Hacker News Digest

Cloudflare представила Oxy - новый прокси-фреймворк, написанный на Rust, который служит основой для нескольких ключевых продуктов компании, включая Zero Trust Gateway и iCloud Private Relay. Разработанный с учетом опыта создания высоконагруженных прокси, Oxy позволяет реализовывать современные протоколы связи и строить сложные сервисы для обработки огромного трафика.

Фреймворк предоставляет программный контроль над всеми аспектами проксирования: от декапсуляции протоколов и анализа трафика до маршрутизации и DNS. Oxy тесно интегрирован с внутренней инфраструктурой Cloudflare, но при этом настраивается под нужды приложений. Инженеры могут начать с базового решения, которое не требует написания кода, и постепенно добавлять функции через расширяемые точки. Например, для создания HTTP-файрвола достаточно реализовать обработчики запросов и ответов, а для L4-файрвола - добавить аутентификацию или георouting.

• Обсуждение в основном вращается вокруг негативного опыта с Cloudflare Tunnels и их IPv6-ограничений, а также сравнения с другими решениями вроде Tailscale и ngrok.
• Участники жалуются на плохую документацию, отсутствие прозрачности и "vendor lock-in" при использовании продуктов Cloudflare.
• Обсуждение также затрагивает вопросы лицензий, сравнение с другими решениями и влияние на разработчиков.
• Некоторые участники делятся личным опытом и альтернативными инструментами вроде localtunnel и Tailscale.
• В целом, обсуждение подчеркивает сложность выбора между удобством и контролем над инфраструктурой, особенно в контексте разработки ПО.

Во время 12-часового перелёта из Канады в Гонконг на борту Air Canada автор обнаружил, что бесплатный Wi-Fi ограничен только мессенджерами. Вместо того, чтобы заплатить 30 CAD за полный доступ, он решил «взломать» систему. С помощью эксперта по безопасности сетей они попробовали три подхода: самоподписанный SSL-сертификат, маскировка DNS-запросов и туннелирование DNS. Первые два метода провалились из-за жёсткой фильтрации IP и отсутствия UDP. Третий подход оказался рабочим: туннель через DNS позволил обойти ограничения и получить полный доступ к GitHub и другим сайтам.

• Пользователи обсуждают, что если ICMP-запросы не проходят, это не обязательно означает блокировку IP-адреса — возможно, просто блокируется ICMP.
• Участники обсуждают, что если DNS-запросы проходят, то можно использовать DNS-туннель, чтобы обойти ограничения.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.

Traefik отмечает десятилетие развития как облачного прокси-приложения с открытым исходным кодом. За эти годы проект вырос из простого инструмента маршрутизации в полноценную платформу, включающую Traefik Proxy, Traefik Hub API Gateway и решения для управления API. Сообщество сыграло ключевую роль в его эволюции, способствуя появлению функций для Kubernetes, Docker Swarm, веб-приложений и даже шлюзов для ИИ.

Платформа теперь предлагает решения для безопасности, такие как WAF, управление политиками API и интеграции с экосистемами вроде HashiCorp, Microsoft и Oracle. Traefik продолжает адаптироваться к современным потребностям, включая поддержку GitOps и мокирование API, демонстрируя гибкость и устойчивость в быстро меняющейся ИТ-среде.

• Пользователи отмечают сложность настройки и неудовлетворительную документацию Traefik, особенно при нестандартных требованиях.
• Многие предпочитают альтернативы, такие как Caddy, за его простоту и автоматизацию TLS, или Envoy как CNCF-стандарт.
• Traefik хвалят за интеграцию с Docker и автоматическое управление сертификатами, но критикуют за закрытие базовых функций в enterprise-версии.
• Поддержка динамической конфигурации через Docker-лейблы считается сильной стороной, но сам формат конфигурации часто называют запутанным.
• Проект признают зрелым и полезным для конкретных сценариев, но выбор инструмента часто зависит от личных предпочтений и задач.

