CyberLock (оценка темы)

[darkcoder_io]

Всплыла тема про саппорт мазы в телеге, улыбнуло.

Однако, в ходе прочтения мне понравилась идея уникальных ссылок для входа на форум как способ протекции последнего и я решил ее немного модифицировать. И я вот подумал, а что если моя написать комплексный софт, который будет делать так:

1. Клирнет морда выставляет юзеру счет в крипте через CC или любой иной шлюз
2. Юзер оплачивает счет, появляется форма для реги, юзер вбивает ее
3. Морда ставит таск в брокер на проверку данных (свободен ли ник, уникально ли мыло итд)
4. Глубоко анально запрятанный бэкенд принимает от брокера данные, сверяет у себя их локально, создает акк и отдает брокеру ответ + ключи ygg
5. Морда забирает с брокера ответ и отдает конфиг файл юзеру
6. Юзер втыкает конфиг в ygg и получает доступ к искомому ресурсу (авторизация по IPv6 c привязкой к акку)

Можно сделать иначе, если у юзера уже есть ygg -- тогда бэк не генерит ключи у себя, а просто принимает паблик ключ юзера и втыкает его в ACL.

Для юзера возможны варианты как с мануалом в духе "ткни сюда, залей это, перезапусти", так и исполнение в виде инсталлера под любую ось в режиме "скачал, запустил, получил доступ автоматом" (с правками hosts, например и так далее, это уже обсуждаемые мелочи). Для админов отдельная панелька (даркморда) для управления бинарником контроллера доступа к ygg, платежами, счетами, и синхронизацией с искомым целевым ресурсом. На базе этой фигни можно строить как оплату за регистрацию (одноразово), так и подписную модель (не заплатил — доступ автоматом пропал). Плюс искомый ресурс убирается из клирнета, что делает проблемным его поиск. Особенно учитывая, что ресурс может мигрировать автоматически каждый месяц в разные места, при этом маршрутизация к нему не нарушится.

Да, придется немного допилить форум (чтобы авторизация шла по ключу), но это не видится проблемой вообще. Я подобную схему хотел запилить для своей площадки/сайта, чтобы оно не торчало в клирнете, но подумал, что может из этой системы сделать продукт и продавать его? Для XSS копию отдам бесплатно, разумеется.

Таким образом, получаем возможность монетизации доступа, контроль доступа, отвязку от домена, гибкость маршрутизации. При необходимости, можно довернуть в схему тор, получится еще и анонимность (какая-то). Обсудим?

Спасибо, коллеги.

 

[darkcoder_io]

Неужели никому не интересно даже обсудить? Не стесняйтесь, присоединяйтесь к дискуссии. Если кто-то не понимает чего то до конца, смысл или архитектуру, спрашивайте, я отвечу.

 

[gliderexpert]

В целом - пока не очень понятно, чем это лучше классического onion.

Однако, в ходе прочтения мне понравилась идея уникальных ссылок для входа на форум как способ протекции последнего

Уже изобретено, и называется это DHT.

 

[darkcoder_io]

В целом - пока не очень понятно, чем это лучше классического onion.

Консистентностью маршрутизации, что дает возможность автомиграции входного шлюза + монетизация доступа.

Уже изобретено, и называется это DHT.

Я не спорю, но у меня и не стояла задача изобрести что то новое именно в этом ключе.

 

[gliderexpert]

Консистентностью маршрутизации, что дает возможность автомиграции входного шлюза + монетизация доступа.

так у тора входной шлюз (нода) и так постоянно "автомигрирует", т.к. она меняется при подключении - если только пользователь специально не использует мосты. Сменить конечную точку маршрутизации тоже элементарно - закрытый ключ перекинуть на нужный сервер, и готово.
Или при помощи onionbalance динамически их перекидывать хоть 10 раз в минуту.
Монетизация доступа - да как обычно, лк на сайте + bitcoind или еще какой криптодемон.

