לאמיר רעדן internet סעקיוריטי

[טאמבל סאס]

איך וועל עס מאכן שנעל. איז אזוי.

איך האב א וויילע צוריק געוואטשט די נעטפליקס טיווי שאו נארקאָס האב איך געזען דארטן ווי די מאפיא האט בימים ההם געקענט צוהערן די קאמיוניקעישנס צו וועמען זיי האבן געוואלט ווייל זיי האבן באזיצט די טעלעפאן נעטווארקינג פראוויידערס. ד.ה. די קאמפאניס וואס האבן צוגעשטעלט די סערוויס פאר די היים-טעלעפאנען. די בעלי בתים (מאפיא) האבן כמעט ווען אימער זיי האבן געוואלט, געקענט לייגן טעבּס אויף סיי וועמען אין די סיטי וואס האט גענוצט זייערע סערוויסעס און זיך צוהערן צו זיינע קאנווערסעישנס. דאס האט מיך געמאכט טראכטן וועגן היינטיגע ISPs, דאס זענען די אינטערנעט סערוויס פראוויידערס. זיי קענען זיך צוהערן צו אונזערע אנליין אקטיוויטעטן אויף דריי אופנים. אדער ווייל די גאווערנמענט למשל מאכט אפ צו לייגן טעבּס אויף עמיצן, אדער דורכן פארקויפן די אנאליטיקס אויף אונזערע אקטיוויטעטן צו אדווערטייזינג קאמפאניס אדער אפי' חלילה אין די קעיס פון א קארופטירטע בעל הבית ווי די מעשה פון די מאפיא אויבן.
סתם לשבר את האוזן: נעם למשל א היימישער איד ווי ר' אשר גראד פון לאנדאן, וואס האט ביז 2007 באלבאטעוועט, געווען א פארטנער, אדער געהאט א מאיאריטעט שערס (כ'ווייס נישט גענוי וויאזוי ער האט געהאט בעלות איבער/אין די קאמפאני) אין די בארימטע TSP און CSP קאמפאני טעלקאָ (אגב עס איז היינט די אייגענטום פון איזראעלי אייגענטומער). ער איז אוודאי א טייערע איד און האט מסתמא קיינמאל נישט געטוהן אזאנס אבער וואס אויב אים וואלט זיך פארשמעקט צו אויסגעפונען וועלכע היימישע אינגעלייט שרייבן אויף קאווע שטיבל? ווי לייכט וואלט אים אזאנס געוועזן? לעצם הענין, די פראבלעם איז מענטשן (מיך אינקלודעד) ווייסן נישט פון וועמען זיך אויסצוהיטן?, ווי אזוי זיך אויסצוהיטן? און וואס זענען די מאטיוון פון דיע וואס הערן זיך אונטער? און אפטמאל איז די פראבלעם פשוט אז מענטשן קערן נישט. יעצט, ס'קען זיין אז ווי מצב איז יעצט איז נישט קיין פראבלעם ווייל די אינפארמאציע וואס זיי ווייסן און קלייבן צוזאם איבער אונז ווערט נישט גענוצט דירעקט אונז שלעכטס צוטאָן אבער דאס קען זיך זייער לייכט טוישן. קוק אויף רוסלאנד, טשיינע, עגיפטן און טערקיי און כ'וואלט געזאגט אפי' ארץ ישראל. אלזא:

