Hacker News Digest

FBI потребовала от провайдера Tucows предоставить данные пользователей Archive.today — одного из самых загадочных и известных интернет-ресурсов. Сервис, работающий более десяти лет, позволяет сохранять и просматривать предыдущие версии веб-страниц, подобно Wayback Machine, но с минимальными ограничениями. Судебный ордер обязал компанию передать информацию о пользователях, что вызвало обеспокоенность в сообществе.

Archive.today привлекает внимание из-за своей политики минимального вмешательства в контент, что делает его популярным инструментом для сохранения информации. Сервис активно используется журналистами, исследователями и активистами для архивации материалов, которые могут быть удалены или изменены. Требование спецслужб ставит под вопрос конфиденциальность пользователей и принципы работы подобных платформ.

• FBI расследует archive.today как часть уголовного дела, хотя неясно, какое именно преступление подразумевается.
• Сайт используется для обхода платных стен, что делает его целью для издателей, которые не могут предложить удобный UX.
• Появляются сообщения, что оператор может быть в России, что вызывает вопросы о том, почему ФБР не может просто заблокировать сайт, если бы это было правдой.
• Пользователи HN обсуждают, что если бы archive.today исчезнет, это лишит их возможности делиться ссылками на статьи без paywall, что вызывает тревогу.
• Некоторые комментаторы подчеркивают, что archive.today использует ботнет и Tor для обхода блокировок, что может быть причиной, по которой ФБР считает его угрозой.

• Использование Tor в условиях угрозы государственного надзора вызывает спор: кто-то считает, что это может быть вредно, а кто-то — что это может быть полезно.
• Некоторые участники обсуждения подчеркивают, что Tor может быть полезен для обхода цензуры и блокировок, а также для защиты от коммерческого трекинга.
• Однако, другие участники подчеркивают, что использование Tor может привлечь внимание и вызвать подозрение, особенно в странах с авторитарным правлением.
• Также обсуждались альтернативы Tor, такие как VPN и I2P, но не было достигнуто консенсуса, какой из них лучше всего подходит для различных сценариев использования.

The Tor Project выпустила альфа-версию Tor Browser 15.0a4, финальную перед стабильным релизом в конце октября. Ключевые изменения включают полное удаление встроенных ИИ-функций из соображений приватности, переименование 'meek-azure' в просто 'meek' для унификации, и улучшенную поддержку тёмной темы.

Важные технические правки: улучшено отображение CJK-иероглифов шрифтом Jigmo, управление WebAssembly теперь делегировано NoScript для совместимости с PDF, а индикатор протокола 'https' в URL-bar теперь всегда виден, как и в Firefox. Эти изменения завершают подготовку к стабильной версии.

• Mozilla и другие проекты продолжают внедрять AI-функции, что вызывает критику из-за конфликта с приватностью и философией открытого ПО.
• Пользователи жалуются на то, что Firefox и подобные браузеры всё больше становятся похожи на Chrome, теряя свою уникальность.
• Сторонники приватности и открытого ПО выражают обеспокоенность по поводу того, что Mozilla и подобные проекты всё меньше соответствуют своим принципам.
• Некоторые пользователи отмечают, что Mozilla всё меньше взаимодействует с сообществом и всё больше ведёт себя как корпорация.

ExpressVPN принадлежит британско-израильской компании Kape Technologies, которую контролирует миллиардер Тедди Саги через свою фирму Unikmind Holdings. Kape также владеет CyberGhost, Private Internet Access и другими VPN-сервисами, создавая крупную корпоративную сеть. Сделка по покупке ExpressVPN обошлась в $936 млн.

NordVPN и Surfshark управляются литовскими основателями через Nord Security, но после слияния в 2022 году фактически находятся под одним контролем. Nord Security также приобрела Atlas VPN в 2021 году. В отличие от Kape, эта группа сохраняет более прозрачную структуру без прямых связей с медиахолдингами или спорными фигурами.

• Обсуждается непрозрачность индустрии VPN: сомнительные практики владения, продажа данных, отсутствие реальной анонимности и риск компрометации.
• Рекомендуются Mullvad и AirVPN как наиболее надежные поставщики, в то время как другие (NordVPN, ExpressVPN, ProtonVPN) подвергаются критике за связи с Tesonet, Kape Technologies и потенциальные связи с государственными структурами.
• Предлагаются альтернативы VPN: Tor, SSH-туннели, многосторонние реле (например, Obscura) и самостоятельные решения на VPS для повышения конфиденциальности.
• Основные сценарии использования VPN — доступ к геоблокированному контенту и пиринговым сетям, но не для серьезной анонимности.
• Подчеркивается системная проблема: законодательное давление на приватность и недоверие к юрисдикциям, что делает технологические решения вторичными.

