Preston Byrne представляет 4chan и другие американские сайты в судебных разбирательствах против британского регулятора Ofcom, защищая их от Закона об онлайн-безопасности. Автор бесплатно защищает все американские веб-сайты, работающие законно в США, от попыток Великобритании нарушить Первую поправку Конституции. Он подчеркивает, что даже самые спорные платформы, такие как SaSu, 4chan, Gab и Kiwi Farms, заслуживают защиты.

В случае с SaSu, который заблокировал доступ для пользователей из Великобритании, Ofcom продолжает преследование, утверждая, что геоблокировка не работает. Однако автор демонстрирует обратное с помощью теста через VPN, показав, что блокировка функционирует. Он объясняет, что геоблокировка ненадежна из-за неточностей в базах данных геолокации, где IP-адреса могут быть некорректно привязаны к регионам. Byrne считает, что стратегия Ofcom заключается в выборе самых "радиоактивных" целей для публичного унижения, и единственный способ противостоять этому — защищать каждый сайт, как указал судья Брандейс: "солнечный свет — лучший антисептик".

• UK-регулятор Ofcom требует от американского сайта блокировать доступ для британских пользователей, что вызывает споры о суверенитете и свободе слова.
• Сторонники свободы слова утверждают, что это является экстерриториальным применением закона, что противоречит принципу, что сайт не обязан соблюдать законы страны, в которой он не базируется.
• Обсуждение также затрагивает вопрос о том, кто должен решать, какие сайты доступны в стране, и кто должен нести ответственность за блокировку контента.
• Некоторые участники обсуждения поднимают вопрос о том, что если страна может требовать от иностранной компании соблюдать её законы, то почему она не может требовать того же от физических лиц, и что это может означать для свободы передвижения и частной жизни.
• В конце концов, обсуждение подводит к тому, что вопрос о том, кто имеет право регулировать интернет, и какие законы применимы к глобальной сети, остаётся нерешённым.

• Использование Tor в условиях угрозы государственного надзора вызывает спор: кто-то считает, что это может быть вредно, а кто-то — что это может быть полезно.
• Некоторые участники обсуждения подчеркивают, что Tor может быть полезен для обхода цензуры и блокировок, а также для защиты от коммерческого трекинга.
• Однако, другие участники подчеркивают, что использование Tor может привлечь внимание и вызвать подозрение, особенно в странах с авторитарным правлением.
• Также обсуждались альтернативы Tor, такие как VPN и I2P, но не было достигнуто консенсуса, какой из них лучше всего подходит для различных сценариев использования.

Недавно на рейсе British Airways из Гонконга в Лондон автор обнаружил бесплатный WiFi для "сообщений" через программу лояльности. Оказалось, что для регистрации достаточно ввести email без верификации прямо в полёте. Бесплатный интернет работал с WhatsApp, Signal и WeChat (без изображений), но блокировал Discord и обычные сайты.

Автор выяснил, что система использует SNI (Server Name Indication) из TLS-рукопожатия для определения типа трафика. SNI раскрывает домен до установления шифрования, позволяя авиакомпании блокировать не-whitelisted домены. Эксперименты показали, что даже прямые подключения по IP без SNI блокируются, а использование SNI от WhatsApp (wa.me) обходит ограничение, позволяя установить соединение с любым сайтом через хост-заголовок HTTP.

• Обсуждение началось с описания способа обхода ограничений Wi-Fi в самолётах и круизных лайнерах с помощью VPN, DNS-туннелирования и прочих техник, включая использование порта 53/UDP и DNS-over-HTTPS.
• Участники обменялись историями о том, как они обходили плату за Wi-Fi в полёте, используя различные комбинации инструментов вроде OpenVPN, WireGuard, Iodine и прочих.
• Обсуждались также такие темы, как SNI-утечки, обфускация трафика и их влияние на приватность пользователей.
• Упоминались также вопросы о том, как авиакомпании и другие транспортные компании могут отслеживать и ограничивать использование VPN и прокси-серверов.
• В конце обсуждение перешло к обсуждению более широких тем, таких как приватность и безопасность в сети, а также о том, как технические меры могут быть использованы для обхода цензуры и ограничений.

Исследователи с помощью обычного спутникового оборудования провели наиболее полный анализ геостационарных спутниковых коммуникаций и обнаружили шокирующее количество незашифрованного трафика. Среди уязвимых данных оказались критическая инфраструктура, корпоративные и правительственные коммуникации, личные голосовые звонки и SMS, а также интернет-трафик из бортовых Wi-Fi и мобильных сетей. Доступ к этой информации возможен с помощью оборудования стоимостью всего несколько сотен долларов, а один транспондер может быть виден с территории, покрывающей до 40% поверхности Земли.

Уязвимости выявлены в различных секторах: от мобильной связи и военных систем до коммерческих сетей и критической инфраструктуры. Исследователи связались с ответственными сторонами, и некоторые из них, включая T-Mobile, WalMart и KPU, уже внедрили исправления. Эксперты рекомендуют организациям рассматривать спутниковые каналы как незащищенные и использовать шифрование на всех уровнях, а обычным пользователям — применять VPN и приложения с end-to-end шифрованием для защиты своих данных.

• Сигналы спутниковой связи не зашифрованы, что делает их уязвимыми к перехвату и анализу, но это не новость для специалистов и, похоже, не для компаний, которые продолжают использовать незашифрованные каналы связи.
• Исследование показывает, что даже сегодня множество спутниковых каналов связи остаются незашифрованными, что делает возможным перехват трафика с помощью доступного оборудования.
• Участники обсуждения отмечают, что отсутствие шифрования в спутниковых каналах связи является известным фактом, и что исследование не вносит новизны, но вместо этого лишь подтверждает известное.
• Некоторые комментаторы подчеркивают, что отсутствие шифрования может быть связано с тем, что компании не хотят внедрять шифрование из-за дополнительных затрат и сложностей, а также из-за того, что это может повлиять на производительность и удобство использования.
• Также обсуждается, что хотя технически возможно перехватывать и анализировать трафик, но это не обязательно означает, что это будет сделано, и что в конечном счете ответственность за обеспечение безопасности каналов связи лежит на плечах самих пользователей.

