Причина, похоже, всё же не совсем в этом. Наиболее вероятно то, что цензурирующей системе не нравится что-то в ответе сервера, а не в запросе клиента. Я воспроизвёл проблему на своём сервере (не IP Cloudflare), проксируя запросы к Cloudflare.
Это объясняет, почему с TLS 1.3 нет проблем (у TLS 1.2 и 1.3 ответы прилично различаются), и почему изменение Cipher'ов исправляет проблему (ответ сервера меняется, возможно, просто сравниваются определённые байты на определённых местах).
Заблокированы, в частности, vk.com и yandex.ru. Блокировки также осуществляют сторонние компании, обнаружил на публичном DNS-резолвере от Cogent/Sprint.
У них есть куда круче выходки, например, когда они в прямом эфире депутатам местной думы отправляли СМСки от имени других депутатов с подменой номера, согласуя обсуждение реформы морали: https://www.ztohoven.com/mr/index-en.html
чтобы воспользоваться этой дырой в IPv4 необходимо как-то обеспечить роутинг своего пакета предназначенного адресу локалки до WAN интерфейса
А чтобы воспользоваться ей в IPv6, злоумышленнику сперва нужно каким-то образом узнать адрес. Почти все устройства используют Privacy Extensions с периодически меняющимися адресами, а если не используют, то всё равно генерируют себе из RA самостоятельно.
По сути это ограничивает возможность её эксплуатации ближайшими соседями по подъезду/дому, максимум - клиентами своего провайдера
Вы узко мыслите — подумайте об этом в рамках датацентра.
Т.е. если iptables не поднимется (а такое случается порой), то локалка будет светить в сеть и хуже всего то, что я этого не увижу.
Справедливо, это действительно так.
С натом такой проблемы нет, там наоборот - нет ната нет связи.
Это не совсем правда, но принимается.
Еще момент - провайдер тупо по адресам может считать мои домашние устройства.
IPv6 Privacy Extensions включены, полагаю, везде, или почти везде. У каждой машины могут быть десятки адресов, меняющиеся через определённые интервалы.
По этому очевидно, что в первом случае открыть сеть по ошибке куда проще.
Настраивайте конечные устройства так, чтобы их можно было подключить к любой сети, не опасаясь за их безопасность.
Речь идёт о разрешении отрисовки интерфейса/меню, а не видеоконтента.
Использование меньшего разрешения интерфейса, чем позволяет вывод видеовывод, широко распространено на телевизорах и ТВ-приставках даже сейчас: часто интерфейс на 4К-телевизорах рисуется в 2К, а раньше это вообще было повсеместно. Мой ТВ Samsung из начала десятых рендерит меню в 960p, отображает видео в 1080p.
Видеоконтент декодируется, скейлится и рендерится аппаратно, в максимальном разрешении матрицы.
Только в одной, официальной от Ubuntu, инструкции приводится скрипт для корректной настройки маршрутизации. В остальных 10 инструкциях сеть настраивается так, что позволяет и маршрутизировать трафик и через саму машину (она начинает выступать NAT-шлюзом для всех устройств на WAN-порту без ограничений или с ограничением по диапазону IP-адресов, но не интерфейсов), и в другие интерфейсы на машине.
Иными словами, при настройке по подобной инструкции машина из WAN может получить прямой доступ к вашим машинам из LAN. Потому что NAT не защищает от такого, а защищает межсетевой экран. Он работает одинаково что для IPv4, что для IPv6.
Возможно. Но глядя на то, сколько лет уже идёт процесс внедрения IPv6 и его текущий прогресс - при нашей жизни мы отказ провайдеров от IPv4 можем и не застать.
У некоторых крупнейших операторов связи сети IPv6-only: T-Mobile US, Orange Poland, Telstra, SK-Telecom. Выход в IPv4 осуществляется через псевдо-туннель 464XLAT, требующий поддержки со стороны ОС (встроено в смартфоны и десктопные ОС).
это требует дополнительных усилий во-первых, и во-вторых большинство об этом даже не догадывается (из-за чего в результате внедрения IPv6 они создадут дополнительные уязвимости для своих локальных сетей).
Это так. Это одна из причин, почему провайдеры России не включают его по умолчанию, и кажется, что внедрение IPv6 не слишком широкое. Попробуйте обратиться к вашему провайдеру — есть немалая вероятность, что он может вам просто включить поддержку этого протокола.
В относительно новой линейке принтеров HP Laser 107a /107w и HP Laser MFP 135a/135w/137fnw используется картридж HP W1106A, ресурсом всего 1000 страниц, и, естественно, пользователи, желая сократить расходы на печать, часто делают свой выбор в пользу совместимых картриджей. […] Обновленная прошивка для принтера записана в чип картриджа W1106, и, как только оригинальный картридж устанавливается в принтер, микропрограмма в чипе проверяет версию прошивки принтера и при необходимости обновляет ее, причем наличие интернета для этого не нужно.