איין סעלושן איז דא (און דאס איז נאר א פיצי חלק פון וואס קען אלץ געטוהן ווערן צו רעמידיזירן די אוועראָל פראבלעם) פון נאר נוצן וועבסייטס וואס קאמיוניקירן איבער HTTPS פראטאקאל אזוי אז די URLS און די וועבסייטס' תוכן וואס פארט אהין און צוריק, צווישן דיר און די סייט, איז ענקריפטעד. (דארף מען אבער אויך מאכן זיכער אז די גאנצע סייט און אלע 3רד פארטנערס וואס די סייט נוצט זענען אויך איבער HTTPSׂׂׂ).
איז אבער נאכאלס דא א גרויסע פראבלעם וואס ווייניג מענטשן ווייסן און דאס איז אז די DNS SERVER וואס דיין לאקאלע דנ"ס סטובּ רעזאלווער (וואס רעדט צו די דנ"ס רעזאלווער) איז אנגעשטעלט צו נוצן איז געווענליך ביי דיפאָלט דער סערווער פון דיין ISP. אלזא קומט אויס אז די סייט אדרעסעס [סערווער אדרעסעס\דאמעין נעמען] וואס דו שיקסט ארויס פון דיין בראוזער (ווען? למשל, אינצווישן פון וואס דו קליקסט אויף דער לינק וואס גוגל האט דיך פרעזענטעד אין רעזולטאט צו דיין גוגל קווערי ביז דו זעסט די רעזאלטס פון דיין קליק; דהיינו די עקשועל וועבסייט. אזוי מיין איך. וכן מיט אנדערע סוירטש ענדזשינס ווי בינג און יאהאו) -- און וואס גייט אדורך א רייע DNS סערווערס ביז זי קומט צוריק צו דיך מיט די LOOKUP פון די IP אדרעס וואס קאָרעספאנדט צו די דאמעין נאמען וואס דו האסט ריקוועסטעד -- איז נאכאלס נישט ענקריפטעד און איז וויזיבעל צו די זעלבע ISP פון וועמען מיר פרובירן זיך צו באשיצן.. דאס מיינט אז זיי קענען זעהן פונקטליך וועלכע סייטס דו באזוכסט און ווען, און ווי ריסוירטש האט שוין געוויזן קענען זיי נאכ'ן אנאלאזירן עס (פאַקטאָרן ווי למשל סייז, טיימינג און דעסטינאציע אדער ROUTE אויף די נעטווארקס) איבער א לענגערע צייט, זעהן פיהל מער וועגן די נאטור אָף די דאטא וואס די טראפיק אנטהאלט (אפי' אויב די דאטא איז ענקריפטעד).

צו היילן דאס פעלט זיך אויס אויך צו ענקריפטן די דנ"ס קוועריס זעלבסט (DNS OVER HTTPSׁ). אלזא קודם פעלט זיך אויס צו טוישן די ISP's דיפאָלט סערווער צו עקסטערנל סערווערס ווי למשל גוגל פובליק דנ"ס סערווער, OPENDNS אדער CLOUDFALRE. עס זענען דא נאך אסאך פראוויידערס. איך פערסאָנעלי וואלט געגאנגען פאר די CLOUDFLARE; נישט ווייל זיי זענען זייער עטיקל נאר ווייל זיי זוכן נישט צו שפילן גאט אין די ארענע פון אינטערנעט פריוועסי, פרידאם אף עקספרעשאן און סענסארשיפ. (ובנוסף לזה איז כדי אויך זיכער צומאכן אז קיין שום 'רידיירעקט' איז נישט אימפלעמינטירט פאר פּאַקעטס פון פּאָרט 53 צוריקצוגיין צו דיין ISP's דנ"ס סערווער.)

אבער DoH איז נאר (כאטש ס'קען זיך מעגליך טוישן) אויף די אפליקאציע לעיער (פון אייער פארטיקולער בראוזער, גוגל אדער פייערפוקס וכדומה, אבער נישט אויף אנדערע אפליקאציעס וואס דו האסט מעגליך אינסטאלירט אויף דיין OS - ווי למשל טשעט עפס ווי סלאַק אדער טיעמס ) צו אימפלעמענטן ענקריפשען אויך אויף די טראנספאָרט לעיער (איין לעיער העכער פון די נעטווארק לעיער) ברויך מען אויך אקטיוויזירן (אדער קאנפיגרירן) דנ"ס ענקריפשן אין די בעיס אפערעיטינג סיסטעם (DNS OVER TLSׂ), לכתחילה סטריקט MODE (VS אָפּערטוניסטיק מאוד).

וויכטיג אבער אנצומערקן אז אפילו די ביידע פראטאקאלס (און אנדערע אזעלכע) זענען נישט אומשטאנד צו באשיצן געגן א טעכניק וואס הייסט DEEP PACKET INSPECTION וואס קען אויסגעפונען נאכמאל, וועלכע סייטס דו באזוכסט, פון וועלכע מאשין און אפילו דיין GEO לאקעישאן (און אויב נישט אויף HTTPS אויך די קאנטענט פון די פּאקעט; און אויב די ISP נוצט נאך SSL אינטערסעפשאן און האט אינסטאלירט באיזה אופן א סערטיפיקאט אויף דיין מאשין, קענען זיי לייענען די תוכן פון די דאטא אפילו מיט HTTPS), וואס ווייטער ISPs און גאווערנמענטס קענען טאהן און טוען אין פאקט ברייט פראקטאצירן. אויף דעם ברויך מען א VPN (און דאס איז באמת עפעס וואס יעדער זאל גיין פאַר; און בעסער אליינס קאנפיגרירן זיך צו סעיוון געלט, צו זיין זיכער אז ס'איז קאנפיגרירט ריכטיג און אז ס'איז נישט קיין ריפּ אָף) אבער דאס פאר אן אנדער מאל.

