Появился новый — очень удобный! — способ читать заблокированные сайты без VPN. Все необходимое уже есть в вашем браузере Простая инструкция, которая может помочь обмануть Роскомнадзор !

источник:   https://meduza.io/feature/2024/10/18/poyavilsya-novyy-ochen-udobnyy-sposob-chitat-meduzu-bez-vpn-vse-neobhodimoe-uzhe-est-v-vashem-brauzere

 

Появился новый — очень удобный! — способ читать заблокированные сайты без VPN. Все необходимое уже есть в вашем браузере Простая инструкция, которая может помочь обмануть Роскомнадзор !

*Начнем с очень простой инструкции

Что делать в Google Chrome (и прочих браузерах на основе Chromium):

  1. Зайдите в «Настройки» (Settings).
  2. Выберите слева раздел «Конфиденциальность и безопасность» (Privacy and security).
  3. Нажмите на «Безопасность» (Security).
  4. Проверьте, чтобы была включена опция «Использовать безопасный DNS-сервер» (Use secure DNS).
  5. В выпадающем меню «Выбрать поставщика услуг DNS» (Select DNS provider) воспользуйтесь любым предустановленным вариантом.
  6. Откройте сайт meduza.io.

 

 

Что делать в Mozilla Firefox:

  1. Зайдите в «Настройки» (Settings).
  2. Выберите слева раздел «Приватность и защита» (Privacy & Security).
  3. Внизу страницы найдите «DNS через HTTPS» (DNS over HTTPS).
  4. Выберите там «Повышенную защиту» (Increased Protection) или «Максимальную защиту» (Max Protection).
  5. Откройте сайт meduza.io.

 

 

Что мы только что сделали и почему это работает?

Максимально коротко. Ваш браузер благодаря новому DNS-серверу может открывать сайты, которые вместо обычного защищенного соединения поддерживают стандарт TLS Encrypted Client Hello. Раньше чувствительная информация о домене открываемого сайта передавалась открытым текстом в Server Name Indication — расширении криптографического протокола TLS. Это позволяло интернет-цензору эффективно блокировать доступ к отдельным сайтам. Теперь эта информация шифруется.

А теперь — чуть подробнее. Как сейчас блокируется доступ к интернет-сайтам?

Самыми разными способами. Например, это может быть блокировка по доменному имени сайта. Или по IP-адресам серверов, на которых размещены нежелательные сайты.

Если на хостинге по одному или нескольким IP-адресам размещаются много разных сайтов, то интернет-цензор все равно может выборочно блокировать отдельные ресурсы. Даже если используется HTTPS-протокол, то есть соединение между браузером и сайтом зашифровано. Все дело в том, что браузер в самом первом сообщении (Client Hello) в открытом виде передает данные о домене открываемого сайта. Его можно найти в Server Name Indication (SNI) — расширении криптографического протокола TLS.

Именно таким образом Роскомнадзор организует замедление YouTube: определяет по SNI обращение к сервису — и перестает пропускать пакеты с данными при достижении определенного лимита.

 

 

 

Российские власти уже два месяца замедляют ютьюб — и мешают его ускорять. Они добились, чего хотели? Кажется, не совсем

месяц назад

Что такое Encrypted Client Hello?

Это новая технология, разработка которой еще не завершена. Формально она описана пока только в виде черновика интернет-стандарта. Но ее уже поддерживают все основные веб-браузеры.

Encrypted Client Hello (ECH) шифрует информацию о запрашиваемом домене, которая раньше передавалась в открытом виде через SNI, и прочие метаданные TLS-соединения.

Осенью 2023 года компания Cloudflare ненадолго включила поддержку ECH в своей сети доставки контента. Но вскоре запретила использовать технологию без подробного объяснения причин. А осенью 2024-го — снова позволила клиентам использовать ECH.

А зачем нужно менять настройки DNS?

