Hacker News Digest

Google анонсировал, что с выходом Chrome 154 в октябре 2026 года включит по умолчанию функцию "Always Use Secure Connections", требующую разрешения пользователя для доступа к сайтам без HTTPS. Эта мера призвана защитить пользователей от атак, при которых злоумышленники могут перехватить навигацию и подменить контент. Хотя HTTPS-адoption достиг 95-99%, прогресс застыл с 2020 года, а оставшиеся HTTP-соединения все еще представляют значительную угрозу.

Для баланса безопасности и удобства Chrome не будет дублировать предупреждения для часто посещаемых HTTP-сайтов. Google подчеркивает, что даже небольшая доля небезопасных соединений создает риски, так как атакующему достаточно одного успешного перехвата. Компания отмечает, что за десятилетие наблюдений HTTPS стал зрелым и широко распространенным, что позволяет теперь перейти к более строгим мерам защиты по умолчанию.

• Пользователи обсуждают, что почти весь трафик уже давно перешёл на HTTPS, и оставшиеся HTTP-сайты — это в основном старые ресурсы, которые не обновлялись с 2010-х годов.
• Обсуждается, что в 2024 году Google Chrome полностью отключит поддержку HTTP, и это вызвало споры о том, насколько это нужно, учитывая, что большинство сайтов уже используют HTTPS.
• Участники обсуждают, что вместо того, чтобы отключать HTTP, Google мог бы вместо этого инвестировать в улучшение инструментов для разработчиков, чтобы они могли легче мигрировать с HTTP на HTTPS.
• Также обсуждается, что отключение HTTP может затруднить доступ к внутренним ресурсам в корпоративных сетях, где HTTPS не всегда практичен.

The Tor Project выпустила альфа-версию Tor Browser 15.0a4, финальную перед стабильным релизом в конце октября. Ключевые изменения включают полное удаление встроенных ИИ-функций из соображений приватности, переименование 'meek-azure' в просто 'meek' для унификации, и улучшенную поддержку тёмной темы.

Важные технические правки: улучшено отображение CJK-иероглифов шрифтом Jigmo, управление WebAssembly теперь делегировано NoScript для совместимости с PDF, а индикатор протокола 'https' в URL-bar теперь всегда виден, как и в Firefox. Эти изменения завершают подготовку к стабильной версии.

• Mozilla и другие проекты продолжают внедрять AI-функции, что вызывает критику из-за конфликта с приватностью и философией открытого ПО.
• Пользователи жалуются на то, что Firefox и подобные браузеры всё больше становятся похожи на Chrome, теряя свою уникальность.
• Сторонники приватности и открытого ПО выражают обеспокоенность по поводу того, что Mozilla и подобные проекты всё меньше соответствуют своим принципам.
• Некоторые пользователи отмечают, что Mozilla всё меньше взаимодействует с сообществом и всё больше ведёт себя как корпорация.

Конфиденциальность DNS в Firefox стала быстрее и теперь доступна на Android. Веб-сёрфинг начинается с DNS-запроса для поиска IP-адреса сайта. Раньше эти запросы отправлялись в открытом виде, но DNS-over-HTTPS (DoH) шифрует их, защищая от прослушивания провайдерами или в публичных сетях Wi-Fi.

В 2020 году Firefox первым включил DoH по умолчанию в США, а в 2023 году — в Канаде. Теперь мы улучшили производительность и добавили поддержку мобильных устройств.

DoH для Android

С выходом Firefox 143 для Android пользователи могут включить DoH, выбрав режим «Повышенная защита». После тестирования скорости мы планируем включить его по умолчанию в некоторых регионах.

Улучшение производительности

Совместно с партнёрами мы ускорили DoH-запросы на 61%. Теперь они почти не уступают по скорости обычным DNS-запросам, обеспечивая приватность без потерь в производительности. Эти улучшения также помогли другим пользователям CIRA и Akamai.

Контроль и прозрачность

Firefox предоставляет пользователям выбор: можно отключить DoH, выбрать свой резолвер или настроить уровень защиты, сохраняя прозрачность и приватность.

• Firefox для Android ценится за полную поддержку расширений, таких как uBlock Origin, что является ключевым фактором для многих пользователей.
• Обсуждаются альтернативные браузеры с поддержкой uBlock Origin для iOS и Android, включая Orion, Brave, Samsung Browser и Lemur.
• Внедрение DNS-over-HTTPS (DoH) в Firefox воспринято неоднозначно: одни видят в нём улучшение приватности, другие — централизацию трафика и проблемы для тех, кто управляет своими DNS-серверами.
• Поднимаются вопросы о выборе провайдеров DoH (Quad9, Mullvad, NextDNS) и их легитимности, а также о латентности и практических аспектах настройки.
• Отмечается, что DoH не полностью скрывает трафик без Encrypted Client Hello (ECH), но Firefox включает ECH при использовании DoH.
• Обсуждаются технические сложности принудительного отключения DoH на уровне сети и его сравнение с системными реализациями в Android.
• Высказывается критика в адрес Firefox для Android за медленную работу, высокое потребление батареи и неудобный интерфейс, несмотря на поддержку расширений.