Джош отбыл 18 месяцев в федеральной тюрьме за создание и управление спорным стриминговым сайтом HeheStreams с 2016 по 2021 год. Он добровольно сдался властям в январе 2024 года и был освобожден в августе 2025-го, подчеркивая, что многие публикации о его деле содержали неточности.

Сайт позиционируется как попытка предоставить достоверную информацию о его опыте и причинах заключения, контрастируя с искаженными медийными сообщениями. Джош упоминает, что материалы TorrentFreak были наиболее точными, и призывает заинтересованных обращаться к нему напрямую для контекста.

• Автор сайта HeheStreams объясняет, что был осужден за мошенничество, а не за нарушение авторских прав, и отбывал срок под домашним арестом.
• Обсуждение касается технической сложности проекта, который поддерживал множество платформ и использовал нестандартные методы стриминга для обхода ограничений.
• Участники дискутируют о справедливости американской судебной системы, отмечая непропорционально суровое наказание за финансовый ущерб.
• Поднимается вопрос о мотивах создания пиратских стриминговых сервисов, от анархистских убеждений до коммерческой выгоды.
• Автор выражает сожаление, что его личная история стала достоянием общественности, так как изначально она была предназначена для потенциальных работодателей.

• Критика системы правосудия США как несвободной и репрессивной.
• Утверждение о неизбежности судебного преследования даже при оправдательном приговоре ("поездка" хуже "обвинения").
• Пример нарушения закона CFAA при несанкционированном доступе к аккаунту (например, Netflix родственника).
• Тезис о совершении нескольких уголовных преступлений ежедневно без осознания этого.
• Рекомендация обратиться в Фонд электронных рубежей (EFF) за помощью.
• Характеристика ситуации как обыденности для полицейского государства.
• Ссылка на решение Верховного суда по делу Van Buren v. United States, уточняющее трактовку "превышения авторизованного доступа" по CFAA.

LandChad.net учит запускать сайты, почту и чаты за пару часов и копейки.
Базовый курс (≈1 ч):

1. Домен
2. Сервер
3. DNS
4. Nginx
5. HTTPS (Certbot)

Свои сервисы: Alps (почта), Calibre (библиотека), Cgit, Coturn, Dnsmasq, DokuWiki, ejabberd, Fosspay, Git, Gitea, i2p, IRC, Jitsi, Matrix (Synapse/Dendrite), Monero, Mumble, Nextcloud, PeerTube, Pleroma, Prosody, Radicale, Rainloop, RSS-Bridge, SearXNG, Tor, Transmission, WireGuard, Yarr.

Почтовый курс (≈1 ч + 1 день на открытие портов):

1. SMTP
2. rDNS
3. DNS-записи
4. Входящая почта
5. Защита

Администрирование: Certbot, Cron, Gemini и др.

• Участники спорят, что название «landlord»/«landchad» некорректно: арендуя VPS и домен, ты всё равно арендатор, а не собственник.
• Многие хвалят сайт за простые гайды по самостоятельному хостингу, но отмечают, что материал рассчитан на «интернет-сантехников», а не новичков.
• Поднят вопрос о бесполезности собственного почтового сервера из-за попадания писем в спам; однако некоторые пишут, что у них всё работает без проблем.
• Ключевой пробел — почти нет информации о надёжных бэкапах и восстановлении.
• Упоминаются риски юридического преследования за несоблюдение регуляций и то, что мобильный интернет сместил фокус с «домашних» сайтов.

• Базовые настройки

  • Поиск → DuckDuckGo.
  • Privacy & Security → включить HTTPS-Only Mode, выключить все пункты «Firefox Data Collection», выставить Enhanced Tracking Protection на Strict.

• Расширения

  • uBlock Origin — блок рекламы и трекеров.
  • ClearURLs — чистит параметры отслеживания в ссылках.
  • Privacy Badger — автоматически блокирует скрытые трекеры.

• about:config

  • privacy.firstparty.isolate = true — куки привязаны к домену (может ломать SSO).
  • privacy.resistFingerprinting автор отключил из-за проблем с отображением и загрузкой изображений.

Firefox + этот список = значительно выше приватность, чем «из коробки».