Давайте для начала разберем кейс без монетизации, просто маршрутизация соединения пользователь - сервер. Какие это дает плюсы по сравнению с механизмами, уже заложенными в onion? Просто честно, пока не могу уловить в чем "глобальная" суть идеи.
Возможно, не только я - поэтому и активности в теме особой нет.
Опишите подробнее, может примеры какие-то получится привести более конкретные...

 

[darkcoder_io]

Монетизация доступа - да как обычно, лк на сайте + bitcoind или еще какой криптодемон.

Я хочу рулить ACL до доступа на ресурс. Т.е. заплатил -- маршрутизация работает. Не заплатил -- маршрутизация не работает. Я же потому сразу и сказал, в первых строках, что за основу была взята история с мазой, где были постоянно теряемые народом сертификаты.

Просто честно, пока не могу уловить в чем "глобальная" суть идеи.

Идея рассматривалась как раз в ключе двух моментов: 1) монетизации до момента доступа на ресурс и 2) дополнительный слой защиты путем автомиграции шлюза ygg:tor по сети в плюс к тем бенефитам, что дает сам тор.

 

[DimmuBurgor]

Я хочу рулить ACL до доступа на ресурс. Т.е. заплатил -- маршрутизация работает. Не заплатил -- маршрутизация не работает. Я же потому сразу и сказал, в первых строках, что за основу была взята история с мазой, где были постоянно теряемые народом сертификаты.

Идея рассматривалась как раз в ключе двух моментов: 1) монетизации до момента доступа на ресурс и 2) дополнительный слой защиты путем автомиграции шлюза ygg:tor по сети в плюс к тем бенефитам, что дает сам тор.

Would this not be easier to implement on Blockchain DNS?

 

[darkcoder_io]

Would this not be easier to implement on Blockchain DNS?

This is not necessary since the scheme requires software installation, which does not interfere with the local editing of the hosts file. Of course, you can use Alfis, but it is not necessary in this case. IMHO.

 

[pxEx0Z]

Я хочу рулить ACL до доступа на ресурс. Т.е. заплатил -- маршрутизация работает. Не заплатил -- маршрутизация не работает.

Если говорим о форуме, то имхо, не стоит так делать.
Лучше предоставить единый домен, и все закрыть аутентификацией.
Если у клиента закончился период оплаты, то выводится соотвествующее сообщение и дальше не пускает.
Единый домен, каждый его знает, пользователи могут делиться друг с другом.

В предложенном вами варианте на мой взгляд имеются некоторые проблемы
1. У клиента проблема: "У меня не грузится форум". Почему? Закончилась оплата за доступ и отключен роутинг у вас (а мне кажется оплачено еще на неделю)? Лежит форум по вине администрации? Шторм в ygg? Проблемы с соединением на стороне клиента (конфликт роутов в системе, упала точка входа у клиента в ygg)? Не забываем что ygg находится в альфе, и они не рекомендуют использование в серьезных проектах. Сможет ли пользователь самостоятельно решить проблему? Возможно это приведет нас к пункту 2 или шквалу арбитражей

2. Проблема фейков. Если вы будете часто падать, могут появиться фейки, по типу: "Новый скрипт установки для стабильного подключения к форуму X", которые, например, крадут данные с системы, ставят бэкдоры и приватные ключи путем редиректа на подконтрольный домен. При этом пользователь не сможет определить, предложенный ipv6 адрес выпущен администрацией (например на замену старому) или фишером. Вы упомянули в скрипте установки "редактирует файл hosts", т.е на стороне клиента это будет выглядеть как оригинальный сайт (смотрите, даже URL совпадает!). Разумеется, защита проста: Не скачивать из недостоверных источников, но фишинг работает на глупости и невнимательности.

3. Вы писали о "понравилась идея уникальных ссылок", но из контекста речь идет о уникальных доменах/ipv6 адресах. Сможет ли нода ygg держать 1000 активных доменов? А 10 000? 100 000? Конечно не все они будут использоваться в данный момент, но по SLA вы обязаны обеспечить работоспособность всех в любой момент. Ограничений программных нет, но надо смотреть на потребление ресурсов.