Ключевые выводы исследования

• 8 популярных коммерческих VPN обслуживают >700 млн пользователей, но скрывают собственность и имеют критические уязвимости.
• 3 VPN связаны с НОАК Китая, у остальных найдены признаки китайского контроля.
• Отсутствие прозрачности позволяет злоумышленникам снимать шифрование и перехватывать трафик.

Почему важна прозрачность
VPN переносят доверие от интернет-провайдера к самому сервису. При выборе пользователи должны решить:

• Прозрачность — знать, кто видит данные.
• Анонимность — не знать, но полагаться на обещания.

Риски для пользователей

• Авторитарные государства могут использовать скрытые связи VPN для слежки.
• Отсутствие публичной информации о владельцах и разработчиках усиливает уязвимости.

• Коммерческие VPN часто продаются через страх не-технических пользователей, хотя реальные сценарии — это обход геоблоков, торренты и «неполиткорректный» контент.
• Модель доверия к единому VPN-узлу критикуется; предлагаются решения вроде iCloud Private Relay и MASQUE-релеев, разделяющих «кто» и «что».
• Подозрения вызывают «популярные» VPN (Nord, Express), их рекламные бюджеты и возможные связи с разведками; Mullvad считается одним из самых прозрачных, но его IP-адреса всё чаще банят.
• Некоторые «бесплатные» или малоизвестные VPN/прокси-сервисы превращают клиентов в узлы резидентного прокси и продают их трафик третьим лицам.
• Даже при смене IP браузерное фингерпринтирование легко идентифицирует пользователя; HTTPS сделал старые аргументы «VPN для безопасности в публичном Wi-Fi» почти бесполезными.

Проблема: при входе на f-droid.org браузеры Edge и Chrome выдают «Ваше соединение не защищено» из-за просроченного сертификата.

• У F-Droid сбой при ротации сертификатов, из-за чего сайт и репозиторий временно недоступны.
• Обходной путь — использовать Cloudflare-зеркало https://cloudflare.f-droid.org/.
• Пользователи жаловались на ошибки в dfroidcl и необходимость переустановки приложения.
• Проблема уже исправлена, но участники обсуждают, насколько надёжны короткоживущие LE-сертификаты.

LandChad.net учит запускать сайты, почту и чаты за пару часов и копейки.
Базовый курс (≈1 ч):

1. Домен
2. Сервер
3. DNS
4. Nginx
5. HTTPS (Certbot)

Свои сервисы: Alps (почта), Calibre (библиотека), Cgit, Coturn, Dnsmasq, DokuWiki, ejabberd, Fosspay, Git, Gitea, i2p, IRC, Jitsi, Matrix (Synapse/Dendrite), Monero, Mumble, Nextcloud, PeerTube, Pleroma, Prosody, Radicale, Rainloop, RSS-Bridge, SearXNG, Tor, Transmission, WireGuard, Yarr.

Почтовый курс (≈1 ч + 1 день на открытие портов):

1. SMTP
2. rDNS
3. DNS-записи
4. Входящая почта
5. Защита

Администрирование: Certbot, Cron, Gemini и др.

• Участники спорят, что название «landlord»/«landchad» некорректно: арендуя VPS и домен, ты всё равно арендатор, а не собственник.
• Многие хвалят сайт за простые гайды по самостоятельному хостингу, но отмечают, что материал рассчитан на «интернет-сантехников», а не новичков.
• Поднят вопрос о бесполезности собственного почтового сервера из-за попадания писем в спам; однако некоторые пишут, что у них всё работает без проблем.
• Ключевой пробел — почти нет информации о надёжных бэкапах и восстановлении.
• Упоминаются риски юридического преследования за несоблюдение регуляций и то, что мобильный интернет сместил фокус с «домашних» сайтов.

Сертификаты для onion-сервисов

Onion-сервисы изначально не нуждаются в TLS-сертификатах, так как Tor уже обеспечивает шифрование и аутентификацию. Однако при доступе через HTTPS-прокси или при желании показать «зелёный замок» можно выпустить сертификат.

Возможные варианты

1. DV от публичного CA

   • Let’s Encrypt, DigiCert и др. поддерживают домены .onion.
   • Потребуется подтвердить владение onion-доменом через ACME (HTTP-01 или DNS-01).

2. Собственный CA

   • Генерируем корневой сертификат и подписываем им конечные.
   • Подходит для внутренних или тестовых сервисов; клиенты должны добавить корень в доверенные.