• Пользователи считают, что статья о «харднинге» Firefox поверхностна: встроенные трекеры Mozilla (Pocket, Sync, Safebrowsing и др.) всё равно остаются, а любые нестандартные настройки только выделяют вас в толпе.
• Единственный надёжный способ избежать fingerprinting — Tor, но он вызывает проблемы на сайтах вроде PayPal.
• Популярное решение — не мучиться с about:config, а сразу ставить LibreWolf или Brave.
• Каждое обновление Firefox может сбросить настройки или добавить новые «фичи», поэтому «гонка вооружений» бессмысленна.
• Желающие идут дальше: запускают браузер в firejail/bubblewrap, отключают JS глобально (uBlock, NoScript) или мечтают о сетевом фаерволе уровня «uMatrix для всей сети».

Сертификаты для onion-сервисов

Onion-сервисы изначально не нуждаются в TLS-сертификатах, так как Tor уже обеспечивает шифрование и аутентификацию. Однако при доступе через HTTPS-прокси или при желании показать «зелёный замок» можно выпустить сертификат.

Возможные варианты

1. DV от публичного CA

   • Let’s Encrypt, DigiCert и др. поддерживают домены .onion.
   • Потребуется подтвердить владение onion-доменом через ACME (HTTP-01 или DNS-01).

2. Собственный CA

   • Генерируем корневой сертификат и подписываем им конечные.
   • Подходит для внутренних или тестовых сервисов; клиенты должны добавить корень в доверенные.

3. Self-signed

   • Быстро, но вызывает предупреждение браузера.
   • Использовать только для разработки.

Практика с Onionspray

• Встроенный модуль onionspray-cert автоматизирует выпуск Let’s Encrypt.
• Для собственного CA:

  onionspray root-ca init
  onionspray cert issue <onion-address>
  

• Готовые сертификаты складываются в ./certs/.

Проверка

• Публичный DV: открыть onion-сайт в Tor Browser — замок зелёный.
• Свой CA: импортировать rootCA.pem в браузер/ОС.

Кратко

• Для публичных проектов — Let’s Encrypt.
• Для частных — собственный CA.
• Self-signed только для тестов.

• Участники спорят, нужны ли onion-сайтам сертификаты CA, ведь адрес .onion уже криптографически привязан к публичному ключу.
• Основной аргумент «за» — совместимость: браузеры и стандарты (HTTP/2, платежи) требуют TLS-сертификат, чтобы включить расширенные функции.
• RFC 9799 описывает расширения ACME для выдачи таких сертификатов, включая возможность связывать обычные домены и .onion-адреса одним ключом.
• Критики считают это «политическим» требованием: шифрование уже есть, но из-за «TLS повсюду» приходится накладывать лишний слой.
• Практический вывод: для публичных сервисов сертификат нужен, чтобы «вписаться» в экосистему; для приватных каналов достаточно TOFU или ручной проверки.

WebLibre — независимый браузер на базе Gecko и Mozilla Android Components. Поддерживает мобильные расширения Firefox и ориентирован на приватность.

⚠️ Альфа-версия: возможны баги и частые обновления. Сообщайте о проблемах на GitHub.
Без зависимостей Google только в сборке F-Droid.

• WebLibre — ещё один Firefox-форк под Android, добавляется к Iceraven, Fennec, Waterfox и др.
• Отличается: Tor-вкладки, мульти-аккаунт-контейнеры, локальная AI-модель, но UI почти не похож на Firefox.
• Подводные камни: в релизах проприетарные Google Play Services, нельзя выключить Google Safe Browsing, нет кастомных поисковых URL.
• Финансирование неясно; проект за одним немцем, что вызывает вопросы устойчивости и доверия.
• Участники сомневаются: «надо ли ещё одно “приватное” приложение, когда и так полно форков?»

Сокращённый перевод на русский (markdown)

---

4chan как новый «Pirate Bay» для расширения блокировок в Великобритании?

Закон об онлайн-безопасности (OSA) позиционируется как защита детей, но фактически вводит жёсткую цензуру: от новостей с войны до критики самого закона. Взрослые вынуждены подтверждать личность, иначе им показывают «детский» интернет. Зарубежные платформы рискуют огромными штрафами, поэтому многие просто закрывают доступ для британцев.

Правительство сводит дискуссию к дихотомии: «или вы за детей, или за онлайн-хищников». Критиков обвиняют в «пособничестве», а VPN-пользователей называют «не помогающими защитить детей». Лондон также требует от зарубежных компаний удалять посты британцев, критикующих политику. Госдеп США уже упрекнул Великобританию в подавлении свободы слова.

