— SATtva (05/09/2013 10:37)   

По HTTPS устанавливается соединение с 217.16.21.152 Мастерхоста, за этим следуют другие ip-адреса, обычно, Akamay

Непосредственно сайт pgpru никогда не пользовался какими бы то ни было CDN. Сайт всегда хостился на одном IP, никакие сторонние адреса не требовались и не требуются для его работы.

— тестерТьюринга (05/09/2013 11:46)   
Понятно. Когда писал первое сообщение, долбится 23.15.10.58 и 23.15.10.73 Сейчас 96.7.54.114 и 96.7.54.128 Атаки на свою систему не замечал. Сканирование системы ничего не показало.

— SATtva (05/09/2013 11:51)   
Wireshark в помощь.

— Гость (05/09/2013 18:08)   
Есть рекламные вставки — это раз (не знаю, могут ли они влиять), и есть вставки картинок пользователями, которые не прикреплены к странице, поэтому каждый раз подгружаются с внешнего сервера. Во втором случаяе будет наблюдаться broken https, битый замок и соединение с левыми серверами.

— SATtva (05/09/2013 18:20, исправлен 05/09/2013 18:21)   

Рекламные вставки грузятся непосредственно с сайта, счётчиков, скриптов и каких-либо ещё внешних ресурсов у нас нет. Картинки — да, могут быть источником внешних запросов, но только с тех страниц, где они размещены.

— тестерТьюринга (05/09/2013 19:25)   
На странице последних коментариев^[link1] должно быть всё однообразно, насколько понимаю. Сегодня при ее обновлении появились два новых 195.12.232.155 и 195.12.232.147 Всегда порт 80.
У кого нет желания осваивать Wireshark, может проверить просто в консоли
$ netstat -autn

— SATtva (05/09/2013 19:31)   
Надо смотреть не факт соединений, а их содержимое. Передавать что-то браузер может просто по факту подключения к сайту (всякая там проверка фишинговых/зловредных сайтов и т.п.).

— тестерТьюринга (05/09/2013 20:13)   

Это да – у всех настройки разные...
Сейчас могу сказать только за свой комп. К определенной модели безопасности(настройки браузера, firewall и т.д.) давно привык – всякие аномалии заметны. Это тот случай.

— Гость (05/09/2013 20:29)   

Лучше netstat -apn, он всё показывает, даже программу, которая шлёт эти пакеты, но (для опции -p) надо её выполнять от рута. Предлагаю всё отключить лишнее, запустить снифер:и смотреть. Передавать информацию могут дополнительные плагины и расширения. Для начала проверьте на чистом firefox без расширений и плагинов.

Официально пишут, что якобы никаких доменных имён нет на этих адресах:
http://myip.ms/info/whois/195.12.232.155
http://myip.ms/info/whois/195.12.232.147
Но по IP отвечают странные веб-сервера, похожие на счётчики: http://195.12.232.155, http://195.12.232.147. Оба IP принадлежат Швеции, которая тесно и официально сотрудничает с АНБ (тотальная слежка в Швеции официально легализована, писали тут об этом).

— Гость (05/09/2013 20:33)   
А тут^[link2] пишут, что это Франция.

— Гость (05/09/2013 20:51)   
155-ый принадлежит^[link3] Akamai^[link4]. Вот их чёрный бизнес:

When a user navigates to a website, such as Whitehouse.gov, Bing, Facebook, or Twitter, their browser is redirected to one of Akamai’s copies of this website, almost entirely invisible to the vast majority of its users. However, since SSL is designed to highlight hidden intermediaries, Akamai has struggled to make secure web pages work with their service, and an attempt to connect to a popular website over HTTPS will often reveal Akamai

Though the domain name (but not subdomain) is the same, the IP address points to an Akamai server or another user's machine that Akamai is using as a server rather than the customer's server. The Akamai server is automatically picked depending on the type of content and the user's network location.

И вот ещё^[link5]:

The platform is made up of a distributed network of servers and intelligent software, delivering over two trillion interactions daily. No one delivers more Web traffic than Akamai and 90% of Internet users are a single network hop away.

Ройте отсюда. Кстати, запрещена ли проверка сайтов на блеклисты в firefox?

