Cloudflare ha tenido que retirar el nuevo protocolo ECH que impide el funcionamiento de los filtros de bloqueo de webs piratas solo unos días después de anunciar por todo lo alto su llegada. Y es que ECH es una mala noticia para la industria de filtrado de contenidos, cuyas herramientas utilizan el campo SNI cuando viene sin cifrar para detectar la web usuario a la que accede el usuario y si es oportuno, bloquear el acceso. Es difícil saber si la decisión de Cloudflare se debe a presiones externas o simplemente a problemas técnicos.
Comentarios
Empecé a usarlo hace unas semanas y funcionaba perfectamente. La auténtica prueba es visitar las páginas vetadas por los ISPs, como the pirate bay o z-lib.
Una autentica putada la desactivación porque prometía... espero que ahora que la tecnología existe y está probada se convierta en un estándar de facto y se adopte masivamente. El problema es precisamente que dependía de la red Cloudflare en exceso y ahora nos han dejado colgados, pero existen alternativas probables, de momento hay muchos esperando movimientos, como quad9: https://help.nextdns.io/t/35hjjys?r=m1hjw7x
Aquí hay una explicación del funcionamiento de ECH https://blog.cloudflare.com/handshake-encryption-endgame-an-ech-update/
#10 No será un estándar hasta que la industria consiga bloquearlo.
#18 es una tecnología desarrollada, no es bloqueable. Si presionan a cloudflare para que lo quite, te irás a otro proveedor, punto. Con la tecnología desarrollada, la industria ha perdido
#23 te irás a otro proveedor, punto.
Tendrías que irte a otro que sea igual de grande y que no te de una ip fija solo para ti.
Si te dan ip fija, por más que tengas ECH te van a bloquear. Y Si el proveedor no es muy grande aunque la IP que te den sea compartida lo bloquearán igual aunque afecte a algunos otros.
#26 cómo sostienes ante el juez que tu decisión de bloquear mi web, que comparte IP con la "delictiva", está justificado? Suena a juicio fácil
#31 Recuerda que estos primero disparan y después preguntan.
Cuando tu web caiga junto con una ilegal, lo primero que harás será quejarte a tu proveedor. Él te dirá que no es culpa suya y que pongas una demanda. Le dirás que la IP te la dio él así que la demanda la ponga él. Al final no importa quién la ponga, tendrás que esperar meses o años a que haya una resolución. En ese tiempo ya te habrás cambiado a otro proveedor y listo. Y eso servirá para que tu proveedor anterior vea que no le conviene alojar sitios ilegales y ponga una cláusula en su contrato que lo prohíba.
#32 son cientos de servicios tras cada ip. Eso no va a ocurrir
#33 son cientos de servicios tras cada ip. Eso no va a ocurrir
Pues hay casos análogos: Imagina que tienes una web como meneame. 2 o 3 usuarios se ponen a mandar cosas ilegales (como compartir magnet para descargas o subir fotos de los hijos de Pedro Sánchez. ¿Que pasa? Que o Menéame bloquea a esos usuarios o un juez bloqueará todo Menéame.
En este caso igual: si hay cientos de servicios hablarán con el proveedor y le dirán
Oye, te damos 3 alternativas:
1) quitas esas webs ilegales
2) quitas el ECH
3) te arruinamos el negocio porque tendremos que bloquear la IP y eso afectará a todos tus clientes.
Estoy bastante seguro de que es lo que pasó con Cloudflare.
#10 espero que ahora que la tecnología existe y está probada se convierta en un estándar de facto y se adopte masivamente
El problema es que sólo tiene utilidad si la implementan sitios como cloudflare, que hacen de proxy para millones de páginas.
Si por ejemplo a mi me dan por poner un servidor para compartir libros por más que active ECH me van a bloquear igual porque simplemente bloquean mi dirección IP. En el caso de cloudflare, bloquear la ip implicaría bloquear muchos sitios a la vez y casi todos ellos legales.
Se ve que a la Liga no le gusto este protocolo de seguridad
¿Alguien que se lo explique a los tontos?…
#6 que seguiras sufiendo censura extrajudicial.
#6 Cuando un dispositivo se conecta a internet envía mensajes a un servidor.