Полиция Лондона пригрозила преследовать «враждебные» посты, включая тех, кто пишет из-за рубежа. Конгрессмены США ответили: преследование американцев навредит союзу.

Теперь, используя 15-летний опыт блокировки пиратских сайтов, власти готовятся расширить фильтрацию на обычные ресурсы, не выполняющие требования OSA. 4chan, получив уведомление от Ofcom, оказался удобным «примером», как когда-то Pirate Bay.

• Пользователи HN удивлены, что впервые за долгое время меры по цензуре встретили не только осуждение, но и поддержку.
• Основной тезис: блокировка 4chan — «троянский конь» для введения тотального контроля над интернетом и свободой слова.
• Многие считают, что Онлайн-безопасный акт (OSA) превращает Великобританию в полицейское государство, где власть контролирует не только контент, но и доступ к нему через ISP, рекламодателей и платёжные системы.
• Участники обсуждают технические обходы (VPN, TOR 2.0, локальное архивирование) и политические последствия: если британцы не проголосуют против, такие меры расползутся по всему Западу.
• Подспудно звучит тревога, что «защита детей» — лишь предлог для укрепления власти элит и подавления инакомыслия.

Anubis — «весы душ» для HTTP-запросов, защищают сайты от ИИ-ботов. Вместо CAPTCHA требует перебора nonce, чтобы SHA-256(challenge+nonce) начиналась с 4 нулей (16 бит). Это Proof-of-Work, как в биткоине, но не майнинг.

Проблема: задача легка для дата-центра ИИ, но трудна для обычных пользователей без мощного железа.
Сайты ядра Linux (git.kernel.org, lore.kernel.org) теперь требуют этот PoW, что ломает скрипты и консольные клиенты.

Цифры

• Сложность 4 → 2¹⁶ ≈ 65 536 SHA-256 на токен.
• Токен живёт 7 дней.
• 11 508 «звёзд» GitHub ≈ столько сайтов с Anubis.
• На бесплатной e2-micro GCP: 3688 кБ/с SHA-256 → ≈ 230 000 хэшей/с.
• Для обхода всех сайтов за неделю: 11 508 × 65 536 ≈ 754 млн хэшей → 54 минуты CPU на одном ядре.
  Цена: копейки, даже в облаке. ИИ-вендору это ничто, а владельцу VPS-128 МБ — проблема.

Альтернативы

• Rate-limit, WAF, robots.txt, API-ключи, CDN, client-cert.
• Использовать Tor Browser (JS включён) или Selenium.
• Патчить curl/wget, добавляя JS-движок или готовый PoW-скрипт.
• Прокси-браузер (Puppeteer, Playwright) в headless-режиме.

Workarounds

• anubis-pass — консольный майнер на Go, решает задачу и выдаёт cookie.
• Пользовательские скрипты, которые запрашивают страницу, вычисляют PoW и продолжают сессию.

• Anubis — это PoW-заглушка, которая заставляет клиента выполнить небольшой вычислительный «тест» и получить токен на неделю; таким образом сервер получает идентификатор для рейт-лимита и борется с массовым «распылением» запросов ботами.
• Многие участники считают, что PoW легко обходится при наличии вычислительных ресурсов, но пока большинство AI-краулеров просто не стали заморачиваться, поэтому Anubis «работает» в реальности, хоть и не идеален.
• Критика: задержки 10–20 с на слабых устройствах, проблемы с доступом без JS, «аниме-девочка» вызывает у кого-то раздражение, а у кого-то ностальгию.
• Часть комментаторов предлагает альтернативы: микроплатежи, «человеческие» вопросы, лабиринты-ловушки, VPN-сети или просто блокировки по ASN.
• Самое главное: Anubis не решает проблему окончательно, но добавляет достаточно трения, чтобы заставить владельцев краулеров пересмотреть объёмы сканирования.

Что происходит
Брюссель предлагает «Chat Control»: обязательный сканер всех личных сообщений и фото, включая зашифрованные. Это массовое наблюдение без подозрения и без исключений для 450 млн граждан ЕС.

Последствия

• Слежка: каждое сообщение, фото, файл автоматически проверяются.
• Взлом шифрования: бэкдоры откроют доступ хакерам и спецслужбам.
• Права человека: нарушение статей 7 и 8 Хартии ЕС.
• Ложные срабатывания: отпускные фото и шутки признают «запрещённым контентом».
• Дети не в безопасности: эксперты ООН говорят, что массовая слежка не защищает, а ослабляет безопасность.
• Прецедент: авторитарные режимы будут ссылаться на ЕС, чтобы вводить собственные сканеры.

