603777732896
WMZ: Z991867115444
WME: E261636674470
WMX: X862559021665

🏵 Сделать меня криптомагнатом:
BTC: 18YFeAV12ktBxv9hy4wSiSCUXXAh5VR7gE
LTC: LVXP51M8MrzaEQi6eBEGWpTSwckybqHU5s
ETH: 0xba53cebd99157bf412a6bb91165e7dff29abd0a2
ZEC: t1McmUhzdsauoXpiu2yCjNpnLKGGH225aAW
DGE: D8cZwBsVp1hW4mjTCgspEKG5TpPZycTJBn
BCH: 1FiXmPZ6eecHVaZbgdadAuzQLU9kqdSzVN
ETC: 0xeb990a29d4f870b5fdbe331db90d9849ce3dae77
WAX: 0xba53cebd99157bf412a6bb91165e7dff29abd0a2

✈️ Бонусные программы:
Аэрофлот-бонус: 1045433852
S7-бонус: 929102200

🍭 Мой вишлист: http://mywishlist.ru/me/schors

schors

Вчера конечно был праздник блокировок с «жонглированием правом». На этот раз объектом нездорового внимания стал сайт правозащитной организации «Команда 29», и снова в ход было пущено решение Кировского районного суда города Саратова за 2017 год. Опять устаревшая страница с информацией по обходу блокировок:
https://roskomsvoboda.org/49689/

Но нежелание судиться меня расстраивает, хотя и понятно. Но уж правозащитники-то могли бы потрепать нервы кому-нибудь? «Команда 29», покраснейте хоть :) Восстановление сроков, режим телеконференции, 3000 рублей сбора. Там прокурор бы съехал с темы по пути. Всё это не очень хорошо отражается на судах и прокуратуре и они это делают только от ПОЛНОЙ безнаказанности и отсутствия какой-либо, хотя бы эфемерной, ответственности.

schors

Сколько бы мы не удлиняли путь зла — я уверен, что в итоге DPI на всю полосу поставят, фильтровать будут что угодно и как угодно. Это вопрос времени. И это общемировой тренд — сецессия групп по интересам, по морали, по странам. Все страны к чему-то такому идут. Договориться не получилось и похоже, что никто (простите за обобщение, я думаю, что всё-таки есть отдельные персоны, которые всё-таки да) и не собирается. Политиков устраивает общемировой срач, это такой фан для них.

Один из подписчиков канала вчера подсказал несколько интересных материалов, как бы это сказать — о распределенных социальных сетях. К сожалению, информации на русском почти нет, а на английском она иногда как специально для шпионов написана (обрывочно, полная картина не складывается). Идея примерно следующая — есть много социальных сетей, каждая из них имеет свои «экземпляры» по своим правилам в смысле размещения контента — модерация там, цензура, отсутствие цензуры, правила поведения и вот это всё. Эти «экземпляры» общаются по стандартным протоколам, могут общаться и сети, но это не точно. Однако, потихоньку идет развитие, например, W3C (это вот прямо та организация, которая стандартизует HTML, например) предложила протокол ActivityPub. Немного устаревшая, но хорошая статья на хабре:
https://habr.com/ru/post/345402/

Про ActivityPub на Wikipedia: https://ru.wikipedia.org/wiki/ActivityPub
Сети Fediverse: https://the-federation.info/

Одним из локомотивов этой концепции сейчас является проект PeerTube. Это такой аналог YouTube с открытым исходным кодом, который вы можете установить у себя. Умеет социализироваться с другими нодами PeerTube, умеет импортировать видео с крупных видеохостингов, умеет заливать видео и конвертировать его, умеет раздавать видео с просматривающих его пользователей — как бы «пириться» («как бы», потому что раздает только от тех, кто просматривает сейчас — как Вконтакте (вы не знали?)). Не умеет стримы:
https://joinpeertube.org/en/

Выглядит круто, но не могу сказать, что гармонично, и немного сыровато. Например, я не нашёл сходу логичного решения «разогрева» торрентов. Ещё одно напрашивающееся решение — отдельная программа у пользователей, которая скачивает, хранит и раздает контент, который этот пользователь просматривал. Это сильно удешевит хостинг, даст толчок к развитию. Но в любом случае, желающие могут попробовать хотя бы для себя.