Не знаю, как репликация сайтов реализована в Akamai технически. Может, наш slavehost включает это для своих сайтов по умолчанию?

— Гость (05/09/2013 21:32)   
Это же коннекты к OCSP серверу, проверка статуса у сертификата. По умолчанию это делают все браузеры, но если нужно то отключаемо. Для сертификата с pgpru проверка осуществляется на ocsp.startssl.com
Startssl держит сервера на акамаи.

— тестерТьюринга (05/09/2013 22:51)   


Предположим, идет проверка сертификата, делаю ее недоступной firewall-ом, но это никак не отражается на загрузке страниц сайта. Ситуация тоже какая-то не нормальная.

Вообще, Акамаи – это хостинг, следовательно там могут быть разные конторы. Недавно из Винды на её ip-шник утекло 300-400МБ! Кому и зачем — вообще не понятно. Узнал об этом по счетчику, когда отключал модем.

— Гость (06/09/2013 02:36)   

Неправда^[link6]:

В сертификате pgpru нет расширения OSCP.

Моя гипотеза — OSCP здесь ни при чём, а объяснение Гостя (05/09/2013 21:32) неверное. Само по себе соединение сайта с левыми IP, когда администратор сайта этого не настраивал, происходить не должно. Подозреваю, что включен левый функционал каким-то образом. Какая система-то? Есть ли плагины и расширения? Наблюдается ли эффект на чистом профиле? А в другой чистой ОС на LiveCD? Топикстартер пока никакой толком информации не предоставил.

— Гость (06/09/2013 02:52)   

Глянуть самому сертификат не судьба? Не знаю что было раньше, сейчас всё есть.

— Гость (06/09/2013 02:59)   

Я вам привёл ссылку на топик с последним обновлением сертификата этого сайта. /comment66653^[link7] прозрачно намекает, что при HTTPS с pgpru ничего нигде дополнительно не запрашивается и не отправляется. Что только подтверждается цитатой:

делаю ее недоступной firewall-ом, но это никак не отражается на загрузке страниц сайта.

— Гость (06/09/2013 03:06)   
Firefox игнорирует недоступность OSCP сервера, но если он ответил то проверяет статус. Вот такая вот безопасность.
У вас в браузере сертификат, который вы точно только что загрузили. Сертификат прозрачно намекает, что там есть, а чего нет. Посмотрите сами, что тут ещё нужно доказывать?

— Гость (06/09/2013 03:12)   
Я не спец по сертификатам, поэтому спорить не буду. Интересно послушать, что сказали бы sentaus и SATtva на этот счёт.