און דאס אלעס, די DoH אדער DoT, ברויך מען איבערחזרן אויך אויף מאובייל דיווייסעס אויכעט, ווי למשל טאבלעט אדער סעלפאון.

איך וויל אבער דרוקן אז דאס איז ווייט פון גענוג. עס זענען דא נאך פיהל געלעגנהייטן און לעכער אוואו סנופּערס קענען זיך אונטערהערן (ווי למשל אויף די האוסט מאשין, ראוטער, VMWAREׂׂ און די סוירטש ענדזשינס (ווי גוגל) זעלבסט - אזוי מיין איך). אין דער נושא (אויבן אויסגעשמועסט) אליינס איז נאך דא SNI ענקריפשען (ווס DNS ענקריפשען) וואס ברויך א רעמעדי אדער סעלושען. ד.ה. לעת עתה איז עס נישט ענקריפטעד (גיי געפין אויס פארוואס מען דארף בכלל SNI?). ווי אויך אפילו מיט דנ"ס איבער HTTPS און דנ"ס איבער TLS, אין די ענד אף די טשעין, ווען דער אויטאריטעטיוו סערווער ווערט אויסגעפרעגט, איז אויכעט נאכנישט פארהאנען א פראטאקאל פאר ענקריפטינג דער דאזיגער ריקוועסט.

דאס זאג איך אלעס אלס ראשי פרקים ותן לחכם ויחכם עוד. ס'איבעריגע (אויב אייער פריוואטקייט וואס אנבאלאנגט קאמיוניקאציע, איז אייך וויכטיג), אינקלודינג ווי אזוי דאס אלעס צו סעטן אָפּ, קענט איר טרעפן אנליין.

[צקון לחש]

איך וועל עס מאכן שנעל, איז אזוי: wow!

[קורקלענד]

אלעס אזוי שיין באשריבן אויף א וועבסייט וואס האט נישט קיין HTTPS.

[טאמבל סאס]

יא, כ'האב מיך טאקע געוואונדערט וועגן דעם. ביסט זיכער? איך האב ביז יעצט געמיינט אז ס'סעפּארט יא HTTPS (נישט ממש, ווייל כ'האב שוין יא באמערקט דעם ווארענונג פריער אבער כ'האב געמיינט ס'איז ווייל כ'האב גענוצט בטעות דעם HTTP פראטאקאל און דער אמת איז איך אז אינדעם, וואס פונקטליך HTPP ווערסוס HTTPS מיינט, די דעטאלן פון די פראטאקאלס? וואס הייסט דאס אז א וועבסייט האט עס? וואס דער וועבסייט ברויך טוהן עס צו אימפלעמענטן און פונקטליך ווי אזוי די פראטאקאל ארבעט - אויב ס'איז מעגליך צו פעלשן, פריטענדן אז מען האט עס? אדער אויב ס'מעגליך עכ"פ פאר געוויסע בּאָדיס אדער פאר געוויסע סייטס, די ענקריפשען צו ברעכן? אינדעם בין איך נישט גענוג אויסגעקאכט) און איך מיין נאכאלס אז ס'סעפארט ווייל איך קען בראוזן קאווע שטיבל אויך אויף https אבער יעצט אז דו האסט עס געזאגט האב איך גוט געקוקט און באמערקט אז עפעס א רידיירעקשאן קומט פאר. און פאַר די ערשטע פאר סעקאנדס ווייזט עס (די בראוזער) אייביג א ווארענונג און די פעדלאָק אויבן ביי די URL FIELD פעהלט. אפשר ווילסטו אונז באלייכטן?

[קורקלענד]

וואונדערבאר! א נייע זאך דאס אז מ'קען בכלל פרובירןHTTPS.

איך וועל פרובירן צו מסביר זיין אין קורצן. HTTPS איז א פראטאקאל פון שטאטוטן וויאזוי צוויי פארטייען קענען קאמיוניקירן עלעקטראניש מיטן באניץ פון ענקריפציע. כדי צו פראקטיצירן אזא ענקריפטעד סעסיע דארפן ביידע צדדים זיין אויסגעשטאט מיט די פארשטאנד יכולת. סיי וויאזוי צו ליינען די ענקריפטעד דאטא, ווי אויך וויאזוי צוריק צו שיקן ענקריפטעד דאטא. ווייל אויב נאר איין צד אינעם שמועס קען זיך אויס דערין וועט דער צד שכנגד נישט פארשטיין קיין איין ווארט.