Изучайте, смотрите, пользуйтесь, пишите обзорные статьи. Это может быть интересным.

schors

Начиная с истории с Telegram часто упоминается, что силовики хотят какие-то там ключи шифрования. Из нормативной базы неясно, что конкретно имеет ввиду закон. Дело в том, что знание ключей шифрования, которые мы прописываем в конфиги серверов, может помочь «прослушивать» шифрованный канал, но расшифровать записанный трафик в 2019 году в большинстве случаев не получится. Для этого нужен журнал так называемых «сессионных ключей». Я несколько раз публично голословно (не имея даже косвенных подтверждений, на которые я мог сослаться) утверждал, что ФСБ стало требовать журнал этих ключей от ОРИ. Но тут некто случайно приоткрыл завесу над методиками ОРД (это противозаконно):
https://www.mail-archive.co...nx.org/msg12178.html

‼️ Как видите — сделать такой журнал можно несколькими движениями рук. К сожалению.

schors

🎓 Я немного выждал, когда все выскажутся по поводу FireFox и DoH, и сделаю небольшой обзор, что же произошло на самом деле, как это расценивать, что дальше

👉 DoH, или DNS-over-HTTPS — технология получение записей DNS через специально сформированный HTTP-запрос. По факту, в запросе передаётся закодированный в base64 пакет DNS и соответственно получается ответ. DoH является одной из самых перспективных технологий шифрования DNS-запросов. Стандарт IETF: RFC 8484

☝️ История DoH в браузерах началась с того, что FireFox 01 июня 2018 года объявил о поддержке DoH в FireFox версии 62, вышедшей 5 сентября 2018 года:
https://blog.nightly.mozill...-privacy-in-firefox/
06 сентября 2019 года FireFox заявил о постепенном включении DoH по умолчанию для части пользователей (неизвестно каких):
https://blog.mozilla.org/fu...r-https-the-default/
Браузер Chrome пока осторожно заявляет о поддержке DoH в браузерах с версии 78, которая предположительно выйдет 22 октября 2019 года:
https://blog.chromium.org/2...me-provider-dns.html
Но не в версиях для Linux и iOS

☝️ Включение DoH по умолчанию это плохо или хорошо? Плохо то, что по-умолчанию крупные корпорации при желании будут знать о ваших запросах к DNS. Да и привязка к глобальным сервисам не всегда хорошо. Хорошо то, что люди будут защищены от локальной «прослушки».

✌️ Многие зарубежные схемы блокировок сайтов строятся на подмене ответов DNS. При запросе «запрещенного» имени выдаётся «ложный» адрес, на котором, например, может быть расположена страница с информацией о том, что ресурс заблокирован по решению органов власти. DoH умножает эту систему на 0. Многие российские провайдеры, например «Эр-Телеком», через подмену DNS минимизирует расходы на блокировку. На их системы это тоже окажет влияние. Но это конечно ещё не «Гудбай, DPI».

✌️ Коллеги начали упоминать ESNI, как более важную часть в деле обхода блокировок. Дело в том, что сейчас при шифрованном соединении с сайтом в большинстве случаев браузер вначале передаёт на сервер, с которым желает соединиться, имя сайта, к которому хочет обратиться, в открытом виде — SNI (Server Name Indication) заголовок. На перехвате этой информации строится основная часть например российских блокировок сайтов. ESNI (Encrypted SNI) решает эту проблему. Однако, как мы видели в апреле 2018 года, никого не волнует сопутствующий ущерб от блокировок и я вас уверяю — регуляторы просто «порежут» весь этот ESNI. С другой стороны, ESNI требует специальной записи для домена, т.е. завязан на систему DNS. Без DoH блокировать ESNI выборочно очень просто — надо всего-лишь подменять ответы специальных запросов. Т.е. DoH тоже важен. Но не только DoH, важен и DNSSEC — технология, позволяющая подписывать содержимое доменных имен:
https://dxdt.ru/2018/12/28/8645/