Блогер bookofjoe делится находкой: в блоге запущен прямой эфир из пустыни Намиб, где у водопоя собираются животные — от зебр и антилоп до слонов. Автор особенно рекомендует трансляцию учителям для уроков естествознания.

Он сам начинает день с этого стрима, поскольку разница во времени позволяет видеть животных в их пиковую активность. На кадрах уже заметили семью страусов, выжидающих своей очереди, и других обитателей пустыни.

Простое решение для школ: вместо поиска картинок к уроку, учитель может транслировать реальную жизнь в реальном времени. Автор также делится, что уже поделился ссылкой с другом-учителем.

Пост завершается технической заметкой: камера установлена в Etosha National Park, и для хорошего качества нужен VPN, так как поток геоблокирован вне Намибии.

• Пользователи делятся ссылками на трансляции водопоя в пустыне Намиб, обсуждая их технические детали и влияние на зрителей.
• Обсуждается, как такие трансляции влияют на восприятие природы и как они могут быть использованы в различных контекстах.
• Участники делятся личными историями, связанными с наблюдением за животными в их естественной среде.
• Обсуждается, как технические аспекты трансляции, такие как питание от солнечных панелей и передача данных на расстоянии 35 км, влияют на восприятие.
• Участники делятся ссылками на другие трансляции и ресурсы, которые могут быть использованы для наблюдения за животными в их естественной среде.

Разработчики создали Wireguard-FPGA — полностью аппаратную реализацию VPN Wireguard на основе ПЛИС Artix7. Проект с открытым исходным кодом, включая весь RTL, встраиваемое ПО, битстримы и инструменты сборки, что позволяет любому провести полный аудит безопасности. Идея в том, что аппаратная реализация обеспечивает wire-speed производительность даже на недорогих FPGA, а открытость гарантирует отсутствие бэкдоров. Вместо традиционных программных реализаций, которые могут быть уязвимы для атак по сторонним каналам, этот подход обеспечивает физическую изоляцию и эффективность. Проект приглашает к сотрудничеству и аудиту.

• Проект представляет собой реализацию WireGuard на FPGA, что позволяет достичь высокой производительности и низкого энергопотребления, но вызывает вопросы о целесообразности, поскольку обычное ПО может справляться с подобной задачей.
• Обсуждение затрагивает вопрос о том, почему не используется QUIC вместо WireGuard, несмотря на то, что он может предложить схожие возможности и при этом не требует специализированного оборудования.
• Участники обсуждения также поднимают вопрос о том, почему не используется уже готовое решение, такое как OpenVPN или IPSec, которые могли бы быть более подходящими для корпоративного использования.
• Некоторые участники высказывают мнение, что проект является "академическим грантваром", поскольку он не решает практическую задачу, а вместо этого служит демонстрацией возможностей FPGA.
• В то же время, другие участники подчеркивают, что это может быть полезно для обучения и исследований, а также может быть полезно в ситуациях, где требуется высокая безопасность и производительность.
• Наконец, обсуждение также затрагивает вопрос о том, почему не используется уже готовое решение, такое как OpenVPN или IPSec, которые могли бы быть более подходящими для корпоративного использования.

Во время 12-часового перелёта из Канады в Гонконг на борту Air Canada автор обнаружил, что бесплатный Wi-Fi ограничен только мессенджерами. Вместо того, чтобы заплатить 30 CAD за полный доступ, он решил «взломать» систему. С помощью эксперта по безопасности сетей они попробовали три подхода: самоподписанный SSL-сертификат, маскировка DNS-запросов и туннелирование DNS. Первые два метода провалились из-за жёсткой фильтрации IP и отсутствия UDP. Третий подход оказался рабочим: туннель через DNS позволил обойти ограничения и получить полный доступ к GitHub и другим сайтам.

• Пользователи обсуждают, что если ICMP-запросы не проходят, это не обязательно означает блокировку IP-адреса — возможно, просто блокируется ICMP.
• Участники обсуждают, что если DNS-запросы проходят, то можно использовать DNS-туннель, чтобы обойти ограничения.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.
• Участники обсуждают, что если есть ограничения на использование VPN, то можно использовать прокси на порту 53, который обычно используется для DNS-запросов.

Chess.com применяет региональное ценообразование для максимизации прибыли, адаптируя стоимость подписки под покупательную способность пользователей в разных странах. Например, в Индии цены на премиум-планы значительно ниже, чем в Австралии или США, что делает сервис доступнее в регионах с меньшими доходами. Ключевым фактором определения цены является страна биллинга, которая автоматически определяется по IP-адресу, а не по выбору страны в профиле.

С помощью VPN-сервисов можно имитировать местоположение и увидеть различия в ценах: годовая подписка Diamond в Индии стоит около $35 против $100 в США. Chess.com также ограничивает возможность добавления пользователей из дорогих регионов в семейные планы, купленные в странах с низкими ценами, чтобы избежать потерь прибыли. Это показывает, как гибкое ценообразование помогает охватить более широкую аудиторию, сохраняя доходность.

• Участники обсуждают цели бизнеса, оспаривая тезис о максимизации прибыли как единственную цель, особенно для малых и частных компаний.
• Поднимается тема регионального ценообразования на примере Steam и Chess.com, где цены варьируются в зависимости от популярности игры и покупательной способности (например, в Индии или Польше).
• Обсуждаются технические и юридические аспекты ценообразования, включая различия в отображении цен с налогами (США vs ЕС) и использование SKU в SaaS.
• Chess.com критикуют за проблемы с обнаружением читеров и paywall, противопоставляя ему бесплатную платформу Lichess с открытым исходным кодом.
• Отмечается, что подписка на Chess.com даёт доступ к эксклюзивному контенту (видео, турнирам), что оправдывает её ценность для части пользователей.

ExpressVPN принадлежит британско-израильской компании Kape Technologies, которую контролирует миллиардер Тедди Саги через свою фирму Unikmind Holdings. Kape также владеет CyberGhost, Private Internet Access и другими VPN-сервисами, создавая крупную корпоративную сеть. Сделка по покупке ExpressVPN обошлась в $936 млн.

