search

ValdikSS / blockcheck

Russian ISP blocking type checker NOTE: NOT WORKING CURRENTLY. ВНИМАНИЕ: НЕ РАБОТАЕТ НА ТЕКУЩИЙ МОМЕНТ
MIT License
1.37k stars 144 forks source link

Вы - агент гебни? #9

Closed KOLANICH closed 10 years ago

KOLANICH commented 10 years ago

Превед, Влад. 1 вы форсите свой сервис prostovpn 2 ваш скрипт коннектится на заблокированные сайты из списка 3 ваш скрипт использует ваш сервис.

KOLANICH commented 10 years ago

Короче - я не доверяю вам.

KOLANICH commented 10 years ago

Кстати, вы случайно не тот же чувак, что и VladimirSS с форума Билайна?

ValdikSS commented 10 years ago

День добрый.

  1. Да. Что с того?
  2. Да. Он для этого и создан — определить, возможен ли доступ на заблокированные сайты.
  3. Да. Я хочу собрать статистику по провайдерам. Статистика будет общедоступна со дня на день (возможно, уже сегодня вечером).

Не имею понятия, кто такой VladimirSS.

KOLANICH commented 10 years ago

1 Никакие централизованные сервисы не будут безопаснее чем tor (даже если предположить наличие в торе небольшого бэкдора/уязвимости, допускающего активную атаку и известного только узкой группе лиц из анб).

ValdikSS commented 10 years ago

Это вопрос? Предлагаю написать мне на email или в jabber, если вы хотите продолжить разговор. email: iam@valdikss.org.ru jabber: valdikss@jabber.ru

KOLANICH commented 10 years ago

Давайте обсудим тут (пусть другие почитают, да и выглядит это как вызов на Лубянку ;), а потом включишь в faq prostovpn ответы.

Ваш сервис, судя по информации на главной, предоставляет доступ к tor и i2p. Поставить и настроить tor и i2p может почти любой. Правильно настроить tor, браузер и систему не может никто - всегда найдутся векторы атаки, да и может оказаться неюзабельно. Мануалов по близкой к правильной настройке очень много. Для простого люда есть tails, где почти всё уже настроено как надо. Ваш же сервис предоставляет доступ в сетям ... через ваш сервис, в большинстве случаев из того же браузера. Это подрывает саму идею децентрализованных анонимных сетей. Я понимаю, что на этом можно делать деньги и я допускаю точку зрения, что деньги не пахнут и что вы просто зарабатываете деньги, но советовать кому-либо использовать ваш сервис я бы не стал. В худшем случае ваш сервис был создан со злым умыслом, так как вы сами всё прекрасно понимаете.

Далёкие от айти и техники люди заюзают ваш сервис, а потом к вам придут (если вы сейчас не их сотрудник), вы их сдадите, и они попадёт в колонию какого-нибудь режима. Жалко их - по глупости попадутся и по доверию тому, кому доверять не следовало бы. Если бы вместо серебряной пули вы им давали понимание, всё было бы не так очевидно.

К тому же любой сервис может собирать пароли и иную незашифрованную чувствительную информацию. Не все это осознают. Выходной узел в сети tor тоже может собирать, но он выбирается случайно, а ваш сервис - нет. Устранив ваш сервис из цепочки будет улучшена безопасность, ничего не теряя.

Короче, выглядит всё так, как будто это ханипот для людей не в теме.

KOLANICH commented 10 years ago

А ещё хуже то, что если ваш сервис использует tor для доступа к обычным сайтам, exit node может подмешать вредоносный контент в незашифрованный ответ сайта, чем может привести к заражению пк ваших пользователей, всего-то хотевших получить доступ к заблокированным сайтам. Если вы действительно печётесь о пользователях, закройте прокси и поднимите мост для pluggable transports.

ValdikSS commented 10 years ago

Я, безусловно, осознаю все недостатки такого некого "централизованного" доступа в Tor и I2P, они действительно подрывают саму идею этих сетей, однако, сервис прежде всего делался для моих друзей и знакомых, которые тоже осознают возможные опасности при использовании такого решения. Это стоит воспринимать как чуть более удобный аналог Inproxy, а не как рекомендуемый доступ в скрытосети. Деньги тут совершенно ни при чем. Для доступа в интернет Tor и I2P не используются, только для доступа на .onion и .i2p-сайты соответственно.

Сайт ProstoVPN нужно переделывать, я этим пассивно занимаюсь, думаю, будет готово к концу лета. Там будет все объяснено в подробностях.

Вы, вероятно, путаете prostovpn и антизапрет. Это два различных сервиса, не связанных между собой, однако, находящиеся на одном домене.

Я вам все же предлагаю больше не писать в этот issue, т.к. он никак не относится к blockcheck. Я-то не против, но выглядит это странно. Я с радостью с вами поговорю, если вы этого хотите, по любому защищенному каналу связи (jabber, tox, torchat, i2p mail, i2p-bote, etc).

KOLANICH commented 10 years ago

Для доступа в интернет Tor и I2P не используются, только для доступа на .onion и .i2p-сайты соответственно.

Сайт ProstoVPN нужно переделывать, я этим пассивно занимаюсь, думаю, будет готово к концу лета. Там будет все объяснено в подробностях.

Отлично.

Вы, вероятно, путаете prostovpn и антизапрет. Это два различных сервиса, не связанных между собой, однако, находящиеся на одном домене.

Приму к сведению.

В любом случае, ваши сервисы и ваш форс их выглядит очень подозрительно. Обсуждать тут нечего, истинные мотивы свои вы мне всё равно не скажете, может это и к лучшему, гостайны мне не нужны, от них один гимор обычно бывает. Если будет что обсудить - постучусь на контакты из хабрапрофиля. Спасибо за статьи.