Amazon вслед за Google запретила использовать собственную сеть для доменного фронтирования Статьи редакции

Сторонние сервисы больше не смогут использовать сеть компании для сокрытия конечного адреса.

27 апреля Amazon в своём блоге объявила об обновлении политики защиты доменов. Помимо прочего, компания запретит применять технологию доменного фронтирования (domain-fronting) для перенаправления трафика на сторонние сервисы. На заявление обратило внимание издание The Verge.

Доступ к технологии останется только у разработчиков, которые используют связанные адреса — например, защищённые одним сертификатом безопасности.

Amazon утверждает, что мера направлена на борьбу с недобросовестными разработчиками, которые используют сеть компании для обмана пользователей, распространяют вредоносные программы и так далее. От закрытия функции также пострадают сервисы, которые используют сеть Amazon в качестве прокси для обхода блокировок, пишет The Verge.

13 апреля разработчики сети Tor заметили, что применять свою сеть в качестве прокси запретила Google. В компании объяснили, что компания не поддерживала функцию domain-fronting, которая была доступна из-за особенностей ПО компании, и не планирует возобновлять её работу.

Обновлено в 23:50: Разработчики защищённого мессенджера Signal рассказали о требовании Amazon «немедленно» прекратить использовать платформу CloudFront для доменного фронтирования и обхода блокировок. Руководство мессенджера заявило, что будет искать другие пути обхода блокировок в Египте, Омане и Объединённых Арабских Эмиратах, но пока у компании нет решения проблемы.

0
27 комментариев
Написать комментарий...
Артем Васильев

Суть примерно: теперь будет нельзя использовать CloudFront, если вы не являетесь владельцем целевого домена.

И это не про то, что пишут в масс-СМИ, что, дескать, теперь будет нельзя запилить прокси. И скорее всего не про то, что «Амазон выгоняет тележку». Это про то, что будет защита от Domain Fronting — это когда нестандартный клиент делает соединение TLS/SSL с определенным именем, но затем делает запрос HTTPS для несвязанного домена. Например, соединение TLS может быть установлено с «www.example.com», а затем запрос перенаправляется на «www.example.org».
И делается это с «целью обеспечить безопасность» и исключить MiTM с помощью сервисов Амазона.

Спасибо телеграм-каналу @zatelecom за достоверную информацию, а не желтое перемалывание сплетен.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Артем Васильев

А вот ни разу не самореклама. Не имею никакого отношения к каналу, кроме подписки на него. Текст полностью взят с канала, и автору данного канала выражаю огромный респект. Мне кажется это было бы чуточку нехорошо брать чужие слова и не указывать автора. Вы так не считаете?

Ответить
Развернуть ветку
Pavel Pilipchak

Канал, видимо, настолько хорош, что его невозможно найти в поиске.

Ответить
Развернуть ветку
Ankhesenpaaton

Он реально хорош, кстати. Много интересного

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Serge Arsentiev

Спасибо и Вам, Артём, за трансляцию @zatelecom сюда, потому что статья конечно волшебная, "domain fronting, о котором Вы ничего не знали - запрещен. Но Вы все равно о нем не узнаете. Конец".

Ответить
Развернуть ветку
Матвей Кондратов

А что если Телеграм - это проект ФСБ?

Ответить
Развернуть ветку
sdff
Ответить
Развернуть ветку
Serge Arsentiev

Ну да, а Павел Дуров - пра-правнук Вудро Вильсона (Дуров и Вудро, буквы-то одни и те же, это неспроста).
Если серьезно, никакой проект на 1 млн. пользователей (не говоря уже о сотнях миллионов), от сотрудничества со спецслужбами отказаться не может, всегда будут какие-то контакты.

Ответить
Развернуть ветку
Космический конь

Если бы на Хабре были бы такие заголовки и статьи, то хабра уже не было бы.

Ответить
Развернуть ветку
Serge Arsentiev

Если бы Amazon и Google знали, что и как на нем пишут на русском языке на Vc, скажем в английской версии Vc, то юридический отдел Комитета вырос бы до 200 человек, постоянно живущих в США для участия в бесконечных судебных процессах о дискредитации, причинении ущерба деловой репутации, и т.д.
Видимо, поэтому Хабр задумался об англ. версии, а Vc некоторым образом молчит на эту тему.

Ответить
Развернуть ветку
DxdV

Какой же желтушный заголовок.

Ответить
Развернуть ветку
V B

Автор заголовка статьи получает главный приз - “Некомпетентный журналюга года”

Ответить
Развернуть ветку
Егор Летов

Что-то мне подсказывает, что даже несмотря на это Телеграм продолжит работу в России

Ответить
Развернуть ветку
Sergey Khabibullin

Правильно подсказывает. Domain-fronting и работа Телеграма никак не связаны между собой.

Ответить
Развернуть ветку
TheEntze
Ответить
Развернуть ветку
ave ego
Ответить
Развернуть ветку
Sergey Khabibullin

Выглядит как DNS запрос?

Ответить
Развернуть ветку
ave ego

да. DNS over https

Ответить
Развернуть ветку
Andr Ew

Касаемо фронтинга через гугл - телега коннектится к google.com, а запрашивает dns-telegram.appspot.com и получает 502 ошибку (после запрета фронтинга гуглом). Однако можно юзать домен вида whatever212112.appspot.com, и всё будет работать. Для усложнения блокировки лучше юзать не рандомный домен, а держать список из пары сотен доменов на appspot, которые нельзя просто взять и заблокировать (т.к. начнётся нытьё на весь рунет, что "заблокировали весь интернет, а телеграм работает")

Ответить
Развернуть ветку
No No

Учитывая, что он прекрасно сейчас работает без сторонней помощи :)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Максим Чистов

Не-а. Это вообще никак не связано

Ответить
Развернуть ветку
Дмитрий Антонов

Телега разве не использовала прокси для обхода блокировок? Одной стало меньше возможностью же?

Ответить
Развернуть ветку
Максим Чистов

А новость о том что якобы Амазон совсем прокси для телеграмм запретила

Ответить
Развернуть ветку
Дмитрий Антонов

Запрет на обход был? Судя по Новости да, почему не связано?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Матвей Кондратов

Мне кажется, что они все равно будут работать :)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
24 комментария
Раскрывать всегда