NordVPN и Surfshark управляются литовскими основателями через Nord Security, но после слияния в 2022 году фактически находятся под одним контролем. Nord Security также приобрела Atlas VPN в 2021 году. В отличие от Kape, эта группа сохраняет более прозрачную структуру без прямых связей с медиахолдингами или спорными фигурами.

• Обсуждается непрозрачность индустрии VPN: сомнительные практики владения, продажа данных, отсутствие реальной анонимности и риск компрометации.
• Рекомендуются Mullvad и AirVPN как наиболее надежные поставщики, в то время как другие (NordVPN, ExpressVPN, ProtonVPN) подвергаются критике за связи с Tesonet, Kape Technologies и потенциальные связи с государственными структурами.
• Предлагаются альтернативы VPN: Tor, SSH-туннели, многосторонние реле (например, Obscura) и самостоятельные решения на VPS для повышения конфиденциальности.
• Основные сценарии использования VPN — доступ к геоблокированному контенту и пиринговым сетям, но не для серьезной анонимности.
• Подчеркивается системная проблема: законодательное давление на приватность и недоверие к юрисдикциям, что делает технологические решения вторичными.

Автор блога удаляет Disqus из-за ужасного качества встраиваемой рекламы. Изначально он почти забыл о её появлении, так как Disqus обещал ненавязчивый подход, но при отключении блокировщика обнаружил криво оформленные и мошеннические объявления, портящие чистый, минималистичный дизайн сайта.

Из-за использования Pi-hole и VPN автор годами не сталкивался с рекламой и осознал, насколько плох опыт обычных пользователей. Disqus не только ухудшал впечатление от блога, но и монетизировал чужие данные, нарушая приватность. Вместо комментариев он предлагает связаться через GitHub или Twitter, но открыт к рекомендациям приватных или самохостовых систем.

• Пользователи критикуют Disqus за обилие рекламы, трекеров, низкую производительность и сложность борьбы со спамом, что заставляет искать альтернативы.
• Предлагаются различные решения для комментариев: самохостинг (Isso, Remark42, Comentario), использование сторонних сервисов (GitHub Discussions через Giscus, Hyvor Talk), интеграция с федеративными платформами (Mastodon, Bluesky) или полный отказ от комментариев.
• Распространена точка зрения, что содержательные обсуждения ушли в соцсети (HN, Reddit) и Fediverse, а комментарии на блогах часто не стоят усилий по поддержке и модерированию.
• Многие предпочитают минималистичные подходы: запрос комментариев по email, кросс-постинг статей в сообщества для обсуждения или простое удаление функционала комментариев.
• Подчёркивается важность контроля над данными, производительности и приватности при выборе системы комментариев, а также сложность борьбы со спамом без централизованных решений.

Определить местоположение пользователя по IP-адресу в интернете — сложная задача, поскольку интернет-адреса не несут встроенной географической информации. Для создания геолокационных баз данных, которые связывают IP-адреса со странами или координатами, приходится решать множество проблем: от выбора формата представления местоположения (широта/долгота или коды стран) до определения самих понятий «страна» и её границ. Здесь помогают стандарты вроде ISO 3166 и данные ООН, но даже они не идеальны.

Такие базы критически важны для борьбы с кибератаками, защиты авторских прав и статистического анализа, например, для сравнения числа интернет-пользователей по странам. Однако источники данных разнятся: коммерческие провайдеры вроде Maxmind предлагают платные услуги, а реестры RIR (региональных интернет-регистраторов) часто неточны, поскольку фиксируют страну регистрации владельца адресов, а не реальное место их использования. Это особенно проблематично для глобальных сетей, где адреса развёрнуты в нескольких странах.

• Критика практик геолокации пользователей интернета без их согласия из-за рисков слежки и ограничения свобод
• Обсуждение проблем регулирования Starlink, который обходит национальные ограничения через реселлеров и роуминг
• Примеры использования IP-геолокации для борьбы с мошенничеством и её ограниченной точности
• Споры о доверии к технологическим компаниям vs. правительствам в вопросах регулирования и контроля данных
• Технические сложности точного определения местоположения через IP из-за прокси, VPN и схем назначения адресов

Стандартный WireGuard блокируется сигнатурными методами, поэтому автор ищет альтернативные P2P VPN-решения с меш-топологией, открытым исходным кодом и без зависимости от WireGuard. Рассмотрены два варианта: EasyTier и Nebula.

EasyTier — минималистичный проект из Китая, использующий общий пароль для шифрования и поддерживающий множество протоколов для обхода блокировок. Не требует сложной настройки, но не позволяет закреплять IP-адреса за устройствами. Nebula от создателей Slack предлагает PKI на эллиптических кривых, собственный файрвол и зонирование, но требует ручного распределения сертификатов и имеет неудобный интерфейс через SSH. Оба решения упакованы в nixpkgs и подходят для создания самохостанных сетей без центрального сервера.

• Обсуждаются альтернативы P2P VPN: упоминаются Tinc, WireGuard, Nebula, Iroh, Yggdrasil, vpncloud, а также устаревшие проекты (Social VPN, Remobo и др.).
• Критикуется исключение Headscale из сравнения, так как он, по мнению участников, не связан с Tailscale и является полноценной open-source альтернативой.
• Уточняется, что SSH-интерфейс в Nebula предназначен только для отладки, а не для конфигурации, что было неверно истолковано в исходном посте.
• Отмечаются проблемы поддержки некоторых проектов (Tinc, по мнению ряда комментаторов, выглядит заброшенным).
• Обсуждаются технические нюансы: работа derper за обратным прокси, обфускация в AmneziaVPN без уменьшения MTU, идея использования VPN на втором уровне (L2).

Технология eSIM, упрощая подключение к сотовым сетям без физической SIM-карты, создаёт серьёзные риски приватности и безопасности. Исследование показывает, что трафик пользователей travel-eSIM часто маршрутизируется через сторонние сети, включая китайскую инфраструктуру, независимо от реального местоположения — это подвергает данные юрисдикционному воздействию и потенциальному наблюдению.

Продавцы eSIM получают доступ к конфиденциальным данным пользователей, могут удалённо управлять устройствами и назначать публичные IP без ведома владельцев. Также обнаружены операционные риски: сбои удаления профилей и их блокировка. Рекомендации включают усиление прозрачности, контроля пользователя и регулирования, особенно с ростом распространения eSIM в смартфонах и IoT.