👍 DNSSEC+DANE — это вот прямо следующий шаг для браузеров. Технология DANE позволяет удостоверять ключи шифрования для TLS-соединений через подписанные записи DNS. На практике это означает, что вы можете сами выпускать для себя SSL-сертификаты, без привязки к коммерческим фирмам, выпускающим SSL-сертификаты, или Letsencrypt

🤘 Ну и раз я тут решил почесать языком про DoH, есть интересное предложение. Было бы интересно, если бы интернет-провайдеры подхватили «всероссийский хакатон» и сделали на своих DNS поддержку и DoH и DoT без фильтра. Это не запрещено ни прямо, ни косвенно. Это потребует затрат и не принесет прибыли, но это будет «славная охота»

schors

Да, я должен пояснить немного предыдущий пост. Собственно, ситуация такая — Роскомнадзор направил в Минюст для регистрации несколько проектов нормативов. 9 из них — по «устойчивому Рунету». Все нормативные акты должны быть зарегистрированы в Минюсте и только после этого они могут быть опубликованы. Правовой акт может быть возвращен Минюстом без регистрации по просьбе органа власти, или если нарушены установленный порядок представления акта на государственную регистрацию или Правила подготовки нормативных правовых актов. Минюст вернул эти проекты без регистрации в Роскомнадзор. Почему? Неясно. Но часть документов была подана в обход всех процедур. «Не прокатило»
https://point.im/mxvym

schors

⚡️⚡️⚡️ Коллега обнаружил прямо очень интересное: https://t.me/gip_24/3679

☝️ Как я и говорил — пытаются протаскивать нормативы по «устойчивому Рунету» любой ценой. Не смотря ни на чушь в содержимом, ни на процедурные нарушения, ни на заключения. Только сроки, только KPI. В данном случае без текстов писем Минюста не очень ясно в чём конкретно проблема в проектах нормативов. Или подождите… Там клейма негде ставить...

👉 Источник — Консультант+, где взять исходные данные я не знаю, похоже это какие-то инсайды:
http://www.consultant.ru/la...0.html#ld_theme_1276
Письма Минюста от 21.08.2019 с рубрикацией по заключениям оценки регулирующего воздействия:

Положительное заключение ОРВ:
№ 01/105129-АБ: https://usher2.club/helpers...unet-npa-list#p92614

Отрицательное заключение ОРВ:
№ 01/105161-АБ: https://usher2.club/helpers...unet-npa-list#p92414
№ 01/105123-АБ: https://usher2.club/helpers...unet-npa-list#p92597
№ 01/105135-АБ: https://usher2.club/helpers...unet-npa-list#p92225
№ 01/105121-АБ: https://usher2.club/helpers...unet-npa-list#p92238

Заключение ОРВ полученно позже отправки в Минюст (09 сентября 2019):
№ 01/105164-АБ: https://usher2.club/helpers...unet-npa-list#p92576
№ 01/105124-АБ: https://usher2.club/helpers...unet-npa-list#p92582
№ 01/105127-АБ: https://usher2.club/helpers...unet-npa-list#p92592

Для подготовки заключение ОРВ не направлялось:
№ 01/105155-АБ: https://usher2.club/helpers...unet-npa-list#p92632

💥 Вот это сейчас прямо вот хорошо было. Очень хочу увидеть содержимое писем Минюста, но не знаю как это сделать. Можно попросить пресслужбу прокомментировать

⚔️ Fight the Good Fight

schors

ДА!