Позиции стран ЕС

• Против: 3 государства
• За: 15
• Не решились: 9

Что делать

1. Выбрать волнующие пункты (приватность, шифрование, ложные обвинения и т.д.).
2. Отредактировать письмо.
3. Отправить депутатам Европарламента одним кликом.

Ресурсы

• Анализ Патрика Брейера
• EDRI
• noyb

© 2025, инициатива граждан

• Европарламент тайно проголосовал за обязательную верификацию возраста при доступе к порнографии с тюремным сроком до года (поправка 186).
• Французы и другие почти без исключения поддерживают инициативу; активисты жертвуют GrapheneOS и аналогичным проектам.
• Совет ЕС сильнее Парламента и именно он продвигает «Chat Control»; сайт fightchatcontrol.eu пока отражает позиции правительств, а не личные взгляды депутатов.
• Участники обсуждения считают конец онлайн-анонимности концом интернета и предлагают план «Б»: децентрализованные мессенджеры, самостоятельные сборки Android, TOR.
• Евродепутаты и чиновники исключены из-под слежки «по правилам профессиональной тайны», что вызывает особое возмущение.

Как военный проект стал щитом приватности

На скрипучем поезде в тумане я пытаюсь зайти на сайт, но Wi-Fi блокирует его. Запускаю Tor Browser — страница открывается мгновенно.

Tor, или «тёмная сеть», ассоциируется с криминалом, но финансируется частично правительством США, а BBC и Facebook ведут в нём «зеркала» для обхода цензуры. Суть: трафик шифруется и прыгает по серверам мира, скрывая пользователя и обходя блокировки.

От криптовойн до Tor

90-е: хакеры-циферпанки вооружают гражданских военным шифрованием, предупреждая, что интернет может стать тоталитарным. Бизнес и Пентагон поддерживают: свободный поток данных = рыночная победа.

В исследовательской лаборатории ВМС США (NRL) инженеры ищут способ скрыть IP подлодок. Их решение — луковая маршрутизация — ложится в основу Tor.

Двойная игра государства

Сегодня одни ведомства финансируют Tor, другие требуют «задних дверей». Технологии, рождённые для шпионажа, стали инструментом сопротивления цензуре и массовой слежке.

• @neilv использовал Tor для скрытого мониторинга международной торговой площадки, выбирая выходные узлы под нужные регионы.
• @palsecam и @jmclnx рассказали, что запускать ретранслятор или bridge дёшево (VPS за $5) и безопасно, помогая обходить цензуру.
• Некоторые считают Tor «мертвым» или скомпрометированным; другие советуют прятаться в толпе, использовать VPN, residential-прокси или переходить на i2p.
• Книга «Tor: From the Dark Web to Your Browser» доступна бесплатно от MIT Press и получила положительные отзывы.
• Основные советы по безопасности: брать Tails на флешке, не ставить расширений в Tor Browser, не логиниться личными данными.

Кратко:
22 июля 2025 г. Европол сообщил о задержании в Киеве 38-летнего администратора русскоязычного киберфорума XSS (≈50 000 участников). Форум считается «площадкой» для Revil, LockBit, Conti и др. Под арестом, по общему мнению, скрывается ник «Toha» — ключевая фигура русскоязычной киберпреступной сцены.

Кто такой Toha

• С 2005 г. основатель Hack-All, затем Exploit.in (продан в 2018 г.).
• В 2018 г. запустил xss.is на базе архива DaMaGeLaB.
• Доменные записи 2004-2010 гг. связывают его e-mail toschka2003@yandex.ru с именем Anton Medvedovskiy (Киев) и, частично, Yuriy Avdeev (Москва).
• После рейда аккаунты Toha во всех форумах замолчали; XSS снова онлайн, но в Tor.

Итог
Арестованный — вероятно, Medvedovskiy/Toha, арбитр сделок и гарант XSS почти 20 лет.

• Участники подозревают, что упоминание покупателя «Honeypo» в цепочке идентификации — ловушка.
• Обсуждают, почему киберпреступники живут в Европе, хотя есть более безопасные страны.
• Арест 38-летнего «русского» лидера банды в Киеве вызвал «хаос» на форумах — возможно, сбои в выплатах.
• Спор о терминологии: «deep web» или «dark web»; уточняют, что «darknet» и «deep web» — разные вещи.
• Предполагают, что BMW-объявление с данными Toha было ложным следом для сбивки следствия.