• Исследование выявило проблемы с маршрутизацией данных через третьи страны (например, Гонконг) и доступом реселлеров к конфиденциальной информации пользователей при использовании туристических eSIM.
• Многие пользователи критикуют eSIM за сложность переноса между устройствами по сравнению с физическими SIM-картами и потенциальные ограничения со стороны операторов.
• Обсуждаются риски безопасности, включая возможные скрытые уязвимости eSIM, что подтверждается строгими ограничениями на их использование в таких странах, как Китай.
• Отмечается, что многие проблемы (маршрутизация, конфиденциальность) связаны не с технологией eSIM как таковой, а с бизнес-моделями MVNO и реселлеров.
• В качестве решений для защиты данных при использовании eSIM предлагается использовать VPN (например, WireGuard) и выбирать проверенных провайдеров.

• Пользователи из Испании и других стран сталкиваются с массовыми блокировками интернет-сервисов (GitHub, Twitch, Steam) из-за агрессивной борьбы LaLiga с пиратскими трансляциями футбола.
• Для доступа к интернету в выходные дни многие вынуждены использовать VPN, что создает неудобства и дополнительные расходы для обычных пользователей и бизнеса.
• Блокировки задевают критически важную инфраструктуру, такую как Cloudflare, что потенциально угрожает работе emergency-сервисов и вызывает опасения по поводу цензуры.
• Многие пользователи считают политику правообладателей чрезмерно жадной (высокие цены, необходимость множественных подписок) и видят в пиратстве ответ на неудовлетворительный сервис.
• Юридические системы стран допускают такие широкие блокировки, что вызывает вопросы о законности и лоббистском влиянии футбольных ассоциаций.

Утечка IPv6 в PureVPN

В конце августа 2025 года я отправил два отчёта о безопасности в PureVPN. Через три недели ответа не последовало, поэтому публикую результаты для информирования пользователей.

Проблемы затрагивают как GUI (v2.10.0), так и CLI (v2.0.1) клиенты на Linux (тестировалось на Ubuntu 24.04.3 LTS). Вот что обнаружено.

1. Утечка IPv6

После переподключения Wi-Fi или возобновления работы из спящего режима клиент PureVPN не восстанавливает защиту IPv6:

• CLI: Клиент автоматически переподключается и сообщает о статусе "подключено", но система получает маршрут IPv6 через Router Advertisements. Egress-трафик идёт вне туннеля.
• GUI: При обнаружении отключения GUI блокирует IPv4, но IPv6 остаётся рабочим до явного переподключения.

Результат: можно использовать IPv6-сайты и почту с реальным IPv6-адресом провайдера, хотя клиент утверждает о защите.

2. Сброс файрвола

При подключении PureVPN сбрасывает конфигурацию iptables пользователя:

• INPUT устанавливается в ACCEPT
• Все правила -A сбрасываются (включая UFW, Docker)
• После отключения изменения не восстанавливаются

Результат: система остаётся более уязвимой после использования VPN, чем до него. Это противоречит ожиданиям пользователя.

Пример:

# Базовая защита
$ sudo iptables -P INPUT DROP
$ sudo iptables -I INPUT -p icmp -j DROP

# После подключения VPN
$ sudo iptables -S | head -3
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
# Правила удалены

Итог

PureVPN:

• Неправильно реализует kill-switch для IPv6
• Оставляет IPv6 открытым после переподключений
• Сбрасывает состояние файрвола и не восстанавливает его
• Применяет политики ACCEPT для работоспособности

Обе проблемы имеют практическое влияние. Заявления о конфиденциальности подрываются, когда реальный IPv6 утекает, а состояние файрвола теряется.

Полные технические отчёты отправлены на security@purevpn.com. Ответа нет. Используйте с осторожностью.

• Автор поста благодарит за обсуждение и согласен с рисками использования проприетарных VPN-клиентов, отмечая полезность сетевых пространств (network namespaces) для изоляции трафика.
• Многие участники критикуют VPN-провайдеров за плохую реализацию поддержки IPv6, выделяя Mullvad как исключение, но и ему предъявляют претензии.
• Несколько комментаторов настоятельно не рекомендуют использовать PureVPN из-за доказанных в суде случаев логирования трафика, вопреки их заявлениям.
• Высказываются серьёзные сомнения в надёжности закрытого исходного кода клиентов и серверов VPN, предлагается использовать решения с открытым кодом и изоляцией трафика (например, через Vopono или Gluetun).
• Участники обсуждают ненадёжность популярных провайдеров (NordVPN, ExpressVPN) из-за агрессивного маркетинга, моделей ценообразования и возможных связей с определёнными юрисдикциями.
• Предлагаются технические решения для предотвращения утечек: отключение IPv6, использование kill-switch и настройка сетевых пространств через systemd-nspawn или другие инструменты.
• Отмечается, что основная функция VPN — подключение к удалённой сети, а конфиденциальность и безопасность являются вторичными и зависят от доверия к провайдеру.

• Stark Industries Solutions — «неубиваемый» хостер, появившийся за 2 недели до вторжения РФ в Украину, стал площадкой для DDoS, прокси, VPN, вредоноса и фейков.
• В мае 2025 ЕС ввёл санкции против владельцев компании — братьев Некулити и молдавского PQ Hosting.
• За 12 дней до публикации списка братья переименовали Stark в the[.]hosting, перевели IP-адреса на новую молдавскую фирму PQ Hosting Plus S.R.L. (тот же телефон) и оформили активы на голландскую WorkTitans BV.
• Второй ключевой канал — нидерландский MIRhosting Андрея Нестеренко (причастен к хостингу StopGeorgia.ru в 2008) — не попал под ограничения; сейчас его сотрудники управляют и WorkTitans, и the[.]hosting.
• Санкции не остановили сервис: инфраструктура та же, владельцы те же, просто сменились вывески.