Por ejemplo, mi móvil enviaría un mensaje diciendo que quiere escribir una respuesta al servidor con dirección meneame..net al mensaje número 6 cuyo texto es el que lees.
Por seguridad, todo va encriptado. Por ejemplo en el mensaje que envía mi móvil el mensaje en sí estaría encriptado. Por eso el gobierno de EEUU exige a WhatsApp que le envie ciertos mensajes y el gobierno chino exige a otras empresas que les manden los mensajes con información sensible, porque no pueden pichar la línea y leerlos.
Técnicamente, hay una información que no se podía encriptar. La dirección de destino. ¿Cómo sabe un gobierno que estás accediendo a una web prohibida? Leyendo en tu mensaje la dirección a la que accedes. Si la dirección es rusiatoday, pues no te dejan, lo bloquean por el camino
Con esta funcionalidad el destino de mensaje está también encriptado. Solo el emisor y el receptor saben el destino del mensaje. Nadie puede bloquearlo porque no pueden leer la dirección de destino.
#12 Gracias por tan buena explicación.
#13 Me alegra que sea una buena explicación; se me suele dar fatal hacerme entender.
Seguro que les petaban la red CDN
#2: Les PWN la red CDN, al utilizar las herramientas el campo SNI al actualizar al protocolo ECH, como resultado tuvieron que aplicar el ABS con ayuda del ESP a toda la implementación nueva.
( +y- chipi-wini-mini)Relacionado:
#11 ¿Podrías traducir tu comentario a la preciosa lengua de Cervantes? No he entendido absolutamente nada. Muchas gracias.
#21 pocas pelis de ciencia-ficción has visto
#22 ¿Cómo que pocas? Sé qué es condensador de fluzo, gigovatios, motor de curvatura, sectores alfa, beta, gamma y delta de la Vía Láctea, primer contacto, Vulcanianos, Enterprise, ....
#21: Es un mensaje en broma, aún así traduciré las letras que he añadido:
- ESP: es lo de los coches, es "control de estabilidad electrónico" y es para que no se te vaya el coche si haces una maniobra muy brusca. https://en.wikipedia.org/wiki/Electronic_stability_control
- ABS: es lo de los coches y trenes (es sistema antibloqueo), para que en caso de frenar bruscamente no se bloqueen las ruedas y se produzcan planos o se pierda estabilidad. https://en.wikipedia.org/wiki/Anti-block_system
- PWN: es el verbo en inglés "pwn", que significa derrotar a alguien con humillación en ámbitos competitivos, y en ámbitos de seguridad informática, cuando esta ha sido comprometida o se realiza una escalada de privilegios en un sistema que en principio no lo permite, viene de "owned" (poseer) y "pawn", que es peón. https://en.wikipedia.org/wiki/Leet#Pwned_(or_Owned)
Lo de usar ESP y ABS es en el sentido de que tuvieron que "frenar" bruscamente la nueva implementación porque se lo habían pwneado, bueno, eso he entendido.
#27 Coño, lo de ESP y ABS no lo asociaba a los ordenadores, sí a los coches, por eso no entendía nada. Lo d Pwn no tenía ni idea
#28: Claro, la gracia es que yo tampoco entendía nada de la noticia, por eso añadí al final el vídeo de Cruz y Raya y el meme de la señora mayor mirando la pantalla del ordenador extrañada, porque así nos habíamos quedado muchos al leer la entradilla o algunos comentarios.
Problemas tecnicod, guiño guiño...
ottia, igual es por eso por lo que ninguno de los 3 tutoriales que miré para activarlo nel Firefox conseguía que chutasen, todas las opciones requerían meter Cloudflare como predeterminado.
A mi el test me funciona
https://crypto.cloudflare.com/cdn-cgi/trace
#3 sni me dice plaintext, imagino que debería decir otra cosa?
#4 Si.
sni=encrypted
#7 Pues en mi teléfono sale encrypted
#7 Curiosamente, en el teléfono me sale encrypted, pero en el browser donde tengo "Encrypted ClientHello" forzado en enabled, me sale plaintext.
#4 Si lo tuvieses activado debería decir sni=encrypted.
#3 Estoy con Brave en Linux y mi sni da 'encrypted'. Olé.
#3 A mi tambien.
Nada, esto lo liberan en cuanto tengan la máquina quantica para descifrar los protocolos actuales.