Проблемы с https (SSL/TLS) и teredo

theophan

New Member
Взгляните на скриншоты, ничего не замечаете?
Фильтрация https в Adguard включена:
SSL_client_test_1.png

и выключена:
SSL_client_test_3.png

В связи с этим возникает вопрос к ООО "Перформикс", где хотя бы предупреждение, что включенная (по умолчанию!) фильтрация https может вызвать проблемы с подключением к серверам и безопасностью? Ребята, вы подставляетесь и подставляете пользователей. Правьте EULA/ДПО (начиная с орфографии), вносите пункт об отказе от ответственности, а то можно подумать, что ваш продукт безопасен. Расширяйте список исключений фильтра https. Включите проверку сертификатов фильтруемых https-сайтов через OCSP, и не советуйте пользователям установить ваш сертификат в систему, вы не представляете, к чему это может привести при современном положении дел.

---

О teredo: зачем вы его отключаете, не спросив у пользователя и не предупредив его? Представьте себе, некоторые его используют.
 

avatar

Administrator
Staff member
Administrator
Добрый день!

В связи с этим возникает вопрос к ООО "Перформикс", где хотя бы предупреждение, что включенная (по умолчанию!) фильтрация https может вызвать проблемы с подключением к серверам и безопасностью? Ребята, вы подставляетесь и подставляете пользователей. Правьте EULA/ДПО (начиная с орфографии), вносите пункт об отказе от ответственности, а то можно подумать, что ваш продукт безопасен.
Эту уязвимость (Poodle) можно использовать только в том случае, если на сервере включена поддержка SSLv3, и браузер использует этот же протокол. Если
на сервере этот протокол отключен, будет использоваться TLS без уязвимости. SSL фильтр определяет с каким протоколом обращается браузер, и использует его же для создания соединения с сервером. Я не в курсе какой способ используется для тестирования на уязвимость, но тестировать клиентскую часть тут смысла нет. Потому что SSL фильтр не меняет самостоятельно протокол, а использует то что ему указывают сервер и клиент.

TLS 1.2 - добавим поддержку в будущем, но ничего критичного в отсутствии его поддержки нет.

О teredo: зачем вы его отключаете, не спросив у пользователя и не предупредив его? Представьте себе, некоторые его используют.
Смотрите, в последней бета-версии работаем следующим образом:
Если используется WFP-драйвер, то Teredo отключается.
Если используется TDI-драйвер, то Teredo не отключается.

Почему так делаем: потому что teredo является очень частым источником проблем и у большой части пользователей работает не стабильно. Причем системы мы выявить не можем, у некоторых при активном использовании Teredo в сочетании с сетевым драйвером, лезут BSOD'ы, у остальных все в порядке.

В будущих версиях можем добавить галку, которая регулирует статус Teredo.
 

theophan

New Member
TLS 1.2 - добавим поддержку в будущем, но ничего критичного в отсутствии его поддержки нет.
Критичного? У моего клиента, например, на полдня отвалилась биллинговая система после обновления серверной части, именно из-за отсутствия поддержки TLS 1.2. Вы украли мое время, силы и нервы. А купить Adguard на машины операторов посоветовал именно я. Купи себе проблем?

Почему так делаем: потому что teredo является очень частым источником проблем и у большой части пользователей работает не стабильно.
Так посоветовали бы пользователям, у которых возникают проблемы, отключить teredo, или в самом деле, поставили галку в настройках: "Отключить teredo (при проблемах)". Какого черта вы вмешиваетесь в системные настройки без уведомления пользователя и его согласия? Это порочная практика. Представьте, что вы заказали дверь, и вам при установке заколотили окно. Без спроса, молча, так как считают, что при открытом окне сквозняк может помешать работе доводчика на двери.
Не с краткими прилагательными пишется так же, как с полными. Стабильный -- нестабильный (слитно, т. к. образуется слово с противоположным значением). Heil Grammar! :)

Относительно установки корневого сертификата Adguard в систему. Я наблюдал при этом чудные вещи: https:// сайты со смешанным содержимым отображались, как полностью безопасные, а сайты с просроченным сертификатом были подписаны валидным Adguard CA. И даже при отключенном Adguard. Это открывает некоторые возможности для криминально одаренных айтишников и технически грамотных мошенников.