— Гость (06/09/2013 03:26)   
Выкладываю сертификат, как его видно здесь:
Certificate: Data: Version: 3 (0x2) Serial Number: 698098 (0xaa6f2) Signature Algorithm: sha1WithRSAEncryption Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA Validity Not Before: Jun 6 21:34:56 2013 GMT Not After : Jun 7 16:56:55 2014 GMT Subject: description=7vqcSJeuxjr1G22u, C=RU, CN=www.pgpru.com/emailAddress=webmaster@pgpru.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:bf:9c:5d:66:81:1c:d4:11:8a:2f:6a:91:50:9f: b2:55:e5:bc:cf:24:94:bb:c2:ca:75:d5:4f:0b:49: 17:47:a5:73:d2:46:23:61:8d:30:19:14:15:26:a4: a3:cc:dd:09:b5:ed:da:d1:15:70:39:69:73:a0:cc: 6c:39:e5:db:80:df:e2:bd:9f:fe:dc:c4:a0:92:63: c2:ef:29:f6:38:46:56:3a:b6:9c:f0:4a:89:2e:21: 83:84:14:73:56:97:a7:f0:05:68:f7:ed:72:68:54: 2b:19:6d:a2:fe:e7:34:af:22:1c:8a:54:c5:ae:c8: b1:d9:b9:cd:39:d6:1f:2d:79:1d:a0:10:b5:55:ef: 40:a5:ad:78:34:37:8e:65:bf:48:44:51:c1:85:76: ac:db:af:7b:68:51:84:9d:da:ed:b5:33:fa:66:c8: 9a:84:7e:59:ad:2b:c7:df:84:8b:5b:b6:9b:b7:7b: d3:64:78:fa:c0:9a:80:1f:c0:fd:26:4f:dc:46:ef: bf:f5:10:6b:22:a2:2f:27:6f:5d:34:e8:81:6c:34: fa:85:e9:f0:a2:0b:5b:7b:3f:22:fa:ac:d3:bb:12: 8d:cf:d0:92:38:44:aa:4d:8f:83:43:be:b1:dd:a0: 42:40:01:19:58:2c:2a:7f:df:7f:e4:2e:a0:72:49: 6a:8b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Key Encipherment, Key Agreement X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Subject Key Identifier: D7:1D:C2:C1:33:98:61:FA:DC:CA:0E:9D:6D:A5:10:F6:1C:F4:F0:86 X509v3 Authority Key Identifier: keyid:EB:42:34:D0:98:B0:AB:9F:F4:1B:6B:08:F7:CC:64:2E:EF:0E:2C:45 X509v3 Subject Alternative Name: DNS:www.pgpru.com, DNS:pgpru.com X509v3 Certificate Policies: Policy: 2.23.140.1.2.1 Policy: 1.3.6.1.4.1.23223.1.2.3 CPS: http://www.startssl.com/policy.pdf User Notice: Organization: StartCom Certification Authority Number: 1 Explicit Text: This certificate was issued according to the Class 1 Validation requirements of the StartCom CA policy, reliance only for the intended purpose in compliance of the relying party obligations. X509v3 CRL Distribution Points: URI:http://crl.startssl.com/crt1-crl.crl Authority Information Access: OCSP - URI:http://ocsp.startssl.com/sub/class1/server/ca CA Issuers - URI:http://aia.startssl.com/certs/sub.class1.server.ca.crt X509v3 Issuer Alternative Name: URI:http://www.startssl.com/ Signature Algorithm: sha1WithRSAEncryption 82:66:a1:9c:49:27:1f:ad:0d:da:2b:45:67:4c:7e:e9:d1:45: 9b:1b:f1:82:5e:23:80:79:d3:89:2f:f7:94:ca:1c:dd:fc:85: 5a:70:b8:09:17:1b:68:b6:cb:15:9d:db:67:84:eb:aa:37:07: 2c:57:78:2a:84:28:df:e3:a0:98:43:fa:f7:d0:d2:fa:8b:50: 3d:b8:c8:9a:7f:99:ff:35:d3:e6:f2:75:c0:d2:7d:0c:ab:5a: 42:d3:08:b3:ce:87:e5:76:dc:74:10:b3:2c:01:de:da:31:24: 35:ec:8b:0e:0f:f7:04:2f:de:e5:30:c4:ad:c5:4c:0e:0a:5c: 71:84:e0:38:08:dd:a7:83:34:4d:35:fa:17:57:27:7d:b5:e7: 63:82:1b:ba:8a:bf:ee:02:98:af:2f:34:29:6b:a0:28:4f:2c: 23:24:3f:d5:4f:b9:95:90:ba:74:2b:b5:7c:bc:c4:76:ee:a5: 0e:80:95:c3:79:50:86:0d:fb:1c:c5:07:11:53:3a:38:01:d1: 45:b6:b1:6f:bb:f7:d2:1f:65:3b:2b:d2:58:3b:4c:47:19:f2: 1b:25:82:be:7d:d5:25:30:41:3e:00:ee:46:87:0a:44:41:e5: d8:91:2c:cf:16:0e:c1:f5:e9:17:8c:94:b8:f7:85:c7:e8:75: 55:61:48:53

— SATtva (06/09/2013 07:34)   

Предположим, идет проверка сертификата, делаю ее недоступной firewall-ом, но это никак не отражается на загрузке страниц сайта. Ситуация тоже какая-то не нормальная.

Firefox игнорирует недоступность OSCP сервера, но если он ответил то проверяет статус.

Так будет, если OSCP не настроен на fail closed — расценивать непрохождение проверки как недействительный сертификат. По умолчанию он везде fail open (не очень понятно, зачем он вообще нужен в этом случае).