[טאמבל סאס]

במחילת כבודך, איך ווייס נישט פונקטליך וואס איר האט מסביר געווען. אין מיינע אויגן גארנישט . האסט אפי' נישט גערעדט פון ssl און היינט tsl סערטיפיקעטס, סערטיפיקעט אויטאריטיס און פובליק/פרייוועט שליסלען. וואס איר זאגט איז אוודאי א פשיטא. כ'וואלט אפשר געברויכט שווייגן נאר אז כדי די לייענער זאלן נישט מיינען אז ס'איז מוסבר, זאג איך עס.

איך האב געפרעגט, וואס איז פשט פון די ערשטע פאר סעקאנדס ווארענונג און די באלדיגע רידיירעקשאן און וועגן HTTPS אין יחס צו קאוועשטיבל זעלבסט (נישט בכלליות). ענטפערט איר מיר בשעורין. נעמט דאס נישט אהן פערזענליך - איך מיין נאר פאר די טובה פון די לייענער, אז זיי זאלן קלאר זיין. אבער נאך אונזער אויסטויש אין אישי וועל איך מער נישט פרעגן קיין קשיות און זיך באגנוגן מיט די ביז איצטיגע.

[קורקלענד]

איך האב סך הכל געענטפערט אויף אייער שאלה פארוואס קאווע שטיבל דארף זיך צושטעלן בכלל צו די HTTPS אז איר זאלט עס קענען נוצן.

HTTPS איז די וועג וויאזוי ענקריפטעד קאמיוניקאציע ווערט פראקטיצירט. פארשטייט זיך ווען ביידע צדדים זענען אויסשטאפירט מיט נייטיגע כלים זיך צו פארשטיין, HTTP איז די פראטאקאל וואס איז באזירט אויף די עצם קאמיוניקאציע, און די S צייגט אן אז ס'איז ענקריפטעד. פארצייטנס איז די פראטאקאל פון ענקריפציע צוגעגאנגען מיט SSL און שפעטער איז ארויסגעקומען א נייערע פראטאקאל TLS וואס ווערט צוביסלעך אדאפטירט.

סערטיפיקאטן איז א זאך וואס איז אימפלימענטירט געווארן בלויז זיכער צו מאכן אז מען קאמיוניקירט מיט די קארעקטע פארטיי און נישט מיט איינער וואס גיבט זיך אן אלץ א צווייטער. למשל, עפּל באנק האט א וועבסייט וואו איך קען פראקטיצירן מיט פינאנץ, אבער וואס איז אויב איינער וועט היידזשעקן מיין טרעפיק און זיך אנגעבן אלץ עפל און אזוי ארום קריגן מיינע קרידענשעלס? דערפאר האט מען אומפלעמענטירט אז יעדע בראוזער האט טראסט אין געציילטע סערטיפיקאט פראוויידערס. וואס עפל בענק צאלט פאר איינער פון די טראסטבארע פראוויידערס פאר א סערטיפיקאט. און יעדעס מאל מען גייט צו עפל באנק. וועט עפל'ס סערווער צייגן די סערטיפיקאט פאר די די בראוזער און די בראוזער וועט עס וועריפייען מיט די סערטיפיקאט פראוויידערס אז עס איז אקוראט.

די סערטיפיקאט פונקציע איז א חלק פון די TLS פראטאקאל.

[טאמבל סאס]

יא, אבער מיין פראגע איז געווען פארוואס קאווע שטיבל קריגט א ווארענונג די ערשטע פאר רגעים אז ס'איז נישט סעקיורד (אפילו ווען דו הייבסט אן לכתחילה מיט די S אין פלאץ) און דערנאך קלארט (רידיירעקט (?)) זיך עס אויס? און וואו פיהל דאס מאכט אויס? דאס איז נאכאלס נישט פארענטפערט..

[קורקלענד]

דער איינצעלע דעטאל בין איך נישט קלאר.

[טאמבל סאס]

כ'האב יעצט דיסקאווערד אז DOH קען מען ענעיבלען אין עדזש, קראום און אין מאָזילא. כ'ווייס נאר נישט פארוואס מיין עדזש לאזט עס נישט סעטן - עס פליפט צוריק יעדעס מאל איך ריפרעש די בראוזער.

