СоХабр закрыт.

С 13.05.2019 изменения постов больше не отслеживаются, и новые посты не сохраняются.

| сохранено

H Компания Amazon отключила возможность проксирования трафика в черновиках



Спустя неделю после того, как корпорация Google отключил возможность использовать свою сеть в качестве прокси-сервиса, аналогичным образом поступила и компания Amazon. На днях представители Amazon Web Services объявили о том, что они планируют ввести новые правила работы со своим сервисом. Эти правила подразумевают невозможность для разработчиков перенаправлять трафик для того, чтобы избежать блокировки сетей.

В Amazon сообщили, что этот шаг позволит лучше бороться со зловредным программным обеспечением. «Разработчики malware могут использовать сеть Amazon для того, чтобы избежать возможности блокировки», — говорится в посте. «Никто из пользователей AWS не согласился бы на то, чтобы кто-то использовал в своих целях их собственный домен».

До настоящего момента большинство провайдеров облачных услуг позволяли работать со своими сервисами в качестве прокси, перенаправляя запросы пользователей на другие домены. Кроме разработчиков зловредного ПО эту возможность использовали пользователи сети, которые боролись с теми либо иными блокировками, включая запрет Telegram в России.

К сожалению для многих пользователей Telegram ни Google, ни Amazon не станут продолжать практику проксирования. Впрочем, Amazon позволит своим пользователям работать с различными доменами и ресурсами, которые принадлежат этому пользователю, но проксировать трафик всем желающим не разрешат.

Google раньше других крупных компаний запретил использовать собственную сеть в качестве прокси. Ранее многие сервисы имели возможность использовать Google в качестве прокси-сервиса, включая перенаправление трафика на свои сервера через домен Google.com. Кроме всего прочего, это позволяло разным компаниям обходить блокировки.

Изначально официального объявления не было, первыми изменения заметили разработчики сети Tor 13 апреля. Тем сервисам, которые использовали технологию доменного фронтирования, пришлось несладко, поскольку некоторые из них не смогли обходить государственную цензуру, включая защищенный мессенджер Signal и VPN-сервис Psiphon.

В корпорации Google рассказали о том, что инструмент domain-fronting был доступен благодаря особенностям программного обеспечения корпорации, но восстанавливать эту возможность никто не собирается.

Что касается Amazon, то вполне может быть, что действия компании обусловлены тем, что Роскомнадзор забанил 655 352 IP-адресов Amazon. Это было сделано для того, чтобы предотвратить возможность работы мессенджера в России. «У нас в выгрузку поступила подсеть Amazon, на которую перешёл Telegram, — сказал глава ведомства Александр Жаров. — Дело в том, что третий пункт решения суда предписывает Роскомнадзору и иным юридическим лицам не создавать условия для технического доступа к заблокированному мессенджеру. Мы исполняем решение суда». Тогда под блокировку попали подсети Amazon 52.58.0.0/15, 18.196.0.0/15, 18.194.0.0/15 и 35.156.0.0/14. Позже в реестр внесли ещё подсеть 18.184.0.0/15.

Подсеть Google попала подсеть Google 35.192.0.0/12, которая содержала более миллиона IP-адресов компании, попала в выгрузку реестра запрещенных сайтов для провайдеров по той же причине — Telegram обходил блокировку с использованием метода проксирования.

Действия Роскомнадзора, который и борется с Telegram, привели к тому, что крупнейшие телекоммуникационные компании РФ стали высказываться против действий ведомства. «Попытка заблокировать Telegram в России неожиданно стала ударом по всему рунету. Блокировка коснулась не только мессенджера — пострадали многие ресурсы и их пользователи. Мы не считаем эту ситуацию нормальной», — заявил в «Яндексе».

C представителями отечественного поискового сервиса согласны и другие компании, например «Вконтакте». Так, управляющий директор социальной сети Андрей Рогозов заявил, что передача ключей и получение доступа к информации за пределами устройства с мессенджером, где работает end-to-end шифрование невозможно по определению.

комментарии (21)

0
vassabi ,  
я наверно плохо понимаю тонкости реализации, но что мешает завести 730 аккаунтов, а потом год менять айпи по два раза в сутки?
0
BlessYourHeart ,  

Ничего не мешает. Вопрос контекста.
Никакой фигвамнадзор не может прийти к Амазону и потребовать заблокировать телеграмм.
НО при этом (считается) совершенно нормально если надзор сообщит, что Амазон имеет инструменты для злоумышленников для обмана наивных пользователей интернета и попросит их закрыть.
Если Амазон откажется, то любой надзор скажет, что мошенники и скамеры с помощью амазонов создают поддельные сайты и воруют деньги и персональную информацию. А это уже выглядит не очень красиво со стороны Амазона. Палка о двух концах. И Амазон правильно решил внести изменения, так как у телеграмма есть и другие возможности избегать блокировок.

0
+1 –1
qw1 ,  
Ну, то есть всё как обычно: Телеграм продолжит работать, а пострадают очередные непричастные сервисы — Tor и Psiphon.
+5
ConstSe ,  
Бейте меня палками, но я немного не догоняю. Гугл и амазон запретили domain fronting. Но не запретили же использовать их сервера в качестве проксей? А при чём тут телеграм? Я может быть неправильно понимаю, сильно не вдавался в подробности реализации обхода блокировок телеграмом, но вроде бы он пушит клиентам адреса проксей, периодически их меняя? Как это связано с domain fronting? В чём я ошибаюсь?
+10
+13 –3
vconst ,  
Всё так, в «новости» сплошной желтушный бред. Ни тот, на другой хостер на запретили использовать свои серверы как прокси, Телеграмм не использовал domain fronting, адресов Амазон было заблокировано не 655к — а насколько миллионов.