• Участники обсуждают «пуленепробиваемый» хостинг Stark Industries Solutions, который игнорирует жалобы на злоупотребления и обслуживает киберпреступников.
• Название «Stark» воспринимается как ирония или сарказм, хотя в Скандинавии это обычная фамилия.
• Термин «bulletproof host» оказался незнакомым части инженеров, но в ИБ-среде используется давно.
• Провайдер обвиняется в DDoS, прокси/VPN для русскоязычных групп, ботнетах и фейках; трафик идёт даже из ЕС.
• Участники считают, что санкции и черные списки не работают: «запретный» rack стоит рядом с европейским дата-центром.
• Спорят о цензуре российской пропаганды: одни называют это гибридной войной, другие — защитой от влияния.

Что такое GrapheneOS
Android для Google Pixel, заточенный под безопасность и приватность. Работает только на Pixel 8/9 (7 лет обновлений).

Профили

• Разные пользователи = изолированные шифрованные контейнеры.
• Можно полностью выключить профиль, тогда его приложения не работают в фоне.
• Переключение: тянем шторку → иконка внизу → PIN.

Google
Play Services ставятся в 1 клик из собственного магазина GOS; можно жить без Google вообще.

Установка
С браузера за 15 минут с Linux/Win/Mac; проверка образа после загрузки через TPM. OTA-обновления автоматом.

Разрешения
Сеть, камера, микрофон и т.д. – отдельно для каждого приложения и профиля. Удобно ставить апп в «владельца» без сети, потом клонировать туда, где нужно.

Производительность
Без графического shell, чистый AOSP + hardened ядро: быстрее stock-Pixel и без рекламы.

Безопасность

• Песочницы приложений, отключение метаданных Bluetooth/Wi-Fi, эксплойт-защита памяти, авто-перезагрузка если загрузчик разблокирован.
• Возможность показать «proof of boot» – что прошивка не тронута.

Мой сценарий
1 профиль – без сети, 2 – VPN+FIDO, 3 – SIM+Signal, 4 – камера. Переключаюсь по мере надобности.

Девайс
Pixel 8a, 8 ГБ ОЗУ, 256 ГБ ПЗУ, цена ~500 €, заряд 1-2 дня, камера отличная.

Итог
GrapheneOS = Pixel + годы обновлений + контроль над каждым приложением. Если нужен безопасный Android – бери Pixel и ставь GOS.

• GrapheneOS вызывает споры: кто-то хвалит «без-глючность» и песочницы, кто-то ругает отказ от root и «кастрюлю» с профилями.
• Покупка Pixel для GOS в США часто сопровождается требованием персональных данных; часть пользователей платит наличными и вводит фейки.
• Главные плюсы: сильное разграничение прав приложений, отключение Google Play, обновления без глюков, возможность мульти-профилей и VPN-наблюдения.
• Главные минусы: нет автозаписи звонков, сложность переключения профилей, проблемы с RCS/Fi/банковскими и платёжными приложениями, отсутствие root «из коробки».
• Часть комментаторов считает, что GOS всё-таки уменьшает утечки к Google, даже если сервисы Google всё же нужны; альтернативы — /e/OS, рут-образы или полный отказ от смартфона.

Tailguard — Docker-контейнер, связывающий Tailscale и WireGuard.

• Поднимается одной командой, не требует root.
• Перенаправляет трафик Tailscale → WireGuard и обратно.
• Подходит для «проброса» Tailscale в сети, где нативный клиент не ставится.

• TailGuard — это контейнер, который автоматически берёт конфиг WireGuard и объявляет подсети из туннеля как Tailscale-subnet-router; остальному tailnet они сразу доступны.
• Проект начинался с «пары строк», но пришлось добавить переподключение при смене IP, DNS-ротацию и лёгкий React-UI; всё упаковано в Go-сервис + контейнер.
• Решение работает и с fly.io: вместо camellia.conf на клиенте поднимают TailGuard-контейнер рядом с их WireGuard-шлюзом и получают приватную сеть fly внутри Tailscale.
• На Android единовременно можно только один VPN, поэтому TailGuard удобнее «двойных» подключений; на iOS/WG-официальном клиенте можно выборочно маршрутизировать.
• Альтернатива — готовые 5G-роутеры GL.iNet (IMEI-клон, встроенный Tailscale/WireGuard), но у автора был опыт с TP-Link Deco X50-5G и он его «не особо рекомендует».

Детектор цифрового отпечатка
Узнай, какие данные о тебе собирают сайты. Проверь свою приватность за секунды.

• Собрать → экспорт результатов
• Бесплатно → без регистрации

---

Продукты
OSINT-платформа, AI-движок, API, Trace Agent, YARA, Toolbox
Открытые инструменты

• Fingerprint
• Syntax

Компания
О нас, блог, вакансии, пресса, FAQ, контакты
Юридика
Политика конфиденциальности, cookies, этика, DPA

Сертификаты
ENISA, AENOR, Parque Científico Alicante

Подписка
Принимаю DPA → подписаться

• Пользователи сомневаются в точности теста: «100 % уникальность» выдают даже стоковые iPhone и Chrome с VPN.
• Критика методики: счёт просто суммирует собранные признаки, а не сравнивает с большой базой; мелкая выборка и отсутствие учёта стабильности делают результат условным.
• Парадокс приватности: сильно «закалённые» браузеры становятся слишком уникальными, а «бабушка на Chrome» вливается в толпу, но именно уникальных легче отследить.
• Рандомизация Firefox/LibreWolf даёт новый отпечаток каждый раз, но сами факты рандома тоже можно засечь и использовать как маркер.
• Нет общего решения: ни Brave, ни Vanadium, ни выключение JS не дают «нормального» уровня неотличимости; требуется либо государственное регулирование, либо полный отказ от широкого Web.

• Непал блокирует Facebook, X, YouTube и др. за отказ регистрироваться в стране.
• Платформы должны были до среды указать локального представителя и модератора.
• Из 10 крупнейших лишь TikTok и Viber оформились; остальным грозит отключение.
• Правозащитники: «внезапное закрытие удар по свободе слова».

• Непал заблокировал 26 популярных соцсетей и мессенджеров (Meta, YouTube, Signal, Reddit и др.), требуя от компаний зарегистрироваться и назначить локального представителя.
• Блокировка пока DNS-уровня: смена DNS или VPN открывает доступ, но уже появляются IP-блоки (Telegram).
• Мнения разделились: кто-то считает мерой защиты от «цифрового госпереворота» и вреда психике, кто-то — авторитарным цензурированием и нарушением свободы слова.
• Часть пользователей рада избавлению от «алгоритмичного трэша» и призывает другие страны последовать примеру; другие опасаются погони за VPN и дальнейшей цензуры.