Пункты 1 и 2 требуют что бы был отдельный стабильный канал связи с пользователями. Если такой канал все равно требуется обеспечить, не лучше ли им и ограничиться?)

 

[Dread Pirate Roberts]

В целом - пока не очень понятно, чем это лучше классического onion.

поддерживаю.

darkcoder_io идея хорошая, но реализация слишком сложная. среднестатистический хакер хочет в телеге голосом общаться, а ты ему какие-то сложные вещи предлагаешь, авторизация по сертификатам, yggdrasil, вообще офигеть.

Пункты 1 и 2 требуют что бы был отдельный стабильный канал связи с пользователями. Если такой канал все равно требуется обеспечить, не лучше ли им и ограничиться?)

ну жаба тоже имеет свои недостатки. проще Тором пользоваться, благо его на мобилки давно портировали.

 

[darkcoder_io]

Если говорим о форуме, то имхо, не стоит так делать.

Это не обязательно форум, таким образом можно "прикрыть" любой ресурс.

В предложенном вами варианте на мой взгляд имеются некоторые проблемы
1. У клиента проблема: "У меня не грузится форум". Почему? Закончилась оплата за доступ и отключен роутинг у вас (а мне кажется оплачено еще на неделю)? Лежит форум по вине администрации? Шторм в ygg? Проблемы с соединением на стороне клиента (конфликт роутов в системе, упала точка входа у клиента в ygg)? Не забываем что ygg находится в альфе, и они не рекомендуют использование в серьезных проектах. Сможет ли пользователь самостоятельно решить проблему? Возможно это приведет нас к пункту 2 или шквалу арбитражей

В этом случае нужно сходить на публично доступную морду, с которой грузился инсталлер, там будет написано почему не удается зайти (проверка публичного ключа + статус системы в целом, есть ли проблемы). К слову, на базе ygg мы уже строили достаточно нагруженные проекты (как по числу юзеров, так и по числу устройств) -- за несколько месяцев не было ни одной проблемы, ттт.

2. Проблема фейков. Если вы будете часто падать, могут появиться фейки, по типу: "Новый скрипт установки для стабильного подключения к форуму X", которые, например, крадут данные с системы, ставят бэкдоры и приватные ключи путем редиректа на подконтрольный домен. При этом пользователь не сможет определить, предложенный ipv6 адрес выпущен администрацией (например на замену старому) или фишером. Вы упомянули в скрипте установки "редактирует файл hosts", т.е на стороне клиента это будет выглядеть как оригинальный сайт (смотрите, даже URL совпадает!). Разумеется, защита проста: Не скачивать из недостоверных источников, но фишинг работает на глупости и невнимательности.

Здесь соглашусь, человеческий фактор (особенно при сложных схемах) всегда является "номером 1", чтобы встрять в неприятности. Однако, что будет если мы не будем часто падать? Более того, выше я уже упоминал, что на морде будет проверка публичного ключа клиента (я также могу проверку выводить прямо в консоли, без необходимости ходить на морду). Точно так же, на морде может быть указан статический IPv6, присвоенный шлюзу. Таким образом можно легко сверить его с локальным (исключить подмену). Мы тут еще в обсуждении упускаем, то что большинство действий со стороны юзера автоматизированы софтом, и в нем могут быть учтены как "скользкие" моменты, так и моменты связанные с безопасностью.

3. Вы писали о "понравилась идея уникальных ссылок", но из контекста речь идет о уникальных доменах/ipv6 адресах.

Я, если вы не против, еще раз повторю -- не стояла задача копирования 1-к-1, мне понравилась концепция закрытия доступа, я ее доработал совершенно в ином ключе. Из контекста не идет ресь об уникальных IPv6 адресах -- он для мигрирующего шлюза одинаков всегда. Я не вижу смысла его менять. Адреса юзеров в связке с публичными ключами могут быть использованы для ACL и монетизации.

В любом случае, я благодарен за обратную связь.

