Про блокировку ECH — объяснялка

Как вообще осуществляется блокировка РКН сейчас: они как-то, неважно как, определяют какой-то ресурс, который им нужно заблокировать. Ну, например, vpngen.org. И блокируют его в тот момент, когда пользователь обращается к этому ресурсу. Но для этого нужно определить, что пользователь обратился к запретному.

А это можно понять двумя путями:
1. По IP-адресу
2. По доменному имени в ДНС или более сложно — в запросе поймать SNI

И в том, и в том случае нужно сравнивать все запросы с некоей таблицей, которую составили заранее.

Как от этого можно спрятаться:

1. IP-адрес для ресурса можно поменять и так бегать от блокировки. Но пользователи же не запоминают цифры — им доменное имя подавай.

2. Запросы DNS можно зашифровать и тогда РКН не узнает кого блокировать. НО. Но РКН же тоже хитрая жопа — они заранее все домены резолвят с некоторой периодичностью и знают IP-адреса.

Получается, что РКН может заблокировать любой интернет-сайт в принципе... НО

Но была придумана технология ECH — Encrypted Client Hello. Вот тут лучшая статья, которая объясняет что это, но на английском: https://blog.cloudflare.com/announcing-encrypted-client-hello/

Что они делают: происходит шифрование как самих запросов от пользователя, так и ответы ресурсов. Но главное — IP-адрес можно спрятать в числе миллиардов запросов к CDN. Это как дерево в лесу прятать — хрен пойми, куда пользователь обращался. Может, к заблокированному сайту VPN Generator, а может к сайтам Газпрома, которые тоже сидят за Cloudflare...

Тогда цензор идет на беспрецедентный шаг — они блокируют сразу все запросы к инфраструктуре ECH у Cloudflare.

Поскольку технология пока не получила повсеместного распространения и сопутствующие потери невелики, то им похер на некоторое количество пользователей сайтов, поставивших галочку 'ECH on' в админке Клаудфлари.

Главное — чтоб на крамольные сайты не ходили.

В этом и беда всех технологий обхода блокировок "на стороне сервера" — пока технология устаканится, пока дойдет до большинства сайтов (и пользователей, что еще важнее!!), пока там пофиксят неизбежные ошибки и пройдут фазу внедрения — это все занимает время, которое цензор использует для разработки механизма противодействия.

Потому я считаю, что усилия надо больше прилагать на разработку средств обхода на стороне клиента — это сложнее контролировать, можно делать тихо без публичных обсуждений. И по итогу более эффективно.

Это не означает, что не нужно изобретать что-то новое, но в силу большой инертности социально-экономических структур, внедрение всегда будет затруднено и затянуто. И дает цензору время подготовиться

Хотелось бы думать, что это просто бешенная Моська лает на слона, но действия РКН в рамках борьбы с Cloudflare могут сильно повлиять на работоспособность сервисов на территории РФ. Также хочу напомнить, что на территории РФ также действуют иные законы и инициативы, нарушающие конституцию страны и права граждан, поэтому, если вы запускаете новый проект, то дважды подумайте в рамках какой юрисдикции он будет запущен.

На самом деле очень интересно читать истории проектов, в которых авторы делятся своим опытом и рассказывают о совершенных ошибках и как боролись с их последствиями. Поэтому хочу поделиться статьёй от автора HexaPDF, достаточно популярной коммерческой библиотеки для генерации pdf.

#rust #ruby #python #javascript

Однозначно в закладки - коллекция алгоритмов на разных языках программирования на абсолютно различные темы.

#macapps #macos #rails

С релизом kamal 2 в нем появилась отличная фича - возможность хранить ключи в менеджерах паролей, таких как 1password, lastpass и bitwarden. Вот как раз неплохой обзор как прикрутить 1password к kamal https://blog.1password.com/1password-rails-kindred-spirits/

#цитаты

- А как на твой взгляд выглядит идеальный процесс разработки?
- Точно также как и идеальный мужчина - его не существует. Да, по идее он должен быть красивый, сильный, внимательный, ухоженный. Но по факту мы имеем небритого, затраханного и усталого мужика с кучей недостатков, который регулярно косячит. Зато свой. И бросить жалко - столько сил на него сил пришлось потратить. Поверь мне, как человеку, женатому 18 лет - я это слышу каждый день.

#macos #macapps Достаточно долгое время я пользовался iTerm2, но в какой-то момент решил перейти на Warp. Всем хорош, но единственное, что меня бесило - это 2 строки в терминале, на первой показывается путь, а во второй вводишь команды. И тут разработчики оказывается ~~внемлили Метатрону, вестнику всемогущего гласа Бога истинного~~ услышали пользователей и сделали возможность сделать однострочную консоль. Аве ~~Цезарю~~ разработчикам! Позор слоупокам типа меня, которые про это узнали только недавно :)

#svelte #javascript

Запись выступления Rich Harris в Pace University в Нью Йорке на тему Svelte 5

https://youtu.be/aFFYETUdTxk