3. Self-signed

   • Быстро, но вызывает предупреждение браузера.
   • Использовать только для разработки.

Практика с Onionspray

• Встроенный модуль onionspray-cert автоматизирует выпуск Let’s Encrypt.
• Для собственного CA:

  onionspray root-ca init
  onionspray cert issue <onion-address>
  

• Готовые сертификаты складываются в ./certs/.

Проверка

• Публичный DV: открыть onion-сайт в Tor Browser — замок зелёный.
• Свой CA: импортировать rootCA.pem в браузер/ОС.

Кратко

• Для публичных проектов — Let’s Encrypt.
• Для частных — собственный CA.
• Self-signed только для тестов.

• Участники спорят, нужны ли onion-сайтам сертификаты CA, ведь адрес .onion уже криптографически привязан к публичному ключу.
• Основной аргумент «за» — совместимость: браузеры и стандарты (HTTP/2, платежи) требуют TLS-сертификат, чтобы включить расширенные функции.
• RFC 9799 описывает расширения ACME для выдачи таких сертификатов, включая возможность связывать обычные домены и .onion-адреса одним ключом.
• Критики считают это «политическим» требованием: шифрование уже есть, но из-за «TLS повсюду» приходится накладывать лишний слой.
• Практический вывод: для публичных сервисов сертификат нужен, чтобы «вписаться» в экосистему; для приватных каналов достаточно TOFU или ручной проверки.

Стек для Python-статики: uv + Caddy + Docker

Я почти полностью перешёл на uv — он быстрый, удобен и сам ставит нужный Python. Статические сайты собираю Python-скриптами, а раздаю через Caddy в многоступенчевом Docker-контейнере.

Пример на sus

Dockerfile (сжато):

FROM ghcr.io/astral-sh/uv:debian AS build
WORKDIR /src
COPY . .
RUN uv python install 3.13
RUN uv run --no-dev sus

FROM caddy:alpine
COPY Caddyfile /etc/caddy/Caddyfile
COPY --from=build /src/output /srv/

1. Берём образ с uv, копируем код.
2. uv ставит Python 3.13 и зависимости, запускает sus, который кладёт сайт в /output.
3. Вторая стадия — лёгкий Caddy. Копируем конфиг и готовые статические файлы в /srv.

Caddyfile минимален:

:80
root * /srv
file_server

Запуск:

docker build -t sus .
docker run -p 80:80 sus

Итог: быстрая сборка, маленький образ, автоматический HTTPS при нужном домене.

• Почти все комментаторы считают выбранный стек (Docker, uv, Caddy, Coolify) избыточным для статического личного сайта.
• Критика сводится к тому, что достаточно «HTML → Nginx/Apache» или даже «HTML → FTP».
• Автор отвечает: хотел остаться в экосистеме Coolify ради единого CI/CD и «zero-SSH» деплоя.
• Некоторые предлагают минимальные Dockerfile (nginx:alpine + COPY) или вообще отказаться от контейнеров.
• Обсуждение выродилось в дискуссию о «культуре овер-инжиниринга» и самоучках, использующих сложные инструменты без понимания базовых.

• История: от pre-fork до epoll — каждый шаг уменьшал сисколлы, но они всё ещё оставались узким местом.
• io_uring — кольцевые очереди в памяти: сервер пишет команды, ядро асинхронно их выполняет и кладёт результат обратно. При высокой нагрузке strace не покажет ни одного сисколла.
• 1 поток = 1 ядро без разделяемых структур; память берётся только из локального NUMA-узла.
• Память: заранее выделяем фиксированный буфер на соединение — без brk/mmap, без фрагментации.
• kTLS — после рукопожатия шифрование переходит в ядро. Плюсы:
  1. Работает sendfile, данные не копируются в userspace.
  2. Возможно аппаратное ускорение NIC.

• io_uring даёт «zero-syscall» при высокой нагрузке, но требует ручного управления памятью: безопасность не обеспечивается ни borrow checker, ни runtime.
• На большинстве облачных платформ io_uring выключен по умолчанию, поэтому остаётся нишевым.
• Автор статьи сначала чистит код, а потом будет мерить производительность — что вызвало одобрение читателей.
• Обсуждаются альтернативы: epoll, kTLS, DPDK, eBPF, а также споры «один поток на ядро» vs oversubscription.
• Некоторые считают, что сложность io_uring и async Rust — цена за неспособность ОС ускорить syscalls без нарушения обратной совместимости.

20 августа 2025 г. с 00:34 до 01:48 по Пекину GFW безусловно сбрасывал все TCP-соединения на 443-порт, разрывая трафик между Китаем и остальным миром.

Ключевые факты

• Цель: только 443/tcp; 22, 80, 8443 не трогались.
• Механизм:
  • из Китая: SYN или SYN+ACK вызывали три поддельных RST+ACK;
  • в Китай: RST посылались только на SYN+ACK сервера.
• Оборудование: отпечатки не совпадают с известными GFW-узлами ⇒ либо новое устройство, либо сбой.