— тестерТьюринга (06/09/2013 08:30)   

Главное – браузер настроен спрашивать проверку сертификата. При загрузке сайта сертификат не запрашивается и в списках не значится.

Проверял по-разному. В основном под Виндой в браузере, где почти всё отключено.

195.12.232.155 и 195.12.232.147 получил в Линуксе. Плагины браузера, картинки и js были отключены. Заходил на pgpru первый и единственный раз.

— тестерТьюринга (06/09/2013 12:31)   

О, startssl объявился. Со вчерашнего вечера 192.116.242.20 засвечивается вперемешку с 23.15.10.58 и 96.7.54.114
Как мне сейчас поступить? Законнектиться и смотреть в сторону сертификата или что…

— SATtva (06/09/2013 12:44)   
Отключите в браузере проверку OSCP. Если и после этого продолжатся сторонние подключения, то, я даже не знаю... разбирайте трафик, смотрите, что там идёт.

— тестерТьюринга (06/09/2013 14:43)   

Да, после откючения OSCP в Лисе под Линуксом остался только 217.16.21.152

Тогда ещё вопрос о сертификате с pgpru. В Opera в Управлении сертификатами есть несколько вкладок:
Издатели
Посредники
Одобренные
Во вкладке Одобренные pgpru отсутствует. Во вкладках Посредники и Издатели имеется StartCom. Этого достаточно?

— SATtva (06/09/2013 14:53)   
Да, доверие наследуется от StartCom.

— Гость (08/09/2013 04:24)   

Нет^[link8], конечно. Надо создать отдельный профиль firefox для pgpru.com и сделать certificate pinning^[link9]: удалить вообще все корневые сертификаты, после первого захода на pgpru.com проверить отпечаток сайта^[link10] руками в консоли (gpg в помощь), и добавить его в браузер, как исключение, но и в этом случае сомнения не покидают меня. ©

Кстати, раз TorProject всё равно патчит firefox, почему бы им руками статически не прописать там сертификаты для своего сайта и чекеров?

— Гость (08/09/2013 04:33)   

Не поручусь, но мне кажется, что раньше я что-то проверял, и firefox не страдал такими проблемами. OSCP ранее не было в нём включено по умолчанию? Никто не помнит?

— unknown (08/09/2013 11:51)   

Кстати, раз TorProject всё равно патчит firefox, почему бы им руками статически не прописать там сертификаты для своего сайта и чекеров?

Тикет откройте, может и сделают.

— тестерТьюринга (08/09/2013 13:01)   

Firefox как-нибудь попробую настроить, но он не актуален – редко им пользуюсь. А в Opera не пойму даже как отключить OSCP.

Из последних наблюдений(не проверенных)
Если заходить на сайт со страницы вход^[link11] и при этом блокировать другие соединения, кроме 217.16.21.152, тогда откроется следующая страница с сообщением об успешной авторизации. Если же законнектить ещё, например, 96.7.54.114, тогда вход^[link11] обновится до сообщения об успешной авторизации. Если есть два варианта, то один из них более правильный, другой менее.
IP-шник startssl 192.116.242.20 при просмотре pgpru появлялся 1,5 суток. Теперь снова исчез, что впрочем соответствует просмотру https://www.startssl.com/?lang=ru

— Гость (09/09/2013 03:45)   

В опере тоже можно удалить все корневые сертификаты, поэтому методика работает один в один.


«законнектить» = «разрешить соединяться с ним с помощью файерволла»?


После ввода пароля? Не понял, чем это отличается от

Если же законнектить ещё, например, 96.7.54.114, тогда вход обновится до сообщения об успешной авторизации.

— тестерТьюринга (09/09/2013 08:14)   

Да.
При этом:
если открыть ip-шник на отдельной странице в браузере, то появится сообщение о редиректе и строка, начинающаяся с шарпа(#) Страница с адресом _http://X.X.X.X/#...... не обновляется, а висит постоянно в озу. У меня это вызывает подозрение на площадку для xss


Да, после ввода пароля и получения прав на редактирование страниц сайта. Отличается тем, что в первом случае будет две отдельные страницы – страница с формой для ввода пароля и страница с сообщением об успешной авторизации, на которые можно возвращаться при помощи стрелок браузера или Alt+Left/Right
Во-втором случае содержание страницы вход^[link11] обновится до сообщения об успешной авторизации.

