Hacker News Digest

vp.net
Извините, сайт не работает без JavaScript. Включите его и обновите страницу.

• Пользователи сомневаются, можно ли гарантировать, что сервер действительно запускает код, заявленный в открытом репозитории, а не подменяет отпечаток или использует «чистую» SGX-ноду как прокси.
• Критика Intel SGX: технология считается устаревшей, имела уязвимости, требует доверия к Intel и не исключает возможности атак через load-balancer или скомпрометированное «железо».
• Под большим вопросом репутация основателей (Mark Karpelès, Andrew Lee, rasengan), что усиливает недоверие к проекту.
• Пользователи предпочитают альтернативы (Mullvad, AlgoVPN, собственные серверы) из-за более прозрачной модели, простой цены и возможности анонимной оплаты.

Как военный проект стал щитом приватности

На скрипучем поезде в тумане я пытаюсь зайти на сайт, но Wi-Fi блокирует его. Запускаю Tor Browser — страница открывается мгновенно.

Tor, или «тёмная сеть», ассоциируется с криминалом, но финансируется частично правительством США, а BBC и Facebook ведут в нём «зеркала» для обхода цензуры. Суть: трафик шифруется и прыгает по серверам мира, скрывая пользователя и обходя блокировки.

От криптовойн до Tor

90-е: хакеры-циферпанки вооружают гражданских военным шифрованием, предупреждая, что интернет может стать тоталитарным. Бизнес и Пентагон поддерживают: свободный поток данных = рыночная победа.

В исследовательской лаборатории ВМС США (NRL) инженеры ищут способ скрыть IP подлодок. Их решение — луковая маршрутизация — ложится в основу Tor.

Двойная игра государства

Сегодня одни ведомства финансируют Tor, другие требуют «задних дверей». Технологии, рождённые для шпионажа, стали инструментом сопротивления цензуре и массовой слежке.

• @neilv использовал Tor для скрытого мониторинга международной торговой площадки, выбирая выходные узлы под нужные регионы.
• @palsecam и @jmclnx рассказали, что запускать ретранслятор или bridge дёшево (VPS за $5) и безопасно, помогая обходить цензуру.
• Некоторые считают Tor «мертвым» или скомпрометированным; другие советуют прятаться в толпе, использовать VPN, residential-прокси или переходить на i2p.
• Книга «Tor: From the Dark Web to Your Browser» доступна бесплатно от MIT Press и получила положительные отзывы.
• Основные советы по безопасности: брать Tails на флешке, не ставить расширений в Tor Browser, не логиниться личными данными.

Я использую Tailscale около четырех лет, чтобы объединять свои устройства, серверы и приложения. Расскажу, как применяю его, о полезных фишках и подводных камнях.

Tailscale — это по сути оркестрация WireGuard с приятными надстройками. Продукт по подписке, но у него очень щедрый бесплатный тариф для личного использования. Клиенты — с открытым исходным кодом; есть и сторонний контроль-сервер Headscale, если не хочется облака.

Базовое подключение

Tailscale позволяет легко связать устройства, даже если они не торчат в интернет. Ставите клиент на телефон/компьютер/сервер/Raspberry Pi, авторизуете — и он общается с остальными по приватным IP Tailscale.

Это обычная идея VPN, но здесь всё просто: не нужно настраивать сеть и раздавать ключи — ставите клиент и логинитесь.

Например, мой домашний автоматизационный сервис на Raspberry Pi за двумя роутерами: поставил Tailscale, вошел — и сразу могу SSH с ПК или телефона, даже из разных сетей.

Есть особая поддержка SSH: Tailscale принимает подключения на 22 порт с tailnet и сам выполняет аутентификацию. Никаких ключей и паролей: вошли в Tailscale — можете войти на машину. Особенно удобно с телефона, где управлять ключами неудобно.

Можно публиковать не целую машину, а отдельные сервисы как отдельные узлы tailnet: есть официальный Docker-образ, Go-библиотека, и сторонние инструменты (например, мои Centauri и tsp).

Это больше, чем VPN

Чтобы не запоминать IP, я долго вручную добавлял DNS-записи. Перешел на MagicDNS — он автоматически создает DNS по имени машины.

Сначала меня смущало, что он меняет резолвер на устройствах — “слишком магично”. Разобрался, привык. Можно задать и свой upstream DNS. Я везде использую NextDNS, и Tailscale сам настраивает его на всех устройствах.

Помимо коротких имен, есть формат machine.your-tailnet.ts.net. Его можно «перебросить» на глобальную маршрутизацию и получить TLS-серты.

Нужно быстро показать локальный сервис? Включите funnel: tailscale funnel 127.0.0.1:8080 Без доп. опций сервис будет доступен по HTTPS:443. Дайте ссылку https://machine.your-tailnet.ts.net — трафик пойдет на ваш 8080. У посетителей Tailscale не нужен. Пользуюсь редко, но удобно.

Команда serve делает похожее, но только внутри tailnet. Так же работает Docker-образ Tailscale для публикации обычного сервиса. Для тестов с телефона: вместо танцев с Wi‑Fi/локалхостом/IP просто запускаю tailscale serve и захожу с устройства.

• Включение tailscale funnel мгновенно привлекает ботов, сканирующих новые HTTPS-сертификаты из CT-логов.
• Пользователи делятся альтернативами: Headscale, NetBird, Nebula, Zerotier и «чистый» WireGuard.
• Mullvad-интеграция позволяет использовать выходные ноды Tailscale для смены геолокации.
• Настоятельно не рекомендуют запускать dev-серверы и OIDC-серверы через funnel из-за риска блокировки и атак.
• Чтобы не светить домены, применяют wildcard-сертификаты и нестандартные порты.
• Tailscale собирает телеметрию по умолчанию; её можно отключить, но это не анонимный VPN.