“HP has launched a new range of W1106A/106A cartridges,” the whistleblower said. “These cartridges are embedded with a chip that can trigger a firmware update of the laser printer without the need of the internet.” In Italy, the newly available HP W1106A/106A series of cartridges update the printer once installed. Any aftermarket products containing a replacement chip is unrecognised by printers that have encountered a firmware update or upgrade. An error message, “Cartridge Problem” pops up on the printer’s display screen and the message “C2-151A” is displayed on the monitor of the attached computer.”
This lock-out strategy using data-in-a-chip embedded on the printer cartridge which communicates with, and updates the printer is probably a first for HP. But it’s not the first time it has been done by a printer OEM. Allegedly, back in 2018, Samsung used the same strategy with its printers. Samsung Electronics’s printing division, including its printer-related intellectual property, was acquired by HP in November 2017 for US$1.05 billion.
привет вам, придурошные HP LJ 101x, под которые как-бы есть драйвера, но в реальности нихрена не работает
Каждый раз удивляюсь, когда такое слышу. У этих принтеров отличная, если не идеальная, поддержка в линуксе. У них нет памяти для прошивки, поэтому прошивку нужно загружать с компьютера при каждом включении (что было автоматизировано еще 15 лет назад).
В итоге финалом этого будет полная победа вендоров над заправщиками.
До сих пор выпускаются новые принтеры на элементной базе 15-летней давности, когда речь о Secure/Trusted Boot в чипах ещё не шла. Например, новые модели HP 107/135.
Китайцы начали делать аппаратные клоны старых HP, к которым подходит популярный картрижд Q2612A, без каких-либо чипов: HIPER P-1120 (aka Zonewin ZY-1120).
Canon LBP2900 до сих пор официально выпускается, в 2005 года. У него нет никаких чипов.
На наш век принтеров хватит.
Ребята с бывшего СНГ давно разреверсили подавляющее большинство популярных моделей, хакнутые прошивки стоят от $1.
Вообще говоря, kyocera FS-1125 работает именно так, как вы хотите: драм-картридж отдельно, картридж с тонером отдельно. В картридже тонера есть пробка, которую нужно открыть и досыпать тонер. Всё.
Причина, похоже, всё же не совсем в этом. Наиболее вероятно то, что цензурирующей системе не нравится что-то в ответе сервера, а не в запросе клиента. Я воспроизвёл проблему на своём сервере (не IP Cloudflare), проксируя запросы к Cloudflare.
Это объясняет, почему с TLS 1.3 нет проблем (у TLS 1.2 и 1.3 ответы прилично различаются), и почему изменение Cipher'ов исправляет проблему (ответ сервера меняется, возможно, просто сравниваются определённые байты на определённых местах).
https://mixnews.lv/latviya/2022/10/19/neplp-zapretil-dostup-k-veb-saytu-kotoryy-ugrozhaet-natsbezopasnosti/
Перенаправляют на страницу http://nelegalssaturs.lv/
Заблокированы, в частности, vk.com и yandex.ru. Блокировки также осуществляют сторонние компании, обнаружил на публичном DNS-резолвере от Cogent/Sprint.
Paralelní Polis основан выходцами из Ztohoven, которые и подменяли эфир: https://www.youtube.com/watch?v=DcbgjyX9G-o
У них есть куда круче выходки, например, когда они в прямом эфире депутатам местной думы отправляли СМСки от имени других депутатов с подменой номера, согласуя обсуждение реформы морали: https://www.ztohoven.com/mr/index-en.html
https://letmegooglethat.com/?q=telegram+xmpp
Обратитесь к поисковой системе для получения подробностей.
Это уже происходит. Уже крупные провайдеры имеют сети только с IPv6, а IPv4 предоставляется через 464LAT.
https://en.wikipedia.org/wiki/IPv6_transition_mechanism#464XLAT
домашний роутер по умолчанию блокирует входящие соединения по IPv6.
А чтобы воспользоваться ей в IPv6, злоумышленнику сперва нужно каким-то образом узнать адрес. Почти все устройства используют Privacy Extensions с периодически меняющимися адресами, а если не используют, то всё равно генерируют себе из RA самостоятельно.
Вы узко мыслите — подумайте об этом в рамках датацентра.
Справедливо, это действительно так.
Это не совсем правда, но принимается.
IPv6 Privacy Extensions включены, полагаю, везде, или почти везде. У каждой машины могут быть десятки адресов, меняющиеся через определённые интервалы.
Настраивайте конечные устройства так, чтобы их можно было подключить к любой сети, не опасаясь за их безопасность.
Речь идёт о разрешении отрисовки интерфейса/меню, а не видеоконтента.
Использование меньшего разрешения интерфейса, чем позволяет вывод видеовывод, широко распространено на телевизорах и ТВ-приставках даже сейчас: часто интерфейс на 4К-телевизорах рисуется в 2К, а раньше это вообще было повсеместно. Мой ТВ Samsung из начала десятых рендерит меню в 960p, отображает видео в 1080p.