 

[darkcoder_io]

darkcoder_io идея хорошая, но реализация слишком сложная. среднестатистический хакер хочет в телеге голосом общаться, а ты ему какие-то сложные вещи предлагаешь, авторизация по сертификатам, yggdrasil, вообще офигеть.

Я знаю свою склонность к оверинжинирингу, она часто мешает с одной стороны, позволяя оставаться на свободе с другой стороны. Любая система защиты чего бы то ни было -- это баланс между защитой и удобством. Это как килл свитч в машине, он либо удобный (и тогда его легко найти и он теряет смысл), либо не удобный (спрятан в багажнике где-то, тогда хрен найдешь, но не удобно пользоваться). Я согласен с тем, что если бы система требовала ручной настройки со стороны пользователя -- тогда стоило бы признать, что затея мертвая (слишком сложно). Однако, если со стороны юзера все автоматизировано -- не вижу никаких проблем.

Также, предлагаю посмотреть на эту историю с другой стороны. Условный .onion для неподготовленного юзера -- тоже дремучий лес. Все лежит в плоскости мотивации. Если на моей площадке, закрытой таким способом, будет продаваться условно уникальный софт за вменяемые деньги, или будут оказываться условно уникальные услуги, то не думаю, что запуск бинарника (или следование инструкциям для особо испуганных) будут преградой, чтобы этот софт или эти услуги получить. Ведь, в конце концов, тор тоже ставят чтобы добраться туда куда надо). И это научатся, тем более что учиться нечему и работает в два клика все.

Также спасибо за фидбек.

 

[Dread Pirate Roberts]

почему не использовать обычный openvpn? можно так же раздавать аккаунты и блокировать доступ, если оплаченный период закончился. ещё и шифрование кастомное навесить можно, и опенвпн клиентом каждая макака пользоваться умеет.

 

[darkcoder_io]

почему не использовать обычный openvpn? можно так же раздавать аккаунты и блокировать доступ, если оплаченный период закончился. ещё и шифрование кастомное навесить можно, и опенвпн клиентом каждая макака пользоваться умеет.

Потому что в случае убиения шлюза, донести новый ипишник в массы может стать проблемой, в то время как ипишник игг остаётся прежним. А с точки зрения удобства для юзера всё одинаково, наш софт даже проще чем опенвпн.

 

[pxEx0Z]

Это не обязательно форум, таким образом можно "прикрыть" любой ресурс.

В теме обсуждается форум, поэтому и свою оценку привел для него

идея уникальных ссылок для входа на форум

Да, придется немного допилить форум

сходить на публично доступную морду, с которой грузился инсталлер

Полагаю речь идет о "Клирнет морде", поскольку с нее грузится конфиг файл для юзера. Т.к это "клирнет", то для получения ключа пользователь сам должен вбить свой публичный ключ в форму. Т.е ему необходимо залезть в конфиг и вытащить его ручками, что непривычно.
Я не знаю некоторых технических деталей, но потенциально это отличный эндпоинт для DDoS.

Однако, что будет если мы не будем часто падать?

А программы компилироваться с первого раза. Безопасность не строится на предположениях. Необходимо рассматривать негативные сценарии. Я думаю это мы здесь и обсуждаем

В пункте 3 мы говорили о разном. Я понял ваше сообщение по другому. Но

я ее доработал совершенно в ином ключе

Это стандартная проверка через знание и обладание секретом

Я бы на вашем месте нарисовал схему взаимодействия структурных блоков. Как минимум для аутентификации. Так будет понятно как система устроена и какие потенциально слабые места появятся.

 

[marmalade]

Навеивает рамышления о client side frontend который где угодно можно захостить, хоть на github pages + wasm бинаре который по п2п уже авторизовывуется где надо и полученные данные рендерит фронт. В ygg не вникал

 

[darkcoder_io]

Навеивает рамышления о client side frontend который где угодно можно захостить, хоть на github pages + wasm бинаре который по п2п уже авторизовывуется где надо и полученные данные рендерит фронт. В ygg не вникал

Похоже, но чуть не то.