Мелвин Брэгг уходит из «In Our Time»
После 26 лет и более 1000 выпусков легендарный ведущий покидает культовую передачу Radio 4.

Программа, стартовавшая в 1998 году, стала одним из самых скачиваемых подкастов BBC, в том числе среди аудитории до 35 лет. Брэгг обсуждал с учёными мира от возраста Вселенной до царицы Зенобии.

Он останется «другом Radio 4» и в 2026-м появится в новом проекте (подробности позже).

Брэгг: «Передача с обманчивым названием, начавшаяся с полугодового контракта, подарила невероятное путешествие. Спасибо слушателям».

С 1961-го в BBC, он также вёл Start the Week и множество культурных программ. Почётный член Королевского общества и Британской академии, пэр и кавалер Почётного ордена.

• Слушатели скорбят об уходе Мелвина Брэgga из «In Our Time» и хвалят его умение жёстко, но уважительно держать экспертов в узде.
• Подкаст считается эталоном интеллектуального радио: без воды, с глубоким погружением в тему и верой в умную аудиторию.
• Избранные любимые выпуски: планктон, механизм Антикитеры, Гилгамеш, крокодилы, викторианские канализации и «Сознание» 1999 года.
• Архив из 1000+ эпизодов доступен через BBC (VPN/get_iplayer) и каталог Braggoscope; за пределами Великобритании вставляют рекламу.
• Общая мольба: найти достойного преемника и сохранить формат — чай/кофе в конце обязателен.

Ключевые выводы исследования

• 8 популярных коммерческих VPN обслуживают >700 млн пользователей, но скрывают собственность и имеют критические уязвимости.
• 3 VPN связаны с НОАК Китая, у остальных найдены признаки китайского контроля.
• Отсутствие прозрачности позволяет злоумышленникам снимать шифрование и перехватывать трафик.

Почему важна прозрачность
VPN переносят доверие от интернет-провайдера к самому сервису. При выборе пользователи должны решить:

• Прозрачность — знать, кто видит данные.
• Анонимность — не знать, но полагаться на обещания.

Риски для пользователей

• Авторитарные государства могут использовать скрытые связи VPN для слежки.
• Отсутствие публичной информации о владельцах и разработчиках усиливает уязвимости.

• Коммерческие VPN часто продаются через страх не-технических пользователей, хотя реальные сценарии — это обход геоблоков, торренты и «неполиткорректный» контент.
• Модель доверия к единому VPN-узлу критикуется; предлагаются решения вроде iCloud Private Relay и MASQUE-релеев, разделяющих «кто» и «что».
• Подозрения вызывают «популярные» VPN (Nord, Express), их рекламные бюджеты и возможные связи с разведками; Mullvad считается одним из самых прозрачных, но его IP-адреса всё чаще банят.
• Некоторые «бесплатные» или малоизвестные VPN/прокси-сервисы превращают клиентов в узлы резидентного прокси и продают их трафик третьим лицам.
• Даже при смене IP браузерное фингерпринтирование легко идентифицирует пользователя; HTTPS сделал старые аргументы «VPN для безопасности в публичном Wi-Fi» почти бесполезными.

Пройдите CAPTCHA, чтобы подтвердить запрос.
Нажмите «Войти» или создайте аккаунт.

• Вход: имя аккаунта, пароль, «запомнить меня»
• Забыли пароль? | Войти через OpenID

Меню

• Создать аккаунт / настроить отображение
• Искать: интересы, каталог, случайные журналы и сообщества
• Магазин: услуги, подарки, мерч

Ссылки
Политика конфиденциальности • Условия • FAQ • Поддержка • Исходный код

© 2009-2025 Dreamwidth Studios, LLC.

• Пользователи обсуждают, как неуклюжие и противоречивые законы (Миссисипи, UK Online Safety Bill) заставляют сайты блокировать целые штаты и страны, хотя геоблокировка легко обходится VPN.
• Все жалуются на невозможность отслеживать сотни подобных законов: запустил маленький сайт — и уже нарушил законы в семи штатах и тринадцати странах.
• Поднимается вопрос: почему сайт, расположенный в другом штате или стране, должен подчиняться миссисипскому закону, если это межгосударственная или международная коммуникация?
• Многие отмечают, что штрафы огромны ($10 000 за каждого «непроверенного» пользователя), а сроки вступления закона — буквально недели, что делает соблюдение невозможным для мелких площадок.
• Итог: законодатели не понимают технологий, геолокация неточна, VPN всё равно всё обходит, а интернет всё больше дробится на «свободные» и «пуританские» зоны.

Почему я перешёл на MiniPC

Пару лет экспериментов убедили: это моё будущее.

Плюсы

• Цена и заменяемость
  Заводская сборка и масштаб снижают цену. Поломки редки: нет вентиляторов, низкая температура, медленный износ.

• Компактность
  Прячется за ТВ, помещается на ладонь, легко переносится.

• Энергоэффективность
  20–50 Вт под нагрузкой, 6–12 Вт в idle. Для 24/7-сервисов выгодно и экологично. ARM/RISC-V обещают ещё меньше энергии.

• Специализация
  Один тип MiniPC не универсален, но набор из разных закрывает все задачи:

  • обычные — офис/браузер;
  • 4–6 LAN-портов — роутер, фаервол, VPN;
  • 4–6 M.2 — компактный NAS (до 20 ТБ);
  • мощный — хост контейнеров и «облако»;
  • Mac mini — macOS без отказа от Linux.

• Простота сборки
  «Монолит» из одного большого ПК требует редкой материнки, кучи PCI-устройств, корпуса с отсеками, сложной логистики и возвратов. Несколько MiniPC решают то же быстрее и дешевле.