Примеры трафика

Из Китая наружу

CN_IP → NON_CN_IP:443 [SYN]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 0, ack 1, win 1980-1982)
NON_CN_IP:443 → CN_IP [SYN+ACK]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 1, ack 1, win 3293-3295)

Снаружи в Китай

192.168.0.162 → baidu.com:443 [SYN]
baidu.com:443 → 192.168.0.162 [SYN+ACK]
baidu.com:443 → 192.168.0.162 [RST+ACK] (seq 1, ack 1, win 2072-2074)

Инцидент длился 74 минуты; приглашаем сообщить дополнительные наблюдения.

• Пользователи обсуждают масштабные сбои/блокировки в китайском интернете, многие называют это «комендантским часом» и опасаются повторения на Западе.
• Возникли вопросы о топологии «Великого фаервола»: централизован ли он, действует ли между всеми узлами или только между домашними и коммерческими сетями.
• Некоторые считают инцидентом ошибку конфигурации, другие — «сухую тренировку» перед будущими ограничениями, особенно в военное время.
• Упоминаются последствия для удалённых работников и иностранцев: падение VPN, пропущенные созвоны, поиск запасных каналов (Starlink, LoRa, V2Ray).
• Подчёркивается, что внутри Китая даже запуск личного блога требует лицензии ICP, а HTTPS-сертификаты часто отсутствуют.

Я использую Tailscale около четырех лет, чтобы объединять свои устройства, серверы и приложения. Расскажу, как применяю его, о полезных фишках и подводных камнях.

Tailscale — это по сути оркестрация WireGuard с приятными надстройками. Продукт по подписке, но у него очень щедрый бесплатный тариф для личного использования. Клиенты — с открытым исходным кодом; есть и сторонний контроль-сервер Headscale, если не хочется облака.

Базовое подключение

Tailscale позволяет легко связать устройства, даже если они не торчат в интернет. Ставите клиент на телефон/компьютер/сервер/Raspberry Pi, авторизуете — и он общается с остальными по приватным IP Tailscale.

Это обычная идея VPN, но здесь всё просто: не нужно настраивать сеть и раздавать ключи — ставите клиент и логинитесь.

Например, мой домашний автоматизационный сервис на Raspberry Pi за двумя роутерами: поставил Tailscale, вошел — и сразу могу SSH с ПК или телефона, даже из разных сетей.

Есть особая поддержка SSH: Tailscale принимает подключения на 22 порт с tailnet и сам выполняет аутентификацию. Никаких ключей и паролей: вошли в Tailscale — можете войти на машину. Особенно удобно с телефона, где управлять ключами неудобно.

Можно публиковать не целую машину, а отдельные сервисы как отдельные узлы tailnet: есть официальный Docker-образ, Go-библиотека, и сторонние инструменты (например, мои Centauri и tsp).

Это больше, чем VPN

Чтобы не запоминать IP, я долго вручную добавлял DNS-записи. Перешел на MagicDNS — он автоматически создает DNS по имени машины.

Сначала меня смущало, что он меняет резолвер на устройствах — “слишком магично”. Разобрался, привык. Можно задать и свой upstream DNS. Я везде использую NextDNS, и Tailscale сам настраивает его на всех устройствах.

Помимо коротких имен, есть формат machine.your-tailnet.ts.net. Его можно «перебросить» на глобальную маршрутизацию и получить TLS-серты.

Нужно быстро показать локальный сервис? Включите funnel: tailscale funnel 127.0.0.1:8080 Без доп. опций сервис будет доступен по HTTPS:443. Дайте ссылку https://machine.your-tailnet.ts.net — трафик пойдет на ваш 8080. У посетителей Tailscale не нужен. Пользуюсь редко, но удобно.

Команда serve делает похожее, но только внутри tailnet. Так же работает Docker-образ Tailscale для публикации обычного сервиса. Для тестов с телефона: вместо танцев с Wi‑Fi/локалхостом/IP просто запускаю tailscale serve и захожу с устройства.

• Включение tailscale funnel мгновенно привлекает ботов, сканирующих новые HTTPS-сертификаты из CT-логов.
• Пользователи делятся альтернативами: Headscale, NetBird, Nebula, Zerotier и «чистый» WireGuard.
• Mullvad-интеграция позволяет использовать выходные ноды Tailscale для смены геолокации.
• Настоятельно не рекомендуют запускать dev-серверы и OIDC-серверы через funnel из-за риска блокировки и атак.
• Чтобы не светить домены, применяют wildcard-сертификаты и нестандартные порты.
• Tailscale собирает телеметрию по умолчанию; её можно отключить, но это не анонимный VPN.