Loess.ru

having fun

MiTM on jabber.ru

Прекрасная подробная статья о хорошо продуманной атаке на соединение до jabber.ru. Показывает, насколько важно мониторить свои сертификаты и сервера
https://notes.valdikss.org.ru/jabber.ru-mitm/ (pdf)

As of 20 Oct 2023, we’re still waiting for the adequate reply from Hetzner and Linode to our inquiries.

p.s. Обширное дополнение (https://www.devever.net/~hl/xmpp-incident) про перехват в механизме выпуска сертификатов от автора RFC8657 (https://www.rfc-editor.org/rfc/rfc8657.txt) и много чего ещё Hugo Landau. Плюсы, минусы, дыры, что произошло и что ещё может произойти, как защищаться или как минимум усложнить жизнь атакующей стороне.

Удобный self-hosted список задач (ToDo list) с синхронизацией в NextCloud

Ставим NextCloud на выделенный IP
Ставим Nginx-proxy для подключения к нему по SSL
На телефон — ставим F-Droid
Устанавливаем tasks.org из F-Droid

Открываем tasks.org, авторизуемся на сервере NextCloud с помощью CalDAV

Создаём виджет на экране, и ставим галочку в «настройки — внешний вид — Временно показывать задачи после завершения», получаем что-то вроде:

Туда же можно подключить синхронизацию закладок браузеров с помощью Floccus

Routing src vs sNAT vs masquerading

1. src field of linux routing table
https://serverfault.com/questions/451601/ip-route-show-src-field

Note that the src you are giving would only affect the traffic originating at your very host. If a foreign packet is being routed, it obviously would already have a source IP address so it would be passed on unaltered (unless you are using NAT of course, but this is an entirely different matter). Also, this setting might be overridden by a process specifically choosing to bind to a specific address instead of using the defaults when initiating connections (rather rare).

2 и 3.
http://sysadminz.ru/index.php?topic=3872.0

Принципиально SNAT ничем не отличается от MASQUERADE, разница лишь в том что SNAT может транслировать адрес источника в любой заданный адрес, а MASQUERADE — только в адрес физического интерфейса, непосредственно установленного на данном компьютере. MASQUERADE рекомендуется использовать только с интерфейсами, имеющими динамические IP адреса (например, при dialup соединении).

Пример:
* Делаю Snat из одной сетки в другую, условием является source IP и имя исходящего интерейса.
* Со временем на интерфейсе появляется ещё один ip, соответственно в эту подсеть начинает отправляться другой src-ip. А там, где Reverse Path Filtering включен, их не видно.
* Переделываю srcnat на masquerade — src-ip становится правильным на всех подсетях выходного интерфейса

—————
Ещё чтива по теме: https://www.tecmint.com/setup-linux-as-router/ http://xgu.ru/wiki/Маршрутизация_в_Linux

Исправляем NET::ERR_CERT_INVALID on Letsencrypt SSL on Chrome on WinXP or NT 5.2

Проблема — Chrome выдаёт свой фирменный «oops»: NET::ERR_CERT_INVALID с объяснением, что сайт «не отправил то, что он отправляет обычно» (интересно, откуда ж ему знать? :D) и хромэ лёг костьми на амбразуру, но всё-таки разорвал подозрительное соединение. Инфо о сертификате говорит «Сертификат имеет недопустимое имя. Такое имя не включается в список разрешенных или явно исключенных.»

ПричинаWindows XP SP3 cannot handle certificates with namespace restrictions в промежуточном сертификате.

Решилось установкой Read More