Пожалуйста, удалите отсюда эту безграмотную чушь, в ней нет ни слова правды.
0
+2 –2
Laney1 ,  
А при чём тут телеграм?

мы живем в мире пиара. Теперь Роскомнадзор победно отрапортует на госканалах, что Гугл и AWS начали выполнять их требования, процитирует мнения айтишников, якобы полностью с этим согласных (domain fronting и правда очень грязный хак), может даже что-нибудь разблокирует, и т.д.

+1
+2 –1
ConstSe ,   * (был изменён)
Вот какая штука… При появлении статей о, скажем политкорректно, некомпетентных действиях надзорного органа, Geektimes ставит плашку о недопустимости «токсичного поведения». При этом редакторы портала вполне позволяют себе токсичное поведение в отношении пользователей. Введение в заблуждение во имя пропаганды ведь следует считать таковым? Некорректно, ящитаю.
+1
lostpassword ,  
Разработчики Signal вчера сообщили, что им взгрустнулось.
+1
sotnikdv ,  
Откровенно говоря, я полностью на стороне Амазона в данном конкретном случае

Yesterday AWS became aware of your Github and Hacker News/ycombinator posts describing how Signal plans to make its traffic look like traffic from another site, (popularly known as “domain fronting”) by using a domain owned by Amazon — Souq.com. You do not have permission from Amazon to use Souq.com for any purpose. Any use of Souq.com or any other domain to masquerade as another entity without express permission of the domain owner is in clear violation of the AWS Service Terms
+1
tyomitch ,  
Я не очень понимаю фразу «You do not have permission from Amazon to use Souq.com for any purpose.»
Чтобы ввести название домена Souq.com в браузер, мне ведь не нужно разрешение Amazon?
А чтобы то же самое название домена Souq.com серверу Amazon передавал не мой браузер, а написанный мной скрипт — мне уже нужно разрешение Amazon?
0
tyomitch ,  
Собственно, разработчики Signal в том посте сами комментируют, что формального нарушения AWS Service Terms нет:
Although our interpretation is ultimately not the one that matters, we don’t believe that we are violating the terms they describe:
  1. Our CloudFront distribution isn’t using the SSL certificate of any domain but our own.
  2. We aren’t falsifying the origin of traffic when our clients connect to CloudFront.
+1
+3 –2
flatscode ,   * (был изменён)
Разработчики Signal вчера сообщили, что им взгрустнулось.

А мне взгрустнулось от этого (цитата из сообщения по ссылки выше, от разработчиков Signal):

...The idea behind domain fronting was that to block a single site, you’d have to block the rest of the internet as well. In the end, the rest of the internet didn’t like that plan...

Т.е. ребятишки берут в заложники «rest of the internet» ради того, что бы их служба работала.

У меня здесь такие ассоциации:

Заложник — человек, захваченный с целью заставить кого-либо (родственников заложника, представителей власти или тому подобное) совершить определённые действия или воздержаться от совершения определённых действий ради освобождения заложника, недопущения его убийства или нанесения серьёзного вреда его здоровью.
+1
tyomitch ,  
Ассоциации не вполне уместные, потому что в случае domain fronting «заложник» может даже не подозревать, что таковым является.
Ключевое слово в определении заложника — то, что он захвачен, т.е. лишён свободы. Домен Souq.com не был захвачен.
+3
+5 –2
Dmitri-D ,  
marks вы неправы. Ничего такого ни Amazon ни Гугл не запретили. Не нужно тиражировать вранье, благо оригинал доступен:
aws.amazon.com/ru/blogs/security/enhanced-domain-protections-for-amazon-cloudfront-requests
и там ни слова о запрете проксирования.
Там запрет на Domain Fronting, это совсем не прокси, это совсем другая хрень, которая вообще никогда и не должна была работать.
+1
+2 –1
tyomitch ,  
Это была «непреднамеренная фича», но единственное, для чего она могла использоваться — это обход DPI. Соответственно, единственная мотивация её выпиливать — это облегчить работу интернет-цензорам.
Аргументы Амазона («in other cases, tools including malware can use this technique between completely unrelated domains to evade restrictions and blocks that can be imposed at the TLS/SSL layer») ничем не отличаются от аргументов Роскомнадзора: «раз этим гипотетически могут пользоваться террористы и педофилы, значит надо отключить».
–1
+2 –3
rexen ,  
Пожалуйста, удалите отсюда эту безграмотную чушь, в ней нет ни слова правды.

Тем не менее, статья — с плюсами. (по крайней мере на момент моего комментария). Что показывает среднестатистический уровень читателя. «Пипл хавает» (Нынче — лайкает). К сожалению, используя эмоции, а не понимание.
+1
+2 –1
tyomitch ,   * (был изменён)
В статье есть некорректные формулировки (речь о domain fronting, а не о проксировании) и некорректные сравнения (Телеграм и блокировки его IP-адресов не имеют никакого отношения к делу), но в целом новость «Amazon вслед за Google принимает меры в поддержку интернет-цензуры» очень важная, и передана корректно.
0
+1 –1
vconst ,  
Вся статья — одна большая неточность, в которую случайно попала пара реальных фактов. Она была справедливо убрана в черновики, но сейчас ее достали обратно. Совершенно непонятно зачем, ибо ни одну ошибку на исправили.
0
imanushin ,  

Уже нет:


0
buggykey ,  
«Amazon вслед за Google принимает меры в поддержку интернет-цензуры»
Amazon вслед за Google-ом все-таки был покусан роскомнадзором?
0
tyomitch ,  
Увы, цензура интернета вводится во многих странах. РКН мог стать последней соломинкой, после которой им легче «расслабиться и попытаться получать удовольствие», чем продолжать отбиваться ото всей Азии.