אויך האב איך געזען אז ווינדאוס סעפארט נאכנישט DOT אבער QUAD9 האט אן אפליקעישן וואס מען קען אינסטאלירן אויף ווינדאוס אוואו מען קען סעטן DOT און אפילו טשוזן אַן אנדערעמ'ס DNS סערווער. כ'האב מיך נאר געוואונדערט פארוואס אפילו נאכ'ן עס טוהן (נאר די QUAD9ׁׁׂׂ - די בראוזער סעטינגס פאר DOH ווייזט כאטש יא אז DOH עטליעסט ארבעט) האב איך געקריגן א ווארענונג אז DOT איז נישט ענעיבלד סיי דא און סיי דא. כאטש quad9 זעלבסט'ס טעסט לינק ווייזט יא אז *עפעס* ארבעט אבער די רעזאלץ איז וועיג. וואס איך שטעל מיך פאר איז אז אויב די אנדערלייאינג OS סופארט עס נישט איז עס נישט אוועילעבל אפי' דורך QUAD9'S אפליקאציע. סאוי, DOT סעטינגס אין דיין מערסט באנוצטע בראוזערס וועט ברויכן טוהן די דזשאב.

אויך האב איך געזען אז מען קען קאנפיגערן DOH אויף ווינדאוס דורך די רעגיסטירי ווי געוויזן דא און מ'קען נאכדעם, מיט pktmon אינספעקטן פּאָרט 53 ווערסוס פארט 443 צו זען אז DOT ארבעט. (פארט אינטרעסאנט אז אפילו נאכ'ן מאכן דאס - האט קלאודפלעיר'ס טעסט געוויזן אז ס'ארבעט נישט. נאר ס'קען זיין אדער קלאודפלעיר'ס טעסט ארבעט נאר אויב דו מאכסט די DOT דוקא מיט זיי. אדער קען זיין אז די סעטינגס אין די רעגיסטרי זענען נאר צו "ענעיבלען" און מ'דארף נאך די בראוזער סעטינגס כדי צו פראוויידען די רעזאלווער אדרעס. א דריטע מעגליכקייט איז אז דאס נוצן QUAD9'S דנ"ס אווער TLS אינדערמיטן איז וואס טוט מעסן אפ די טעסטינג און די טעסט רעזאלטס; דאס דארף איך נאך אויספארשן. חוץ מזה וואס ס'מעגליך אז ס'טוט סתם אנדרייען אומזיסטע רי-ראוטינג צווישן קאלודפלעיר און QUAD9'S רעזאלווערס כאטש ביידע טוען די זעלביגע זאך.

ווי שוין אויב מרומז, קען מען די זאכן אויך סעטן אפ אויף די ראוטער אנשטאט אויף יעדע דעווייס אויף די נעטווערק באזונדער (אבער למעשה דאס דארף נישט זיין קיין זארג פאר עמיצער וואס מאכט עס נאר אויף די דעווייס ווייל די OS דעווייס'ס סעטינגס טוט אווערריידן די דיפאולט ראוטער סעטינגס). ס'דא אבער ראוטערס (א שטייגער ווי VM) וואס פארשליסן דיך צו זייער נעטווארק מיט א ALL IN ONE האָבּ. מיט אזעלכע ברויך מען קויפן א 3רד פארטי ראוטער (אדער ראוטערס געוואנדן וויפיל פון די פארלאנגטע פונקציעס זי דעקט), סעטן די ארגינעלע ראוטער/האּבּ צו 'מאָדעם אנלי', איינפלאגן די 3רד פארטי ראוטער/ס אין די ארגינעלע ראוטער און דערנאך מאכן די אלע קאָסטום קאנפיגערעישאנס אויף די צווייטע, 3רד פארטי ראוטער.

איך קען אבער נישט גענוג אינטערשטרייכן ווי וויכטיג כאטשיג טוישן די ISP דנ"ס סערווער און ענקריפטן די דנ"ס קוועריס איז. לייענט דאס און דאס צו זעהן פארוואס אפילו VPN איז נישט א סילווער בולעט און וויאזוי דיפ פאקעט אינספעקשן איז א פיטשער וואס אפילו אףף די שעלוו יוזער אפליקעישאנס אפערן שוין היינט פריי פון אפצאל פאר די אלגעמיינע באנוצער צו נוצן אויף זייערע אייגענע נעטווערקס אא"כוכ אזעלכע פשוטע זאכן ווי HTTP איווסדראָפינג און דנ"ס סנופינג דורך רייכע און מעכטיגע קארפעראציעס און גאווערנמענטס. די וויץ איז אז מען זאגט אז ס'איז נאך קיינמאל נישט געווען אזא פרייע וועלט וויי היינט. אוודאי, ווייל היינט ווייסן זיי וואס דו טראכסט נאך איידער דו זאגסט עס עמיצען.. מיט אזא פרייהייט, זאג דו מיר וואס מיינט נאך פרייהייט? אזא פרייהייט פארגין איך דיר ביז איבערמארגן.

[היסטאריע]

וואס באהאלט איר אז איר ווילט זיין פארזיכערט?
אויב מען מאכט א ווי פי ען קען קיינער נישט וויסן וואס די טוסט, חוץ? דער קאמפאני פין דער ווי פי ען. בקיצור עס איז נישט מעגליך.

