Наталья Кравцова

Где?

Ага, RST в обратку — классика DPI, видела такое. По-хорошему клиент должен это спокойно переживать: таймаут, фолбэк, ретрай, без зависаний. На уровне кода обычно и лечится — аккуратной обработкой таких обрывов, а не борьбой с ними.

На 1.3 ничего не мешает — если не видно, значит сервер отдаёт 1.2 для совместимости. По DoH сама замечаю то же, падает на обычный DNS. Какие ошибки в логе?

Слегка обидно стало)

Роман, в точку — и ваш пример из сделок лучшая иллюстрация. Содержимое можно закрыть NDA и шифрованием, а вот сам факт и тайминг встреч закрыть нечем: это метаданные, их задним числом не «отредактируешь».

В переговорах это давно отдельная головная боль. Чтобы понять, что готовится, наблюдателю не нужно вскрывать переписку — достаточно графа «кто с кем и когда». Серия коннектов к инфраструктуре конкретного фонда за неделю до объявления говорит больше, чем сам пресс-релиз. Поэтому зрелые команды защищают не только содержимое, но и метаданные: нейтральные каналы, разнесённый тайминг, отдельные устройства под чувствительные контакты.

По сути это и есть та смена угла, про которую вы написали: раньше задача была «зашифруй письмо», теперь — «не дай восстановить картину по краям».

Костя, спасибо — вы как раз назвали главное: всё упирается в модель угроз. Для большинства людей фишинг и невнимательность реально опаснее, чем то, что кто-то видит их домены. Тут согласна полностью.

Но эти две вещи не отдельные. Метаданные — это топливо для целевого фишинга. Письмо «от Сбера» срабатывает не вслепую: оно работает, когда атакующий уже знает, что вы клиент Сбера и в какое время в сети. Сам по себе утёкший домен безобиден — опасен он, когда из таких крупиц собирают профиль, под который потом затачивают то самое поддельное письмо, на которое вы и кликнете.

Так что это не призыв к паранойе «всех видно». Это про то, что метаданные стоит воспринимать всерьёз именно потому, что они кормят те угрозы, которые вы сами и перечислили. А выход через доверенное устройство — вполне разумный ответ для тех, у кого это в модели угроз. Остальным — хотя бы понимать, что именно утекает и кому.

Спасибо, рада, что чек-лист совпал. По автоподключению к Wi-Fi — это вообще недооценённая дыра, я отдельно про rogue AP в следующем посте разберу с пакетами.

Для большинства бытовых сценариев — соглашусь, этого реально хватит. Шифрованный туннель нужен скорее когда работаете с внутренними корпоративными сервисами или хотите скрыть метаданные посещений от провайдера сети. Для просмотра «котиков» — да, перебор.

Спасибо, по делу. Детали поправила — добавила UPD в начало.

По истории в лиде — справедливый сарказм, признаю (см. UPD). По 97-ФЗ — да, в РФ публичный Wi-Fi обязан проводить идентификацию, но это не защищает трафик внутри сети между клиентами, это про логирование для регулятора. Sniffing внутри той же подсети остаётся возможным независимо от 97-ФЗ.