— Гость (09/09/2013 08:52)   

В firefox есть просмотр кода страницы, открываемый по ctrl+u. Иногда оно даёт информативное что-то, но в случае этих IP ничего такого не вижу.


В каком смысле возникает вторая страница? Это отдельная вкладка или всплывающее окно? Откуда бы оно появлялось... Обычно после ввода login:pass страница перезагружается и пишет сообщение об успешной авторизации (можно ли её прокрутить назад через alt+left до страницы с запросом логина-пароля — не знаю).

— тестерТьюринга (09/09/2013 10:04)   

Ещё раз подчеркну, что пользуюсь браузером Opera.
Если Вы проверяли 96.7.54.114, то да – не срабатывает.

195.12.232.155
<HTML><HEAD> <TITLE>Invalid URL</TITLE> </HEAD><BODY> <H1>Invalid URL</H1> The requested URL "&#47;", is invalid.<p> Reference&#32;&#35;9&#46;97e80cc3&#46;1378705394&#46;1b93a1e6 </BODY></HTML>

— sentaus (09/09/2013 10:45)   
А соединения по странным IP шифрованные? Что в них wireshark видит? Даже если там TLS используется, то с большой вероятностью имя сервера через Server-Name-Indication будет видно.

— тестерТьюринга (09/09/2013 11:28)   

Запросы на соединение со всех левых IP идут для порта 80.
Как-то совсем не радует меня такое занятие – разбирать трафик. В текучке, что заметил – записал :)


Startssl (192.116.242.20) сегодня снова появился.

— тестерТьюринга (09/09/2013 14:09, исправлен 09/09/2013 14:12)   

tracert 195.12.232.155
195-12-232-155.customer.teliacarrier.com

— Гость (09/09/2013 14:56)   
Мало ли что и куда может слать опера, раз вы ей пользуетесь. Это проприетарный продукт напичканый всякой фигнёй, как и любой браузер. Если бы слал firefox, это ещё имело бы смысл разбирать, т.к. продукт с открытым исходным кодом и потому должен быть подконтролен, но разбирать шараварный софт... ну его на.

— Гость (09/09/2013 15:34)   
К примеру в опере был не отключаемый механизм обновления корневых сертификатов, в принципе. Но сейчас опера уже и не опера, а ещё один хромой браузер, поэтому могло что-то поменяться. Closed source при ней всё равно.

— тестерТьюринга (09/09/2013 17:03)   

Ну, вот, началось…
Я легко соглашусь, что проблемы с настройками моего браузера. Даже тему читал^[link12], где Опера фигурирует. Только одна заминка – на teliacarrier слазила Лиса из Линукса. Выше писал об этом(про единственный раз).

Может, в http://support.kaspersky.com/ смогут что-то подсказать? У них была похожая проблема.^[link13]

А вообще, с другими сайтами ничего похожего не наблюдается.

— SATtva (09/09/2013 17:32)   
Вы пробовали отключить OSCP и блэклисты в Firefox?

— Гость (09/09/2013 17:57)   
У оперы есть режим ускорения интернета. Opera Turbo или как он там. Не он ли виноват?

— тестерТьюринга (09/09/2013 20:06, исправлен 09/09/2013 20:14)   

Да, есть такой режим. Отключен постоянно.

Firefox запускал два раза. Первый раз плагины браузера, картинки и js были отключены, дополнительных настроек не делал. Убедился, что проблема тоже существует, как в Opera. Второй раз по Вашему совету отключил OSCP и убедился, что левых соединений не осталось. Дальше продолжал пользоваться Оперой в прежнем режиме. Почему? Не вижу проблемы на своем компе(только firewall напрягается больше, чем обычно)

p.s. если все считают, что при вкюченном OSCP соединение с akamai/teliacarrier – это нормально, то будем считать тему закрытой.

— Гость (10/09/2013 21:08)   

Если вас это действительно волнует, то обратитесь в StartSSL и спросите у них, пользуются ли они услугами Akamai. Если да, то всё выходит логичным.

