В Firefox Nightly и в Cloudflare подвезли поддержку Encrypted SNI. Это рокот канонады, которая скоро накроет Роскомнадзор и остальных клоунов, блокирующих интернет.

(не-техническое описание в следующем абзаце) При установлении HTTPS соединения, клиент в незашифрованном виде передает серверу имя домена, с которым хочет установить TLS-соединение, это называется Server Name Indication, SNI. Пидоры (в плохом смысле этого слова) из Роскомнадзора парсят эту информацию (то, что называется Deep Packet Inspection, DPI) и блокируют неугодные сайты. Encrypted SNI шифрует имя домена, так что владелец канала увидит только IP-адрес и порт. Если сайт хостится на крупном CDN (типа Cloudflare), то у атакующего не будет другого выхода, кроме блокирования крупных частей интернета по IP-адресам.

Приведу аналогию с телефонными разговорами. На сегодняшний день, многие сайты не имеют своего телефонного номера (IP адреса), а пользуются общими номерами арендодателя (CDN типа Cloudflare). Это значит, что сотни тысяч сайтов используют один и тот же номер. Шифрование разговора при этом включается только после того, как вы скажете секретарю арендодателя, какой сайт вам нужен. Товарищ майор (Роскомнадзор) слушает все разговоры и обрывает ваш звонок, как только слышит имя запрещенного сайта. Новая технология позволит включить шифрование уже на этапе разговора с секретарем, так что у товарища майора не будет возможности блокировать отдельные сайты — только крупные части интернета целиком по номеру телефона (IP-адресу).

Технически, это гениальное в своей простоте решение сложной задачи. Специальный ключ домена хранится в оговоренной DNS-записи. Клиент забирает из DNS ключ и вместо ClientHello server_name делает ClientHello encrypted_server_name. Никто кроме целевого сервера не сможет расшифровать, какое имя домена просил пользовать. Понятно, что для того, чтобы это всё работало, нам нужен безопасный DNS. Тут на выручку приходит DNS over HTTPS (DoH), который уже поддерживается как минимум тремя крупными провайдерами: Google, Cloudflare и Verizon. Я до сих пор не понимаю, почему РКН не блокирует неугодные сайты через DNS (если кто знает причину — расскажите, пожалуйста), но с распространением в клиентах поддержки DoH, этот вектор атаки остается в прошлом.

Я думаю, что в перспективе 2-5 лет, власти России встанут перед выбором — двигаться по «китайскому сценарию», заблокировав внешний интернет скопом (и оставив только белые списки) или перестать блокировать точечно сайты, потому что это слишком неэффективно. Ой нет, извините, можно ещё делать хорошую мину при плохой игре и продолжать спускать деньги бюджета на бутафорию. Это — самый вероятный сценарий.

Очень жду, когда поддержка ESNI и DoH приедет в Google, AWS, Chrome, iOS и Android. И всё, пользовательский интернет станет на порядок безопаснее. В интересное время живем, товарищи!

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те "десятки" других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.


Потом было еще продолжение о якобы микрочипах в портах Ethernet (тоже серверов компании SuperMicro) у какой-то крупной американской телекоммуникационной компании. Эту историю, в свою очередь, опровергли все основные телеком-компании в США. Вчера к этому хору отрицающих знание об этой истории добавился еще директор Службы национальной разведки США Дэн Коатс, который сказал, что "мы ничего такого не видели, но продолжаем наблюдать".

Теоретически, конечно, подобная история может существовать: аппаратные импланты не являются чем-то новым, и что-то подобное могло произойти, происходит сейчас или произойдет в будущем. Но проблема именно этой истории, начавшейся с публикации в Bloomberg, заключается в том, что на данный момент никаких доказательств заявленному в статье нет, и издание хранит гордое молчание по этому поводу. Все иллюстрации в первоначальной статье — тот самый чип на кончике карандаша — это именно иллюстрации, созданные художниками издания.
(https://alexmak.net/wp-content/uploads/2018/10/Screen-Shot-2018-10-05-at-12.15.58-PM.png)

Но подобная история, если Bloomberg так и не предоставит никаких доказательств, все равно будет жить — в качестве "городского мифа", передаваемого и модифицируемого "испорченным телефоном" интернета, возможно, даже обрастая какими-то новыми подробностями. Без реальных фактов, без качественных доказательств пока что статья в Bloomberg превращается в самый большой провал издания в направлении информационной безопасности. А там, глядишь, и до "fake news" недалеко.

​​Посыпались обзоры iPhone XR, и все как один называют этот смартфон «оптимальным айфоном для большинства людей».

Из необычного, в гаджете стоит IPS LCD экран с округлёнными углами. Дело в том, что нельзя просто так «округлить» такой экран — это не OLED, где каждый пиксель светится самостоятельно и его можно отключить. В LCD подсветка одна на все пиксели.

Чтобы обойти ограничение, Apple вырезала небольшие щели в пикселях по углам экрана iPhone XR и внедрила дополнительное сглаживание их перехода при помощи софта. Результатом этих ухищрений стал экран, углы которого округлены по тому же радиусу, что и углы корпуса — очередная мелочь, которую игнорируют другие производители смартфонов.

• Обзор The Verge
• Обзор Engadget
• Обзор Джона Грубера

P. S. Не обошлось без особенностей и недостатков. Во-первых, экран iPhone XR уступает предыдущим моделям iPhone — он «розовит», мерцает и быстро теряет яркость при взгляде под углом. Во-вторых, Apple была вынуждена убрать сенсорный слой 3D Touch в связи с подсветкой и хитровыделанными угловыми пикселями (он придавал паразитные цветовые оттенки на углах экрана).