Отв: Болтаем о сетевой шифрации (было: «Разное реагирование «Privoxy» на протоколы https и http»).
Здравствуй, Dmitrii. Спасибо за письмо, написанное в Fri, 28 Mar 2014 13:17:10 +0400: > > Ошибка: должно было быть «по названным протоколам нет». > > А вроде должны быть. От куда ж такая уверенность?! > > Да я читал как бы уже. А твои прозрачные намёки-таки не указывают на > > суть проблемы. В виду того, что «зам» передаёт шифрованные страницы. > > Намёки, значит. =( Хорошо, «посыл на» ненужную мне документацию. - Может, так удовлетворит? ;о) Пожалуйста, пойми, я не тот человек, к. не хочет трудиться, ждёт готовых решений. Но пока приведённые указки я почитаю, как «не в цель», а если уж посылать меня, так уж на документацию «Прайвокси». > А Вы ожидали готового решения? Так этого почти никогда не бывает. > Никто за Вас Вашу работу делать не станет, ясен пень. Я ожидал того, что кто-то поделится опытом. Но, к чему сии разговоры? > > Ну, как ты помнишь, вопрос «вмешательства» сводится к различию имён > > машин - что не является большой тайной в виду того, что зам-у н/О > > знать название машины с которой соединять обозреватель - и тут > > шифрованное соединение или нет - без разницы. > > Бугага. Разница огромная, ибо "вмешательство" в случае шифрованного > соединения подразумевает нечто гораздо большее. Дело в том, что SSL > используется не только для шифрования соединения, но ещё и для того, > чтобы удостовериться, что Вы говорите именно с тем сервером, с которым > хотели соединиться. Дмитрий, можно/нужно на «ты». :о) По работе «Прайвокси» не скажешь, что он проверяет, либо не проверяет целевую машину только из-за присутствия её имени в списке на блокировки. Тебе, похоже, близка тема шифрования, или ты так хочешь убедить меня в вескости твоих аргументов «посыла на» ненужную мне документацию, что постоянно говоришь о шифровании. Я уже начинаю жалеть, что с этим вопросом обратился. :о) Давайте закончим где-то тут, если только вся рассылка не хочет здесь немного выпустить «пар» на эту тему, «потрещать» о том, кто чего достиг в плане сетевой шифрации. :о) А пойду пороюсь на узле «Прайвокси», если будут хоть какие вести, отпишусь здесь - пусть растёт «база знаний» «Дебиан»а. :о) Хорошего времени суток. С уважением, Ста. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140328184250.375ad17b@STNdom
Отв: Болтаем о сетевой шифрации (было: «Разное реагирование «Privoxy» на протоколы https и http»).
Здравствуй, Artem. Спасибо за письмо, написанное в Fri, 28 Mar 2014 13:39:44 +0400: > Значит, читал, но не понял. Суть проблемы простая: если браузер > знает, что он работает через прокси, то он не поймет предупреждения > от прокси на запрос CONNECT (так устроен протокол общения с прокси), > а если не знает (если privoxy настроен на прозрачное проксирование), > то обнаружит врага-в-середине, и откажется связываться. В любом > случае ему не прет. Какие предупреждения?! - «Прайвокси» просто потрошит и возвращает страницу. Либо не потрошит (в случае шифровки) и возвращает страницу. Но почему-то странно себя ведёт ЕСЛИ название машины в чёрном списке И обращение к ней происходит по «шифровке». Всё. Поэтому, ему «прёт», если не выполняются эти два условия. > Первую проблему правильно было бы лечить со стороны протокола явного > проксирования, и это было бы вполне корректно и законно, но это надо > править все браузеры, т.е. по факту не лечится. Вторую известно как > лечить, средства существуют, и вот тут уже да, можно обращаться в доки > или рассылки privoxy, но см. ниже про "огрести". У меня твёрдое чувство того, что мы о разном говорим, по-разному смотрим на вещи. Тут не н/о ничего переписывать: этого никто из этого разговора делать не б/т. Тут просто н/о решить: то ли как-то указать чего-то ещё «прайвокси» в настройках - хотя, «прайвокси» не принимает названия машин с указанием протокола, и сам не «рубит» правильно. - Поэтому, вопрос сводится: м/о или нет настроить, и сели м/о, а оно не работает - отправить отчёт разработчикам, и конец опросу - а рассылка начала проектирование нового «прайвокси»/обозревателя/детектора_атак_«аля_чел_между_нами». :о) -- Поэтому, я