— тестерТьюринга (11/09/2013 08:13)   

А они скажут всю правду? ;)

Мутная какая-то история.
Здесь^[link14] пишут, что

StartCom, as well as Entrust, now delivers its OCSP responses via the Akamai CDN (Content Delivery Network)…

Здесь^[link15] Startssl ещё числится на десятом месте, но в полной версии^[link16] того же списка его нет вообще. А дальше, как в воду канул.

— Гость (11/09/2013 08:48)   

А какой смысл её скрывать? Это же и так видно их клиентам.

— Гость (11/09/2013 08:50)   
Потестируйте какие-нибудь другие сайты, которые тоже используют сертификат, подписанный StartSSL. Если коннекты на левые IP при этом тоже будут наблюдаться, то всё консистентно.

— Гость (11/09/2013 08:51)   
netcraft блочит Tor-экситы, видимо, поэтому ваши ссылки не посмотреть. Смена цепочек не помогает.

— тестерТьюринга (11/09/2013 11:14, исправлен 11/09/2013 11:20)   

Видно непонятную чехарду. Половинчатые объяснения всегда найдутся. Ну, а про используете/не используете народ (#^[link17]) уже спрашивал.

Да, проверял на https://www.startssl.com/?lang=ru Ситуация аналогичная, но они себя не опасаются.

А в кэше Гугла?
_http://webcache.googleusercontent.com/search?q=cache:BfGrvsEc5q0J:news.netcraft.com/archives/2013/04/22/ocsp-server-performance-in-march-2013.html+StartCom+had+the+shortest+average+connect+time&cd=2&hl=ru&ct=clnk&gl=ru

— Гость (12/09/2013 04:33)   

Но вы же не знаете, пользуются ли услугами Akamai те, кто стоят на местах 1-9. Если да, то StartSSL ничем не выделен.


Сейчас напрямую открылось без проблем. Видимо, Tor у них всё-таки не полностью блочится.


Какая детская беспомощность! Неужели не могли найти поиском нейтральные сайты с сертификатом от StartSSL?! Дарю парочку для тестов бесплатно: https://forums.digitalpoint.com, https://wcjj.net.

— тестерТьюринга (12/09/2013 09:58)   

Извиняюсь за детский вопрос. Чего нового Вам дало дополнительное тестирование?

— Гость (12/09/2013 23:37)   

Я ничего не тестирую, тестируете вы. Ещё один сайт с сертификатом от StartSSL — https://www.whonix.org. Проверить на нейтральном сайте я вам предложил, чтобы закрыть бершь

они себя не опасаются.

— тестерТьюринга (13/09/2013 07:36)   

Похоже, давно необновляемый, без дополнительных настроек Firefox словил подтверждение вот этому^[link18].

прим. teliasonerа=teliаcаrrier

— Гость (13/09/2013 08:58)   

Представители TeliaSonera обеспокоены подобным ходом событий и утверждают, что имеют чистую репутацию, но как и любой другой оператор связи обязаны выполнять требования по санкционированному перехвату трафика, исходящие от правительств стран где они работают.

Вах, третий пошёл! DigiNotar и Comodo уже там. Только это... а какое имеет отношение StartSSL/StartCom к teliasonerа/teliаcаrrier? Не улавливаю связь. FireFox вам показывает, что сертификат для pgpru.com выдан не StartSSL'ем, а TeliaSonera'ой? Т.е. классический MITM? Тогда киньте сюда сертификат, будет интересно посмотреть.

— sentaus (13/09/2013 11:39, исправлен 13/09/2013 11:43)   

Вах, третий пошёл!

Тогда уж как минимум 4-й. Тут сообщалось уже в начале про какой-то турецкий УЦ, только отдельной новости не было – не такое это уже значительное событие. :)

— тестерТьюринга (13/09/2013 19:19)   

Сертификат был и остается только StartCom-a. Пока ограничился этим сообщением^[link19]. Следующему не последовал – настраивать не стал. Сейчас повторить, думаю, не получится, т.к. Startssl-евский 192.116.242.20 засвечивается стабильно(тогда его не было).