• Участники активно обсуждают, как Mini-PC стали «новыми домашними серверами»: дешёвые, экономные (6–50 Вт), легко кластеруются под Proxmox/K8s и заменяют дорогое «энтерпрайз» железо.
• Популярны бывшие корпоративные NUC/HP/Lenovo и китайские 5560U/16 ГБ за $200–300; их ставят за TV, в туалет, за лазер, за StepMania — «дешевле, чем облако».
• Главные боли: шум (особенно в «геймерских» версиях), неремонтопригодность (паяная RAM/CPU, кастомные кулеры), высокий процент брака дешёвых китайцев и отсутствие апгрейдов.
• Мечтают о «тихом Mac-mini-размере» с RTX 4060/780M для игр, но физика (300 Вт TDP) и цена (~$2000) пока не позволяют; вариант — ПК в соседней комнате + длинный кабель/KVM.
• Valve, по мнению многих, была права с идеей Steam Machine, но рано и промахнулась в Linux-играх; новая попытка в 3–5 лет, возможно, совместит Proton, Mini-PC и приставочную форму.

Сокращённый перевод на русский (markdown)

---

4chan как новый «Pirate Bay» для расширения блокировок в Великобритании?

Закон об онлайн-безопасности (OSA) позиционируется как защита детей, но фактически вводит жёсткую цензуру: от новостей с войны до критики самого закона. Взрослые вынуждены подтверждать личность, иначе им показывают «детский» интернет. Зарубежные платформы рискуют огромными штрафами, поэтому многие просто закрывают доступ для британцев.

Правительство сводит дискуссию к дихотомии: «или вы за детей, или за онлайн-хищников». Критиков обвиняют в «пособничестве», а VPN-пользователей называют «не помогающими защитить детей». Лондон также требует от зарубежных компаний удалять посты британцев, критикующих политику. Госдеп США уже упрекнул Великобританию в подавлении свободы слова.

Полиция Лондона пригрозила преследовать «враждебные» посты, включая тех, кто пишет из-за рубежа. Конгрессмены США ответили: преследование американцев навредит союзу.

Теперь, используя 15-летний опыт блокировки пиратских сайтов, власти готовятся расширить фильтрацию на обычные ресурсы, не выполняющие требования OSA. 4chan, получив уведомление от Ofcom, оказался удобным «примером», как когда-то Pirate Bay.

• Пользователи HN удивлены, что впервые за долгое время меры по цензуре встретили не только осуждение, но и поддержку.
• Основной тезис: блокировка 4chan — «троянский конь» для введения тотального контроля над интернетом и свободой слова.
• Многие считают, что Онлайн-безопасный акт (OSA) превращает Великобританию в полицейское государство, где власть контролирует не только контент, но и доступ к нему через ISP, рекламодателей и платёжные системы.
• Участники обсуждают технические обходы (VPN, TOR 2.0, локальное архивирование) и политические последствия: если британцы не проголосуют против, такие меры расползутся по всему Западу.
• Подспудно звучит тревога, что «защита детей» — лишь предлог для укрепления власти элит и подавления инакомыслия.

Крупнейший немецкий провайдер Telefonica изменил работу DNS через два часа после того, как с его сети проверили мой сайт cuiiliste.de.
Сайт публикует список доменов, которые тайно блокирует частная организация CUII (четверка крупнейших ISP: Telekom, Vodafone, 1&1, Telefonica/o2).

Раньше блокировки легко выявлялись: DNS отдавал CNAME на notice.cuii.info. После публикаций CUII убрала эту метку, и Telefonica остался последним, кто её оставил.

В пятницу в 11:06 с IP Telefonica кто-то проверил домен blau-sicherheit.info (принадлежит самой Telefonica). Мой сервис показал «заблокирован». Через два часа Telefonica убрал CNAME и начал отвечать «домен не существует», что сломало мой скрипт.

Пришлось переписать логику: теперь я дополнительно фильтрую блокировки по известным спискам.

Совпадение? Скорее попытка скрыть будущие ошибки CUII и уменьшить прозрачность.

• Немецкая CUII раньше блокировала сайты без суда по внутреннему решению, но после критики теперь использует только судебные приказы.
• Участники считают, что цензура под предлогом авторского права всё равно остаётся, а старые блокировки не снимаются.
• Рекомендуют отказаться от DNS провайдера и переходить на зашифрованные (DoH/DoT) или распределённые решения, включая VPN, I2P, Yggdrasil.
• Некоторые подчёркивают, что технологические обходы важны, но конечное решение — политическое; другие считают, что «физический» уровень всегда остаётся последним рубежом.

Bluesky заблокировал доступ для всех пользователей из Миссисипи после решения Верховного суда, разрешившего штату требовать строгую верификацию возраста.
Платформа заявила, что закон «меняет принцип работы» и создаёт препятствия свободе слова, а соблюдение требует ресурсов, которых у Bluesky нет. За нарушение грозит штраф до $10 000 за каждый случай.

Закон обязывает соцсети идентифицировать несовершеннолетних и собирать чувствительные данные всех пользователей. Подобные правила уже действуют в Великобритании и Техасе; исследования показывают, что они вызывают рост использования VPN и не гарантируют защиту детей, а иногда даже увеличивают риски кражи личных данных.

• Участники считают, что блокировка Bluesky в Миссисипи показывает её централизованность и готовность подчиняться государственному давлению.
• Блок реализован через клиентскую геолокацию IP-адресов и легко обходится VPN/адблоком, но не касается сторонних клиентов.
• В отличие от Bluesky, Mastodon и AT-протокол более устойчивы к цензуре, хотя и не защищены полностью.
• Некоторые отмечают, что «защита детей» традиционно используется как предлог для контроля над речью.

20 августа 2025 г. с 00:34 до 01:48 по Пекину GFW безусловно сбрасывал все TCP-соединения на 443-порт, разрывая трафик между Китаем и остальным миром.

Ключевые факты

• Цель: только 443/tcp; 22, 80, 8443 не трогались.
• Механизм:
  • из Китая: SYN или SYN+ACK вызывали три поддельных RST+ACK;
  • в Китай: RST посылались только на SYN+ACK сервера.
• Оборудование: отпечатки не совпадают с известными GFW-узлами ⇒ либо новое устройство, либо сбой.