• Stark Industries Solutions — «неубиваемый» хостер, появившийся за 2 недели до вторжения РФ в Украину, стал площадкой для DDoS, прокси, VPN, вредоноса и фейков.
• В мае 2025 ЕС ввёл санкции против владельцев компании — братьев Некулити и молдавского PQ Hosting.
• За 12 дней до публикации списка братья переименовали Stark в the[.]hosting, перевели IP-адреса на новую молдавскую фирму PQ Hosting Plus S.R.L. (тот же телефон) и оформили активы на голландскую WorkTitans BV.
• Второй ключевой канал — нидерландский MIRhosting Андрея Нестеренко (причастен к хостингу StopGeorgia.ru в 2008) — не попал под ограничения; сейчас его сотрудники управляют и WorkTitans, и the[.]hosting.
• Санкции не остановили сервис: инфраструктура та же, владельцы те же, просто сменились вывески.

• Участники обсуждают «пуленепробиваемый» хостинг Stark Industries Solutions, который игнорирует жалобы на злоупотребления и обслуживает киберпреступников.
• Название «Stark» воспринимается как ирония или сарказм, хотя в Скандинавии это обычная фамилия.
• Термин «bulletproof host» оказался незнакомым части инженеров, но в ИБ-среде используется давно.
• Провайдер обвиняется в DDoS, прокси/VPN для русскоязычных групп, ботнетах и фейках; трафик идёт даже из ЕС.
• Участники считают, что санкции и черные списки не работают: «запретный» rack стоит рядом с европейским дата-центром.
• Спорят о цензуре российской пропаганды: одни называют это гибридной войной, другие — защитой от влияния.

Краткий обзор «Signpost»: дезинформация
Самый переводимый биографический материал Википедии — кто он?

• Итог: статья о неизвестном персонаже стала лидером по количеству языковых версий, вызвав подозрения в скоординированной кампании.
• Методы: массовые переводы за короткий срок, одинаковые источники, активность новых аккаунтов.
• Реакция: редакторы запросили проверку достоверности, часть версий удалена, открыто обсуждение о правилах быстрых переводов.

• На HN заметили аномально высокое число переводов статьи о Дэвиде Вударде, что запустило расследование итальянской Википедии.
• Раскрыта масштабная десятилетняя кампания саморекламы: ≈200 аккаунтов, 335 языковых версий, прокси-IP.
• Сообщество за месяц сократило статьи с 335 до 20, полностью разоблачив сеть.
• Участники обсуждают, почему на самой странице Вударда нет упоминания о скандале: нужны внешние источники, а не «оригинальное исследование».
• Некоторые считают, что переводы на малые языки были лишними и выдали махинацию; другие жалуются на «токсичных» удаляторов и защиту нейтральности Википедии.

Как военный проект стал щитом приватности

На скрипучем поезде в тумане я пытаюсь зайти на сайт, но Wi-Fi блокирует его. Запускаю Tor Browser — страница открывается мгновенно.

Tor, или «тёмная сеть», ассоциируется с криминалом, но финансируется частично правительством США, а BBC и Facebook ведут в нём «зеркала» для обхода цензуры. Суть: трафик шифруется и прыгает по серверам мира, скрывая пользователя и обходя блокировки.

От криптовойн до Tor

90-е: хакеры-циферпанки вооружают гражданских военным шифрованием, предупреждая, что интернет может стать тоталитарным. Бизнес и Пентагон поддерживают: свободный поток данных = рыночная победа.

В исследовательской лаборатории ВМС США (NRL) инженеры ищут способ скрыть IP подлодок. Их решение — луковая маршрутизация — ложится в основу Tor.

Двойная игра государства

Сегодня одни ведомства финансируют Tor, другие требуют «задних дверей». Технологии, рождённые для шпионажа, стали инструментом сопротивления цензуре и массовой слежке.

• @neilv использовал Tor для скрытого мониторинга международной торговой площадки, выбирая выходные узлы под нужные регионы.
• @palsecam и @jmclnx рассказали, что запускать ретранслятор или bridge дёшево (VPS за $5) и безопасно, помогая обходить цензуру.
• Некоторые считают Tor «мертвым» или скомпрометированным; другие советуют прятаться в толпе, использовать VPN, residential-прокси или переходить на i2p.
• Книга «Tor: From the Dark Web to Your Browser» доступна бесплатно от MIT Press и получила положительные отзывы.
• Основные советы по безопасности: брать Tails на флешке, не ставить расширений в Tor Browser, не логиниться личными данными.