— тестерТьюринга (14/09/2013 21:25)   
Вот ещё два странных IP:

http://myip.ms/info/whois/77.67.29.137 получен из Firefox-а в Linux (startssl не заметил)
http://myip.ms/info/whois/106.186.92.168 получен из Опера под Виндой вместе с startssl/192.116.242.20

— тестерТьюринга (15/09/2013 08:29)   
NSA-Affiliated IP lists^[link20] на конец 2007-го года. С тех пор многое изменилось. DigiNotar и Comodo тогда ещё не было. А вот Telia Sonera и вчерашний ne.jp уже были в строю. Кто-то удивится, но там значится и московский пров. О нем могут знать не понаслышке.

— Гость (15/09/2013 14:53)   

Написано же, что оба принадлежат Akamai, всё логично.


Almaz-Telecom, компания ВПК-Телеком. Напомнает^[link21] мне кое-что.

— Гость (15/09/2013 17:53)   

Интересно, как много IP-адресов из этого списка сейчас числятся Tor-нодами. Никто не смотрел?

— тестерТьюринга (30/12/2013 10:07)   
Что-то произошло с настройками Комода. Прежде при загрузке вэб-страниц он сигнализировал, что dns-запрос отправляет браузер, и всё работало. Теперь вдруг dns-запросы стал отправлять svchost. Комод тупо блочит его при любых настройках на Ask. Посмотрел на другой машине – там тоже dns-запросы идут отдельным соединением через svchost, но там работает. На форумах в интернете обсуждались подобные ситуации, но все заканчиваются общими фразами – не нашел ясного объяснения.

Пока настроил на автоматическую обработку соединений. За пару дней задолбался настраивать, теперь зашел на pgpru, но при соединении не вижу 192.116.242.20, а вот 195.12.232.155 цепляется стабильно, чего давно не было. Я чего-то не вижу на мониторе или Startssl снова отвалился?

— тестерТьюринга (30/12/2013 13:51)   
О! Похоже, ребята из телиасонеры зря время не теряли. Запускаю браузер(последний сохраненный сеанс). Там много вкладок. Обновляю страничку pgpru и блокирую 195.12.232.155 После этого блокируются все остальные сайты. Если также перезапустить браузер, но начать с другой странички, то 195.12.232.155 на pgpru цепляется мимо файерволла. Осенью такого не было. Надо браузер проветривать, а я Комод двигал 8)

— Гость (30/12/2013 19:31)   
Не проще ли начать ходить на pgpru через Tor и забыть про все эти проблемы?

— тестерТьюринга (31/12/2013 09:27)   
А причем тут Tor? Анонимность запросов к ресурсам сети не отменяет tcp/ip. А https-протокол устроен так, что для подтверждения сертификата действуют "левые" подключения. В сети Tor могут быть свои проблемы, о которых пользователь пока не знает.

Теперь начинаю припоминать. Обычно я оставляю не запрашиваемые соединения на SYN_SENT. Неделю-полторы назад заблочил ip-шник начинавшийся со 195.x.x.x По случайному стечению обстоятельств ip следующего нужного сайта тоже начинался со 195.x.x.x Когда он не открылся, я решил, что заблочил его по ошибке. После перезагрузки браузера всё заработало. И работало, пока Комод не стал тупить всё подряд.

Самое интересное. Общепризнанно и несколько раз подтверждено, что при дуалбуте переустановкой Винды сносит grub/grub2. Но не в этот раз! Т.к. я регулярно Винду переустанавливаю в плане профилактики, то с появлением проблем решил не тянуть. После переустановки с удивлением обнаружил, что grub2 на месте. Отличие от прежних переустановок состоит в том, что сейчас подключена графическая морда grub2(GRUB_THEME). Это у меня так затроянены загрузочные сектора?

— тостерТроллинга (31/12/2013 12:36)   

Я обещаю в грядущем, 2014-ом, году, более не пользоваться оффтопиком. Я обещаю больше не заниматься ерундой. У меня будет стоять только система с открытым исходным кодом. И я больше не будут писать тупак на этот форум.

— unknown (31/12/2013 12:51)   

Вы про OCSP^[link22]? Точно не помню, но в торбраузере это м.б. даже отключено, т.к. штука малополезная. Это просто костыль, потому что системное хранилище поставщиков сертификатов редко обновляется. Хотя, возможно ошибаюсь, все эти технологии с доверенными поставщиками сертификатов — сплошной костыль на костыле.