Примеры трафика

Из Китая наружу

CN_IP → NON_CN_IP:443 [SYN]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 0, ack 1, win 1980-1982)
NON_CN_IP:443 → CN_IP [SYN+ACK]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 1, ack 1, win 3293-3295)

Снаружи в Китай

192.168.0.162 → baidu.com:443 [SYN]
baidu.com:443 → 192.168.0.162 [SYN+ACK]
baidu.com:443 → 192.168.0.162 [RST+ACK] (seq 1, ack 1, win 2072-2074)

Инцидент длился 74 минуты; приглашаем сообщить дополнительные наблюдения.

• Пользователи обсуждают масштабные сбои/блокировки в китайском интернете, многие называют это «комендантским часом» и опасаются повторения на Западе.
• Возникли вопросы о топологии «Великого фаервола»: централизован ли он, действует ли между всеми узлами или только между домашними и коммерческими сетями.
• Некоторые считают инцидентом ошибку конфигурации, другие — «сухую тренировку» перед будущими ограничениями, особенно в военное время.
• Упоминаются последствия для удалённых работников и иностранцев: падение VPN, пропущенные созвоны, поиск запасных каналов (Starlink, LoRa, V2Ray).
• Подчёркивается, что внутри Китая даже запуск личного блога требует лицензии ICP, а HTTPS-сертификаты часто отсутствуют.

Как военный проект стал щитом приватности

На скрипучем поезде в тумане я пытаюсь зайти на сайт, но Wi-Fi блокирует его. Запускаю Tor Browser — страница открывается мгновенно.

Tor, или «тёмная сеть», ассоциируется с криминалом, но финансируется частично правительством США, а BBC и Facebook ведут в нём «зеркала» для обхода цензуры. Суть: трафик шифруется и прыгает по серверам мира, скрывая пользователя и обходя блокировки.

От криптовойн до Tor

90-е: хакеры-циферпанки вооружают гражданских военным шифрованием, предупреждая, что интернет может стать тоталитарным. Бизнес и Пентагон поддерживают: свободный поток данных = рыночная победа.

В исследовательской лаборатории ВМС США (NRL) инженеры ищут способ скрыть IP подлодок. Их решение — луковая маршрутизация — ложится в основу Tor.

Двойная игра государства

Сегодня одни ведомства финансируют Tor, другие требуют «задних дверей». Технологии, рождённые для шпионажа, стали инструментом сопротивления цензуре и массовой слежке.

• @neilv использовал Tor для скрытого мониторинга международной торговой площадки, выбирая выходные узлы под нужные регионы.
• @palsecam и @jmclnx рассказали, что запускать ретранслятор или bridge дёшево (VPS за $5) и безопасно, помогая обходить цензуру.
• Некоторые считают Tor «мертвым» или скомпрометированным; другие советуют прятаться в толпе, использовать VPN, residential-прокси или переходить на i2p.
• Книга «Tor: From the Dark Web to Your Browser» доступна бесплатно от MIT Press и получила положительные отзывы.
• Основные советы по безопасности: брать Tails на флешке, не ставить расширений в Tor Browser, не логиниться личными данными.

Я использую Tailscale около четырех лет, чтобы объединять свои устройства, серверы и приложения. Расскажу, как применяю его, о полезных фишках и подводных камнях.

Tailscale — это по сути оркестрация WireGuard с приятными надстройками. Продукт по подписке, но у него очень щедрый бесплатный тариф для личного использования. Клиенты — с открытым исходным кодом; есть и сторонний контроль-сервер Headscale, если не хочется облака.

Базовое подключение

Tailscale позволяет легко связать устройства, даже если они не торчат в интернет. Ставите клиент на телефон/компьютер/сервер/Raspberry Pi, авторизуете — и он общается с остальными по приватным IP Tailscale.

Это обычная идея VPN, но здесь всё просто: не нужно настраивать сеть и раздавать ключи — ставите клиент и логинитесь.

Например, мой домашний автоматизационный сервис на Raspberry Pi за двумя роутерами: поставил Tailscale, вошел — и сразу могу SSH с ПК или телефона, даже из разных сетей.

Есть особая поддержка SSH: Tailscale принимает подключения на 22 порт с tailnet и сам выполняет аутентификацию. Никаких ключей и паролей: вошли в Tailscale — можете войти на машину. Особенно удобно с телефона, где управлять ключами неудобно.

Можно публиковать не целую машину, а отдельные сервисы как отдельные узлы tailnet: есть официальный Docker-образ, Go-библиотека, и сторонние инструменты (например, мои Centauri и tsp).

Это больше, чем VPN

Чтобы не запоминать IP, я долго вручную добавлял DNS-записи. Перешел на MagicDNS — он автоматически создает DNS по имени машины.

Сначала меня смущало, что он меняет резолвер на устройствах — “слишком магично”. Разобрался, привык. Можно задать и свой upstream DNS. Я везде использую NextDNS, и Tailscale сам настраивает его на всех устройствах.

Помимо коротких имен, есть формат machine.your-tailnet.ts.net. Его можно «перебросить» на глобальную маршрутизацию и получить TLS-серты.

Нужно быстро показать локальный сервис? Включите funnel: tailscale funnel 127.0.0.1:8080 Без доп. опций сервис будет доступен по HTTPS:443. Дайте ссылку https://machine.your-tailnet.ts.net — трафик пойдет на ваш 8080. У посетителей Tailscale не нужен. Пользуюсь редко, но удобно.

Команда serve делает похожее, но только внутри tailnet. Так же работает Docker-образ Tailscale для публикации обычного сервиса. Для тестов с телефона: вместо танцев с Wi‑Fi/локалхостом/IP просто запускаю tailscale serve и захожу с устройства.

• Включение tailscale funnel мгновенно привлекает ботов, сканирующих новые HTTPS-сертификаты из CT-логов.
• Пользователи делятся альтернативами: Headscale, NetBird, Nebula, Zerotier и «чистый» WireGuard.
• Mullvad-интеграция позволяет использовать выходные ноды Tailscale для смены геолокации.
• Настоятельно не рекомендуют запускать dev-серверы и OIDC-серверы через funnel из-за риска блокировки и атак.
• Чтобы не светить домены, применяют wildcard-сертификаты и нестандартные порты.
• Tailscale собирает телеметрию по умолчанию; её можно отключить, но это не анонимный VPN.