Жду исправлений. С наилучшими пожеланиями, Феофан.
 
Last edited:

avatar

Administrator
Staff member
Administrator
Критичного? У моего клиента, например, на полдня отвалилась биллинговая система после обновления серверной части, именно из-за отсутствия поддержки TLS 1.2. Вы украли мое время, силы и нервы. А купить Adguard на машины операторов посоветовал именно я. Купи себе проблем?
Принято, прошу прощения за силы и нервы.

Так посоветовали бы пользователям, у которых возникают проблемы, отключить teredo, или в самом деле, поставили галку в настройках: "Отключить teredo (при проблемах)". Какого черта вы вмешиваетесь в системные настройки без уведомления пользователя и его согласия? Это порочная практика. Представьте, что вы заказали дверь, и вам при установке заколотили окно. Без спроса, молча, так как считают, что при открытом окне сквозняк может помешать работе доводчика на двери.
Люблю аналогии:). 99.9% пользователей о Teredo знать не знают, и он им никогда не понадобится (в отличие от окна).
Нужно какое-то компромиссное решение. Ну да разберемся думаю.

Относительно установки корневого сертификата Adguard в систему. Я наблюдал при этом чудные вещи: https:// сайты со смешанным содержимым отображались, как полностью безопасные, а сайты с просроченным сертификатом были подписаны валидным Adguard CA. И даже при отключенном Adguard. Это открывает некоторые возможности для криминально одаренных айтишников и технически грамотных мошенников.
Можете пример привести? Особенно про сайты с просроченным сертификатом.

Вообще я таких проблем не встречал. Сертификаты мы валидируем, а сайт со смешанным содержимым (в теории) превратить в валидный мы не можем. Мы же не заменяет http ссылки на https.

Если подобное встречается, очень хочется посмотреть, где и как.
 

avatar

Administrator
Staff member
Administrator
Критичного? У моего клиента, например, на полдня отвалилась биллинговая система после обновления серверной части, именно из-за отсутствия поддержки TLS 1.2. Вы украли мое время, силы и нервы. А купить Adguard на машины операторов посоветовал именно я. Купи себе проблем?
Можете дополнительно прислать информацию по биллиноговой системе? Чтобы мы протестить могли.
 

theophan

New Member
Принято, прошу прощения за силы и нервы.
Извинения приняты.

Можете пример привести? Если подобное встречается, очень хочется посмотреть, где и как.
За примерами не пойду. Если располагаете временем -- https://www.ssllabs.com/ssltest/, списки Recent Best и Recent Worst, в одном встречаются сайты со смешанным содержимым и слабым шифрованием, в другом с кривыми сертификатами и алгоритмами аутентификации. Там и насмотрелся чудес. Браузеры тестирую там же. (https://www.ssllabs.com/ssltest/viewMyClient.html)
 

avatar

Administrator
Staff member
Administrator
За примерами не пойду. Если располагаете временем -- https://www.ssllabs.com/ssltest/, списки Recent Best и Recent Worst, в одном встречаются сайты со смешанным содержимым и слабым шифрованием, в другом с кривыми сертификатами и алгоритмами аутентификации. Там и насмотрелся чудес. Браузеры тестирую там же. (https://www.ssllabs.com/ssltest/viewMyClient.html)
Ага, спасибо за ссылочку.

Если про биллинговую систему расскажете, тоже буду благодарен.
 

theophan

New Member
Можете дополнительно прислать информацию по биллиноговой системе? Чтобы мы протестить могли.
UniFi Controller. http://www.ubnt.com/download/
Виртуальный сервер на Яве. Конфигурирует точки доступа WiFi через SSH, операторы подключаются через безопасный веб-интерфейс. После обновления все, у кого был установлен Adguard, получили ERR_CONNECTION_RESET. Кроме меня, блин, потому, что рабочая машина на лине.

---------- Post added at 19:47 ---------- Previous post was at 19:33 ----------

BTW, вы, случайно, VPN отключить на корню не собираетесь, так, на всякий случай? А то ей тоже 99% не пользуются... ;)
 
Top