Использовать для MTProxy fake TLS домен Гугла не кошерно, типа дефолт. Использовать CloudFlare тем более, их блокируют подсетями. А можно использовать Госуслуги, например?

schors

Второй эпизод сериала Андрея Лошака:

Пока у меня сложное отношение к фильму. Там пока про медийщиков. Но ещё пять серий :) Да и в принципе, как летопись тусовки — недурно.

schors

Приказ Роскомнадзора «об Утверждении технических условий установки технических средств противодействия угрозам» #228 от 31 июля 2019 зарегистрирован 11 сентября 2019 и опубликован 12 сентября 2019 года. Вступает в силу 01 ноября 2019 года:
http://publication.pravo.go...iew/0001201909120028

‼️ Проект этого норматива получил отрицательное заколючение по итогам оценки регулирующего воздействия. Такие акты могут быть приняты только через заседание Правительства РФ с участием или премьер-министра, или его заместителя. Я запрошу протокол заседания. Рекомендую смелым СМИ попросить его самостоятельно — тогда мы увидим его раньше. Или не увидим, потому что я не уверен, что оно было. 50/50

⚡️⚡️⚡️ Теперь интересное. Текст итогового документа серьёзно отличается от того, что был в проекте. Он существенно отличается даже от доработанного по итогам публичного обсуждения (А ТАК МОЖНО БЫЛО?!!): https://regulation.gov.ru/p/92660
Нет, так нельзя. В этом случае должно было быть повторное размещение с половинным сроком (как раз по тому пункту Правил, которым они все пользовались для исправления нарушений). Что существенно нового:
♨️ Добавлено требование к безопасности согласно Приказа Минсвязи №1 от 09 января 2008 года. Вообще, он и так действует на все сети электросвязи
♨️ Добавлено требование запирающегося шкафа
♨️ Добавлено требование обеспечить VPN для управления
Из интересного, но уже не нового:
➡️ Бесперебойник на 4 часа за счет оператора связи
➡️ 100Mbps выделенный канал за счет оператора связи
➡️ Собственно условия размещения отсылают всех к длокументации по эксплуатации, ничем её не ограничивая

😱 Принятие этого документа вызывает у меня чувство тоски, безысходности и разочаровании в системе действующей государственной власти вцелом и оценки регулирующего воздействия в частности. Я думаю и все остальные документы уже подписываются по тому же принципу, волшебным образом преображаясь. Я надеюсь, мы подпортили много крови разработчикам, и так или иначе мы заставим тёмных сажать цветы. Это была славная охота!

🔥 И небольшая ремарочка. Большинство документов по «устойчивому Рунету» размещено с нарушениями процедур. И этот тоже. Доработка и принятие тоже сделаны с нарушением процедур. Правила позволят через Правительство принять норматив с отрицательным заключением, но не позволяет нарушить процедуры. Так что формально этот документ абсолютно нелегитимен. Этот норматив чисто теоретически можно оспорить в суде по процедурным нарушениям (это легче, чем по содержанию). Но это, конечно, сильно круто, нужно, чтобы кто-то очень захотел и вложился.

schors

🎥 Видео c заседания рабочей группы Временной комиссии по защите государственного суверенитета России. Это вот та, которая создалась на волне обсуждения фейкньюз о запрете старых автомобилей в разбирательство о вмешательстве в выборы. Я не смог досмотреть, но я думаю людям интересующимся будет интересно. Первые 7 минут там из пустого в порожнее ведущий перемалывает. Я пытался понять роль Роскомнадзора там, увидел заместителя руководителя Роскомнадзора по техническому присутствию на заседаниях Вадима Субботина и моё серьёзное отношение к мероприятию закончилось (я домотал до выступления — Вадим Алексеевич зачитал чисто формальный заготовленный текст Роскомнадзора, примерно повторяющий заявления на сайте Роскомнадзора):

👆 Несмотря на то, что я считаю, что иностранные влиятельные интернет-компании в перспективе будут заблокированны, я думаю пока это не про это. Пока это про кары небесные, шум, хайп и возможно какой-нибудь законопроект, типа того, что предлагал некий активный депутать из Сибири — про российское владение влиятельными компаниями.

😱 С другой стороны, видео хорошо показывает другой мир, другую реальность, другую риторику. Это полезно

schors

Минцифра разместила уведомление о начале разработки законопроекта «о внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию». Это всё, что сообщила Минцифра. Крайне ценная и исчерпывающая информация:
https://regulation.gov.ru/p/94947

Я помню в каком-то классе школы у нас была училка по-русскому, которая вызывала родителей за несделанное домашнее задание. Поэтому мы сдавали пустой листок с заголовком «Домашняя работа».

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.