געשפרעכן פון מענטשן, דורך וואטס עפ, איז לכאורה אפען פאר די גאווערמענט, און צו פעיסבוק. און צו יעדער איינער וואס האט רעכטען צו דיין מייק אויף דיין סמארטפאן.

ווידער אויב די ניצט א היימישער קאמפאני פאר דעם טעלעפאן אינדערהיים, קענען זיין הערען וואס די רעדסט. די ביזנעסעס וואס נוצען voip קען דער קאמפאני צוהערן אלע געשפרעכן. און ווען עס איז דא א וואראנט, טעיפען זיי און געבן פאר די אינסטאנצן וואס האלטען דער וואראנט.

צו רעדן צו איינעם אויף א וועג, און זיין זיכער אז קיינער הערט נישט צו, איז כמעט נישט מעגליך. אויב די קויפסט א סמארט טאבלעט, און די אינסטאלירסט א אייגענע ענדרויד וואס איינער האט זיך געשפילט אויסצורייסן די גוגל נעגל, און מען נוצט סיגנאל עפפ, אפשר, כולה האי ואולי.

[קורקלענד]

וואס באהאלט איר אז איר ווילט זיין פארזיכערט?

דאס איז די 'סאמע נארישסטע' רעספאנס צו די נושא וואס מענטשן טענהנען. דער ארגומענט האט נישט קיין שום האפט, און געט נישט קיין שום סיבה פארוואס א מענטש זאל נישט זיין בארעכטיגט פאר פריוואטקייט.

[טאמבל סאס]

זע די צוייטע לינק וועסטו זען אז VPN איז אויך נישט אלעמאל א פולקאמע סעלושען און מערסטנס געדענק איך צוליב קאנפיגערישעינס וואס ברויכן ווערן נאכאנאנד אפדעיטעד און רי-קאנפיגערד. ווי אויך צוליב די קאמפאניס זעלבסט אזוי ווי דו זאגסט.

בדרך כלל גלייך איך נישט קיין היי-לעוול סטעיטמענטס אזוי ווי דו מאכסט ווייל די שטן שטעקט אין די דיעטעיל - וועל איך דיר מוזן גלייבן אויפ'ן ווארט. הגם דנ"ס אווער TLS איז אמור דאס צו רעמידיזירן, דהיינו אויפ'ן אפליקאציע לעוול.

ווער נוצט נאך בכלל א היים טעלעפאן? אבער אפ'י אזוי, זענען נישט היים טעלעפאנען היינט אלע דידזשיטאל? (און נוצן אסאך מאל אפילו די זעלבע דראטן ווי די היים אינטערנעט טראפיק?) קענען נישט די ביטס און די בייטס דארטן, דאס זעלביגע ווערן ענקריפטעד?

האו עבאוט אלעס?? איך וויל אלעס באהאלטן! איך מיין, ווער זענט איר אפצומאכן וואסערע סארט דאטא מיינע איז טריוויאל, און איך ברויך שערן מיט יעדעם און טאמער באהאלט איך דאס בין איך פארדעכטיגט, און וואסערע סארט דאטא איך בין יא בארעכטיגט צו באהאלטן? איך בין א פאראנאויד סקיצאפרעניק וואס האלט נישט ביים שערן מיט אייך אפילו וואו איך קויף מיינע זאקן און אויב שמעקט עס אייך נישט קענט איר מיך קושן דארטן וואו איך טוה זיין אָהן.. האסטע געהערט אזאנס.

[היסטאריע]

בדרך כלל גלייך איך נישט קיין היי-לעוול סטעיטמענטס אזוי ווי דו מאכסט ווייל די שטן שטעקט אין די דיעטעיל - וועל איך דיר מוזן גלייבן אויפ'ן ווארט. הגם דנ"ס אווער TLS איז אמור דאס צו רעמידיזירן, דהיינו אויפ'ן אפליקאציע לעוול

ביסט נישט גערעכט. דיין פראוויידער קען זעהן וועלכע זייטלעך די ניצט דורך דער IP, אפגעזעהן פין דיין די ענ עס.
ווי אויך איז דא קוקיס.