Опять же, почему то думал, что в TBB своё хранилище сертификатов, отличающееся от системного, но не нашёл его там. Если у кого есть сведения по этому вопросу, можно создать отдельную тему.

— тестерТьюринга (31/12/2013 18:56)   

Несовсем, видимо. Я находил объяснение этим пяти страницам темы в одной обзорной статейке. Не смог найти документов и саму статейку потерял :) Как понял, смысл в том, что "левые" соединения нужны для подтверждения соединения. Но, наблюдая за тем, как меняются ip-шники, возникает подозрение, что это просто отмазка для обхода блэклистов. История с 195.12.232.155 только подтверждает опасения тыц^[link23] тыц^[link24] тыц^[link25] тыц^[link26] тыц^[link27]

— Гость (31/12/2013 19:17)   

Опасения по поводу того, что StartCom действительно пользуется услугами Akamai? ☺

— тестерТьюринга (31/12/2013 19:48)   

э-э… тыц^[link25]

Страница с адресом _http://X.X.X.X/#...... не обновляется, а висит постоянно в озу. У меня это вызывает подозрение на площадку для xss

Не знаю, как эта атака по-научному называется. Назову её ХХХ (3Ха), хотя всё-равно двусмысленно выглядит :)

— тестерТьюринга (02/01/2014 17:25)   
В продолжение к

Общепризнанно и несколько раз подтверждено, что при дуалбуте переустановкой Винды сносит grub/grub2. Но не в этот раз! Т.к. я регулярно Винду переустанавливаю в плане профилактики, то с появлением проблем решил не тянуть. После переустановки с удивлением обнаружил, что grub2 на месте.

Аварийный диск Комода подтвердил модификацию загрузочной стадии Винды.

Abnormal System Settings
1. Modified WinLogon
2. Disabled Security Tab

Первый пункт восстановлен. Второй пункт – файлед. Я не врубаюсь какой такой ‘Security Tab’ дисаблед и где его енаблить? Интернет страшной тайны не выдал.

Путей, через которые мою систему ломанули на самом деле не много – всего один. Последняя переустановка Винды пару месяцев назад закончилась сносом grub2, как положено. С того момента я не устанавливал новых программ, не смотрел флэш/видео, по злачным местам интернета не шарюсь вообще, не подключал чужие флэшки и т.п. Остаются только "левые" подключения через браузер во время загрузки вэб-страниц. При этом политика … короче, максимальное количество не нужных соединений оставляю в ручном режиме на SYN_SENT (без блэклистов).

Pdf’ки, появившиеся за это время, ещё требуют проверки. В браузере их не открываю, а скачиваю и запускаю отдельно. Инфицирование через них мало вероятно. Не было прецедента, чтобы Комод отреагировал сообщением о запуске нового процесса, создании нового файла или обращении к системным файлам. Да и в настройках минимум функционала. А самое главное – зловред из pdf’ки не будет вписывать в настройки Комода для браузера новый пункт с подробными комментариями! Вообще, я не представляю взломщика, который будет утруждать себя комментариями. Но, если пофантазировать, в этом есть своя "логика" – со стороны будет казаться, что изменения в настройки вносил сам владелец. Другой вариант – кто-то через *расширенный удаленный рабочий стол* пользуется моей системой с тем же комфортом, что и я. Теоретически, такое возможно, но не подтверждается количеством трафика.

— тестерТьюринга (02/01/2014 18:06)   

Гость (02/01/2014 17:37), вы напрасно скрываете свои паспортные данные – теряюсь в догадках, кому отправить чугунный новогодний колобок с хвостиком во лбу и Почетной грамотой.

— тестерТьюринга (02/01/2014 21:17)   
Дед_Морозу по пенсионному скидка. Два колобка с сыпучей начинкой, если доедут.

— Гость (01/02/2014 05:58)   

t^[link30]raffic seems to return via local Akamai node // Стр. 7

«CSEC used airport Wi-Fi to track Canadian travellers: Edward Snowden documents»^[link31].