Видеоконтент декодируется, скейлится и рендерится аппаратно, в максимальном разрешении матрицы.
А я не сомневаюсь, что на типичных линукс-боксах типичный системный администратор настроит IPv4 уязвимым образом, с недостаточной фильтрацией.
Вот первые попавшиеся 11 инструкций из поисковика:
Hidden text
https://www.howtoforge.com/nat_iptables
https://howtoforge.com/internet-connection-sharing-masquerading-on-linux
https://www.linuxjournal.com/content/linux-networking-configuring-network-address-translation-nat
https://kifarunix.com/configure-ubuntu-20-04-as-linux-router/
https://www.cyberciti.biz/faq/howto-configure-network-address-translation-or-nat/
https://ixnfo.com/en/ubuntu-ip-masquerading.html
https://www.server-world.info/en/note?os=Ubuntu_22.04&p=ufw&f=2
https://medium.com/@lfoster49203/setting-up-ubuntu-as-a-router-with-advanced-routing-features-4511abc5e1eb
https://www.linode.com/docs/guides/linux-router-and-ip-forwarding/
https://blog.oshim.net/2013/01/configure-ip-masquerading-for-ubuntu/
https://help.ubuntu.com/community/Router
Только в одной, официальной от Ubuntu, инструкции приводится скрипт для корректной настройки маршрутизации. В остальных 10 инструкциях сеть настраивается так, что позволяет и маршрутизировать трафик и через саму машину (она начинает выступать NAT-шлюзом для всех устройств на WAN-порту без ограничений или с ограничением по диапазону IP-адресов, но не интерфейсов), и в другие интерфейсы на машине.
Иными словами, при настройке по подобной инструкции машина из WAN может получить прямой доступ к вашим машинам из LAN. Потому что NAT не защищает от такого, а защищает межсетевой экран. Он работает одинаково что для IPv4, что для IPv6.
У некоторых крупнейших операторов связи сети IPv6-only: T-Mobile US, Orange Poland, Telstra, SK-Telecom.
Выход в IPv4 осуществляется через псевдо-туннель 464XLAT, требующий поддержки со стороны ОС (встроено в смартфоны и десктопные ОС).
Это так. Это одна из причин, почему провайдеры России не включают его по умолчанию, и кажется, что внедрение IPv6 не слишком широкое. Попробуйте обратиться к вашему провайдеру — есть немалая вероятность, что он может вам просто включить поддержку этого протокола.
Это получение IEEE 1284 Device ID.
С HP 1000 не сталкивался, но 1015/1018 такой проблемы не имеют: повторная загрузка прошивки проходит без проблем.
Если вы хотите идентифицировать принтер по VID/PID, то самый простой вариант — сделать скрипт, использующий lsusb, либо же просто читающий дерево USB-устройств в sysfs.
Собственно, в wiki openwrt есть пример hotplug-скрипта: https://openwrt.org/docs/guide-user/services/print_server/p910ndprinterserver#debugging
Рестарт заданий обычно делается открытием/закрытием крышки.
См. ниже
Как это «может»?
https://www.testcopy.ru/kartridzhi/originalnyj-chip-kartridzha-hp-w1106a-mozhet-samostoyatelno-obnovlyat-proshivku-printera.html
https://www.rtmworld.com/news/latest-despicable-trick-by-hp/
Любой с поддержкой Mopria / AirPrint
Для старых принтеров с поддержкой Linux: https://openprinting.github.io/wsl-printer-app/
https://pikabu.ru/story/vyibor_bu_printera_domoy_ili_v_ofis_8903340
Каждый раз удивляюсь, когда такое слышу. У этих принтеров отличная, если не идеальная, поддержка в линуксе. У них нет памяти для прошивки, поэтому прошивку нужно загружать с компьютера при каждом включении (что было автоматизировано еще 15 лет назад).
До сих пор выпускаются новые принтеры на элементной базе 15-летней давности, когда речь о Secure/Trusted Boot в чипах ещё не шла. Например, новые модели HP 107/135.
Китайцы начали делать аппаратные клоны старых HP, к которым подходит популярный картрижд Q2612A, без каких-либо чипов: HIPER P-1120 (aka Zonewin ZY-1120).
Canon LBP2900 до сих пор официально выпускается, в 2005 года. У него нет никаких чипов.
На наш век принтеров хватит.
Ребята с бывшего СНГ давно разреверсили подавляющее большинство популярных моделей, хакнутые прошивки стоят от $1.
Вот реверс-инженер разобрался в современном (2021 год) принтере и прогрузил gdb за неделю: https://www.youtube.com/playlist?list=PLSkhUfcCXvqGGQN8ATgWI0XYGvU-jq0uG
Вообще говоря, kyocera FS-1125 работает именно так, как вы хотите: драм-картридж отдельно, картридж с тонером отдельно. В картридже тонера есть пробка, которую нужно открыть и досыпать тонер. Всё.