בשעתו, איז געוועהן איינער וואס האט געוויסט ווי טראמפ איז, באזירט אויף זיין פראפייל וואס ער ניצט. ד.ה. מען קען קויפן טארגעטעד עדס צו מענטשן, אהן א נאמען, אבער עס שטייט וואס דער מענטש טוט, ווי ער גייט וכדומה. האט איינער אויסגערעכענט ווער טראמפ איז, און געשריבן דערוועגן. פארשטייט זיך אז מען האט עס משתיק געוועהן.
ווען די ניצט א סמארט פאן, פאלגען דיר נאך גוגל אדער עפעל, און דער מאכער פין טעלעפאן. און יעדער עפפ וואס האט רעכטען צו דער לאקאציע. און פארקויפן דאס.

דאס וואס קורקלאנד טענה'ט אז מען דארף האבן א רעכט פאר פרייוועסי, איז זייער שיין, אבער למעשה איז עס נישטא. לדידי בין איך מסכים נישט צו האבן פרייוועסי און ווען עס איז דא א געשפרעך צו מאכען א טעראר אקציע זאלען זיי קענען וויסן פריער.

[טאמבל סאס]

עס איז וויכטיג נישט צו מישן זאכן אזוי אויך נישט אוועקצומאכן כלאחר יד אזוי אז לייענער זאלן נישט מיינען ס'איז א פארפאלענער ענין און ס'איז נישטא וואס צוטוהן דערצו. איך ווייס נישט וואס די מעשה מיט טראמפ איז געווען און נאכמאל - במחילת כבודך דאס איז ווייטער זייער היי-לעוול אדער וועיג גערעדט.

איך ווייס נישט ווי גרינטליך איר האט ארויס דעם נושא? איך בין משער פיהל מער ווי מיר אבער אפשר זאגט איר מיר ווי אזוי קען מיין ISP זעהן וועלכע סייט איך באזוך אויב סיי די עצם קאננעקשאן און סיי די דנ"ס קווערי זענען ביידע ענקריפטעד און על כל זה ווערט די דנ"ס רעזאלושען געטוהן דורך א 3רד פארטי, וואו כ'האב אויבן געשריבן?

(אגב בנוגע היים טעלעפאנען דענק איך אז די צוויי פראטאקאלן אנדערלייעניג טעלעקאמיוניקאציע, PSTN און VOIP קארעספאנדן בערך צו די TCP און UDP פראטאקאלן פון די אינטערנעט, מיט די ערשטע אפילו מער ראָבאָסט געגן העקינג. און במילא שטעל איך מיך פאר אז ענקריפשן איז דא אויך מעגליך. ספעציעל אויף די וואויפּ פראטאקאל.)

מען ברויך אפטיילן און רעדן פון יעדע זאך באזונדער. קאמפיוטער ווערסוס סעלפאון/סמארטאפון. אפערעיטינג סיסטעמס. פרייוועט ווערסוס פובליק אייפי (וואס דוכט זיך מיר די ISP קען בד"כ נישט זען). און ווייטער די IP כנגד די MAC אדרעס = די LAN נעטווארק ווערסוס די אינדיווידועלע מאשין. קוקיס ווייטער איז עפעס וואס די וועבסייט לייגט און נישט די ISP און אויב באזוך איך א געוויסע וועבסייט און איך טראסט זיי (א ראיה איך קאמיוניקיר מיט זיי (און אויב נישט קען מען אויך נוצן א פּראָקסי) האב איך דאך נישט קיין פראבלעם מיט זייערע קוקיס וואס מען קען אוודאי פילטערן, בלאקן אדער מעקן און אזוי אויך דארף מען עס נישט אלעמאל נעמען אפילו. נאכדעם דארף מען מחלק זיין צווישן בערךדיגע לאקעישן (די לאקעל סעליולער TOWER) און פונקטליכע לאקעישן, צווישן לאקעישן און אידענטיטעט. און ווייטער וואס מען קען לייכט קאנטראלירן אויף די מאובייל פראנט-ענד, יוזער אינטערפעיס און אין וואס מען ברויך זיך אביסל מער אויסקענען טעקנעלאדזשיקלי. איך בין פארנומען היינט היות ס'איז ערב פסח אבער מען ברויך צוריקקומען און דערווייל נישט אפשרעקן מענטשן אז ס'איז סייווי פארפאלן און עניוועי, מיר זענען נאר די "גוטע" גייס וואס זוכן נאר אפצוהאלטן טעראר אטאקעס. דערפאר הערן מיר זיך אונטער, צו ביליאנען מענטשן..

[טאמבל סאס]

איך זע יעצט אז פייערפוקס איז די איינציגסטע וואס סעפארט אלע פיהר וואס דער פעידזש טעסט. (הגם SNI איז צייטווייליג צעבראכן צוליב די נייע ECH וואס וועט דאס ריפלעיסן און איז אינמיטן דעוואלאופמענט. אויכעט זע איך פון מייקרעסאפט אז עדזש'ס מעגליכקייט פאר דנ"ס אווער HTTPS מיט א קאסטום פראוויידער, איז לעת עתה צעבראכן.