  • Во-первых, чтобы сведения о запрошенных доменах тоже шифровались, а не передавались в открытом виде. В противном случае интернет-цензор может заблокировать доступ к сайту по DNS: перестанет разрешать запросы к определенным доменным именам или начнет перенаправлять их на другие сайты.
  • Во-вторых, современные DNS-серверы поддерживают новые типы записей, описанные в RFC 9460. Именно через такие записи распространяются ключи шифрования, необходимые ECH для сокрытия доменного имени в SNI и прочих метаданных.

То есть сайты, использующие ECH, невозможно заблокировать?

К сожалению, не совсем так. Интернет-цензор всегда может просто заблокировать весь хостинг и DNS-сервисы, поддерживающие механизм ECH. Но у такого решения будут свои издержки в виде попутной блокировки сайтов, доступ к которым не планировалось ограничивать.

Для выборочной же блокировки соединений с конкретными сайтами придется ориентироваться на некоторые косвенные признаки. Если цензор сможет выявить корреляцию между такими признаками и запрещенными сайтами, то индивидуальная блокировка снова сможет стать эффективной.

Как узнать, точно ли мой браузер поддерживает ECH?

Можно пройти в вашем браузере тест, созданный Cloudflare. Или загрузить аналогичную страницу от разработчиков DEfO — проекта для продвижения поддержки ECH в OpenSSL.

Как понять, пользуется ли конкретный сайт ECH?

  • Проект DEfO создал отдельный инструмент для оценки использования сайтами ECH. Нужно только ввести нужное доменное имя в соответствующее поле. Или поискать его в предыдущих результатах проверки.
  • Можно также самостоятельно проверить DNS-записи сайта, например, воспользовавшись сервисом Google. В качестве типа записи нужно выбрать HTTPS. И на открывшейся странице поискать «ech=» с последующей длинной строкой символов: это необходимые параметры для Encrypted Client Hello в кодировке base64.
  • Если у вас браузер Mozilla Firefox, вы можете установить расширение OhMyECH — ECH Indicator. Оно добавит в адресную строку индикатор, который позволит установить факт использования ECH.
  • Кроме того, опытные пользователи могут захватить трафик на своем устройстве и проанализировать его в Wireshark. Начиная с версии 4.2.0, он умеет отфильтровывать сообщения с ECH.

 

 

 

bit.ly/meduzamirror Запомните эту строчку. Так вы сможете читать «Медузу» из России без VPN (и это уже пятый способ!)

6 месяцев назад

 

 

 

 

 

 

Комментарии

Важное примечание!  Если в настройках Google Chrome   опция «Использовать безопасный DNS-сервер» будет отключена: (вместо этого, будет надпись: "В управляемых браузерах эта настройка отключена" ) то тогда, в этом случае, удалите старую версию браузера Google Chrome, почистите реестр программой наподобие Wise Registry Cleaner, перезагрузите компьютер, затем скачайте с официального сайта самую свежую версию браузера  Google Chrome и установите её. *В свежей версии браузера опция «Использовать безопасный DNS-сервер»  будет доступна !

Рейтинг: 5 (5 голоса )

Добавить комментарий

CAPTCHA
Нам нужно убедиться, что вы человек, а не робот-спаммер. Внимание: перед тем, как проходить CAPTCHA, мы рекомендуем выйти из ваших учетных записей в Google, Facebook и прочих крупных компаниях. Так вы усложните построение вашего "сетевого профиля".

Авторские колонки

Востсибов

В 2010 году, как можно найти по поиску на сайте "Автономного действия", велась дискуссия по поводу анархистской программы-минимум. Разными авторами рассматривалось несколько вариантов. Все они включали в себя с десяток пунктов, необходимых по версиям авторов. Понятна в целом необходимость такой...

2 месяца назад
23
Востсибов

В результате последних громких преступлений на религиозной почве вновь становится актуальной тема религии, ее места в обществе, и необходимости проработки рефлексии на такие события, несмотря на то, что они довольно быстро перекрываются другими событиями в информационном потоке. Притом, что...

4 месяца назад
3