и говорю, давайте тему переименуем, и б/т «трещать» на тему сетевой шифрации, и как, вообще, всё работать должно в противовес тому, как оно ныне работает. :о) > СД> 1. Опыта ни у кого в рассылке нет. :о( > Угу. Задача в большинстве случаев не стоит того, чтобы ее решать, > потому и опыта нет. Может, кстати, у кого и есть, но в силу легкой > противозаконности :) такого опыта, он предпочитает помалкивать... А! Опять ты за своё! :о) Запретить кому доступ - не является преступлением, даже по «законам» «ЕдРо»стов! :о) > СД> 2. Пойду дале «копать» док-цию «прайвокси», или тамошние > рассылки. > > Удачи. Спасибо на добром слове. :о) > СД> Ну, как ты помнишь, вопрос «вмешательства» сводится к различию > имён СД> машин > > Не имен, а машин, вернее, их владельцев. Отсюда и проблемы. Проблемы не от сюда. М/т док-ция «прайвокси» лучше опишет мою суть, извини, на английском: «4.15. How can Privoxy filter Secure (HTTPS) URLs? Since secure HTTP connections are encrypted SSL sessions between your browser and the secure site, and are meant to be reliably secure, there is little that Privoxy can do but hand the raw gibberish data though from one end to the other unprocessed. The only exception to this is blocking by host patterns, as the client needs to tell Privoxy the name of the remote server, so that Privoxy can establish the connection. If that name matches a host-only pattern, the connection will be blocked. As far as ad blocking is concerned, this is less of a restriction than it may seem, since ad sources are often identifiable by the host name, and often the banners to be placed in an encrypted page come unencrypted nonetheless for efficiency reasons, which exposes them to the full power of Privoxy's ad blocking.» Хорошего времени суток. С уважением, Ста. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140328190133.59a61b0c@STNdom
Re: Отв: Болтаем о сетевой шифрации (было: "Разное реагирование Privoxy на протоколы https и http").
On Fri, Mar 28, 2014 at 06:42:50PM +0700, Ста Деюс wrote: > Пожалуйста, пойми, я не тот человек, к. не хочет трудиться, ждёт > готовых решений. Работа головой -- это тоже работа. А если хочется поработать лопатой, перекидывая кусочки конфигов из гугла в свою песочницу, значит, вести переговоры должен был кто-то другой, а не желающий лопатить. > Я ожидал того, что кто-то поделится опытом. Но, к чему сии разговоры? Почему опыта ни у кого нет и вряд ли может быть -- уже написали. Странно после этого ждать ещё и нерабочий конфиг. :) -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140328115827.gt3...@protva.ru
Re: Отв: Болтаем о сетевой шифрации (было: «Разное реагирование «Privoxy» на протоколы https и http»).
Ста Деюс -> debian-russian@lists.debian.org @ Fri, 28 Mar 2014 19:01:33 +0700: >> Значит, читал, но не понял. Суть проблемы простая: если браузер >> знает, что он работает через прокси, то он не поймет предупреждения >> от прокси на запрос CONNECT (так устроен протокол общения с прокси), >> а если не знает (если privoxy настроен на прозрачное проксирование), >> то обнаружит врага-в-середине, и откажется связываться. В любом >> случае ему не прет. СД> Какие предупреждения?! - «Прайвокси» просто потрошит и возвращает СД> страницу. Либо не потрошит (в случае шифровки) и возвращает страницу. Твое представление о его работе "в случае шифровки" не соответствует действительности. Дальнейшее - следствие этого несоответсвия. Если ты его устранишь, ты будешь ближе к положительному результату. Я, собственно, дальнейшую дискуссию поскипал именно потому, что вследствие этого несоответствия она таки да, смысла не имеет. Устраняй. >> СД> 1. Опыта ни у кого в рассылке нет. :о( >> Угу. Задача в большинстве случаев не стоит того, чтобы ее решать, >> потому и опыта нет. Может, кстати, у кого и есть, но в силу легкой >> противозаконности :) такого опыта, он предпочитает помалкивать... СД> А! Опять ты за своё! :о) Запретить кому доступ - не является СД> преступлением, даже по «законам» «ЕдРо»стов! :о) Закон считает иначе :) Как говорится, в теории между теорией и практикой нет разницы. На практике - есть :) >> СД> Ну, как ты помнишь, вопрос «вмешательства» сводится к различию >> имён СД> машин >> >> Не имен, а машин, вернее, их владельцев. Отсюда и проблемы. СД> СД> Проблемы не от сюда. М/т док-ция «прайвокси» лучше опишет мою суть, СД> извини, на английском: Проблема оттуда. А то, что ты процитировал, это следствие. Ну, собственно, исходя из этой цитаты ты можешь не напрягаться ходить в списки рассылки privoxy. Из нее вполне однозначно следует, что нужной тебе функциональности в нем нет (я в этом не был уверен), и делать ее там никто не будет. СД> «4.15. How can Privoxy filter Secure (HTTPS) URLs? СД> Since secure HTTP connections are encrypted SSL sessions between your СД> browser and the secure site, and are meant to be reliably secure, there СД> is little that Privoxy can do but hand the raw gibberish data though СД> from one end to the other unprocessed. СД> The only exception to this is blocking by host patterns, as the client СД> needs to tell Privoxy the name of the remote server, so that Privoxy СД> can establish the connection. If that name matches a host-only pattern, СД> the connection will be blocked. СД> As far as ad blocking is concerned, this is less of a restriction than СД> it may seem, since ad sources are often identifiable by the host name, СД> and often the banners to be placed in an encrypted page come СД> unencrypted nonetheless for efficiency reasons, which exposes them to СД> the full power of Privoxy's ad blocking.» -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/877g7e5pcu@wizzle.ran.pp.ru
Re: Отв: Болтаем о сетевой шифрации (было: «Разное реагирование «Privoxy» на протоколы https и http»).
Ста Деюс writes: >> > Да я читал как бы уже. А твои прозрачные намёки-таки не указывают на >> > суть проблемы. В виду того, что «зам» передаёт шифрованные страницы. >> >> Намёки, значит. =( > > Хорошо, «посыл на» ненужную мне документацию. - Может, так > удовлетворит? ;о) Тебе был дан ответ. Ответ был "с вероятностью 99% это невозможно, хотя можно попробовать покопать вот в этом направлении". > Пожалуйста, пойми, я не тот человек, к. не хочет трудиться, ждёт > готовых решений. Но пока приведённые указки я почитаю, как «не в > цель», а если уж посылать меня, так уж на документацию «Прайвокси». Ну знаешь ли. Когда тебе сообщество не безграмотных людей рекомендует в один голос одно и то же, это вообще говоря повод задуматься над своим вопросом ещё раз. >> А Вы ожидали готового решения? Так этого почти никогда не бывает. >> Никто за Вас Вашу работу делать не станет, ясен пень. > > Я ожидал того, что кто-то поделится опытом. Но, к чему сии разговоры? К тому, что старшие товарищи дают советы, которые нам нужны, а не те, которые мы хотим получить. Хм... Мать Тереза то же самое говорила о Боге, между прочим. >> > Ну, как ты помнишь, вопрос «вмешательства» сводится к различию имён >> > машин - что не является большой тайной в виду того, что зам-у н/О >> > знать название машины с которой соединять обозреватель - и тут >> > шифрованное соединение или нет - без разницы. >> >> Бугага. Разница огромная, ибо "вмешательство" в случае шифрованного >> соединения подразумевает нечто гораздо большее. Дело в том, что SSL >> используется не только для шифрования соединения, но ещё и для того, >> чтобы удостовериться, что Вы говорите именно с тем сервером, с которым >> хотели соединиться. > > Дмитрий, можно/нужно на «ты». :о) > > По работе «Прайвокси» не скажешь, что он проверяет, либо не проверяет > целевую машину только из-за присутствия её имени в списке на > блокировки. Проверяет не Privoxy, а механизмы SSL, использование которого подразумевается протоколом HTTPS. > Я уже начинаю жалеть, что с этим вопросом обратился. :о) > > Давайте закончим где-то тут, если только вся рассылка не хочет здесь > немного выпустить «пар» на эту тему, «потрещать» о том, кто чего достиг > в плане сетевой шифрации. :о) Ну и ты пойми, что столько разговоров потому, что вроде пишет в рассылку человек с грамотностью выше среднего, соображает, но почему-то никак не уразумеет ответ на свой вопрос. Вот и пытаются тебе его донести на разные лады разные люди. pgpYBVtGP60Nb.pgp Description: PGP signature