[היסטאריע]

אפשר זאגט איר מיר ווי אזוי קען מיין ISP זעהן וועלכע סייט איך באזוך אויב סיי די עצם קאננעקשאן און סיי די דנ"ס קווערי זענען ביידע ענקריפטעד און על כל זה ווערט די דנ"ס רעזאלושען געטוהן דורך א 3רד פארט

ווייל דער ענקריפשען איז אויף דער http, נישט דער גאנצע קאנעקשן. ממילא זעהן זיי צו וועלכע איי פי די רעדסט, סיידן אויב די ניצט א ווי פי ענ, דעמאלס זעהן דיין פראוויידער נאר אז די רעדסט צו א ווי פי ענ סערווער.

[טאמבל סאס]

איך האב נאכגעקוקט סוירסעס, איך זע אז דו ביסט גערעכט. אויב אבער זענען דא אפאר דאמעינס אדער וועבסייטס אונטער די זעלבע אייפּי (אלס סובנעטווארק (?)) און ESNI (און אין די נאנטע צוקונפט, ECH) איז ענקריפטעד דאן איז פיהל שווערער פאר דיין ISP, בלויז מיט'ן וויסן די אייפּי, צו דעטערמין וועלכע וועבסייט אדער אָרידזשען סערווער, דו באזוכסט. אזוי מיין איך.

[באר מים]

לכאורה קען די isp זעהן די url פון די סייט ווי די גייסט ווייל די אינפארמאציע איז נישט אינקריפטעד כדי די סערווער אויפן אנדערע זייט דארף דאך וויסן צו וועלכע website צו שיקן.

[טאמבל סאס]

ניין, מיט ESNI איז די url אויך ענקריפטעד און די סערווער ווייסט די פרייוועט שליסל עס צו דעקריפטן. די קלייענט קריגט די פובליק שליסל צו ענקריפטן די url (SNI*) די זעלבע וועג ווי זי באקומט די דנ"ס רעזולושען - א פובליקלי אוועילעבל רעקארד.
זעה דא https://blog.cloudflare.com/encrypted-client-hello/

[טאמבל סאס]

אפשר זאגט איר מיר ווי אזוי קען מיין ISP זעהן וועלכע סייט איך באזוך אויב סיי די עצם קאננעקשאן און סיי די דנ"ס קווערי זענען ביידע ענקריפטעד און על כל זה ווערט די דנ"ס רעזאלושען געטוהן דורך א 3רד פארט

ווייל דער ענקריפשען איז אויף דער http, נישט דער גאנצע קאנעקשן. ממילא זעהן זיי צו וועלכע איי פי די רעדסט, סיידן אויב די ניצט א ווי פי ענ, דעמאלס זעהן דיין פראוויידער נאר אז די רעדסט צו א ווי פי ענ סערווער.

זעה די לינק וואס כהאב צוגעצייכנט וואס ווייזט ווי ESNI ענקריפט די גענויע ארידזשען סערווער און ECH וועט ענקריפטן די גאנץ-ערשטע הענדשעיק, גענצליך. דאס מיינט מיין איך, אז אויב למשל cloudflare האוסט (CDN) דיין וועבסייט וועט מיין isp נישט וויסן פון צווישן מיליאנע אנדערע וועבסייטס, וועלכע פון זיי איך האב באזוכט צוליב וואס מיין קאמיוניקאציע מיט cloudflare's קלייענט פעיסינג אדער עדזש סערווער איז ענקיפטעד, אינקלודינג מיין איסטרוקציעס צו וועלכע ארידזשען זי זאל מיך ראוטן.

Sent from my SM-G973F using Tapatalk

[היסטאריע]

Esni ech אלץ שיינע זאכן, כל זמן דער וועב זייטלעך די באזוכסט האבן עס נישט, קענסטו עס נישט נוצען. איז לעת עתה מיינט עס גארנישט.

למשל אױב דו ווילסט דיין בעל הבית זאל נישט וויסן אז דו באזוכסט קאווע שטיבל, קענסטו קיין סאך נישט טוהן, חוץ נוצען א ווי פי ענ, אויב ער לאזט דיך. ולא עוד, מיט קאווע שטיבל, קען יעדער אויף דיין נעטווארק אויס רעכענען דעם ניק און דיין פעסווארד.

[באר מים]

ולא עוד, מיט קאווע שטיבל, קען יעדער אויף דיין נעטווארק אויס רעכענען דעם ניק און דיין פעסווארד.

וויאזוי?