История одного проекта. Рейтинг и Анонимайзер

в 14:53, , рубрики: cohula, donottrack, ghostery, glype, proxy, vpn, WebRTC, whoer, Блог компании Whoer.net, браузеры, Дизайн в IT, информационная безопасность, проверить ip, Финансы в IT-индустрии

Как мы уже прояснили в первой части статьи, что нужно пользователю? Все тоже самое, только больше и лучше. Так мы решили улучшить представление информации, ее визуальную составляющую и добавить новые сервисы, которые могут оказаться полезны нашей аудиторией.

image

Одним из первых, мы начали работать над тем, что назвали впоследствии — «Рейтинг анонимности».  

Это табличка, со всеми параметрами, которые наш сайт может принимать, оценивать и показывать как светофор — соответствующий сигнал. Идея простая и красивая, возможности сайта (любого) по выявлению Системной анонимности крайне ограничены. Зачем люди посещают whoer.net? Чтобы проверить vpn/tor/proxy/socks/web-proxy и так далее. Соответственно и логика рейтинга выстроена таким образом, чтобы он это дело проверял. Сама идея рейтинга в том, что вы — должны использовать средства анонимизации, а мы должны — проверять, что вы не женщина в красном, а успешно замаскировались :).  Перед нами никогда не стояло задачи, сделать тест, для людей, которые не используют средства анонимизации. Мы делали это — как наглядное средство, для людей, интересующихся своей безопасностью.

Я не зря, сильно заостряю на этом внимание, периодически, встречаются в интернете упоминания от людей, которые не понимают саму логику работы, они показывают скриншоты вида: как на прямом соединении, со стандартным браузером, отключив флэш — получили 100% рейтинга. Разумеется, человек использующий VPN и должен выглядеть так, как вы — на прямом соединении, со стандартным браузером и прочим. Разве в этом есть что-то странное? Наша задача — помочь вам слиться с толпой и даже помочь толпе, узнать, что нужно использовать средства анонимности априори. Серфинг в сети со своим реальным ИП, равносилен хождению по улице с раскрытым паспортом на голове. Зачем вам это?

Мы разработали и приняли за догму, что рейтинг не должен уходить в минус, поэтому, когда у вас множественные провалы, то процент не такой низкий как при одном, или паре, это — наше мнение, не факт, что оно правильное, может даже не совсем правильное, просто было желание наглядно обратить внимание, ваше внимание, на ваши проблемы, используя четыре цвета — красный/желтый/оранжевый и зеленый. Почему светофор? Потому что многие автомобилисты, желтый переходящий в красный, в шутку называют — оранжевый.

Коэффициент, это простейшая формула, работает в рамках от 0.75 до 1,5, то есть за одно и тоже мы снимем от 20 до 45 баллов. А сам рейтинг, полностью в развернутом виде, выглядит вот так:


image



Много вопросов по части логики приходит про DoNotTrack и WebRTC. Почему не включенный DNT считается «провалом» анонимности, а отключенный WebRTC — нет. И что такой человек — очень подозрителен. Да, это правда. Отвечая на первый вопрос, я рекомендую вам использовать плагин Ghostery, который «прибивает» все жучки и не позволяет вас через них отслеживать, а именно: различную статистику, аналитику, маркетинг, системы комментариев и прочего. Далеко не секрет, что руки корпораций бобра простираются дальше, куда дальше их собственных сайтов и проектов. По сути любой сторонний сайт, использующий статистику, передает информацию, что вы его посещаете, что на нем делаете, читаете, смотрите, покупаете и прочее. Изначально параметр DNT предназначался для того, чтобы запретить это делать. Но, как и всякая хорошая идея, работает он больше на бумаге, спасение утопающих — их рук дело. Мы признаем ошибку и спорность логики с заголовком DNT, поэтому рейтинг за него больше сниматься не будет, а сам он будет приводиться исключительно в ознакомительных целях, что есть такой и что пользуйтесь специальным плагином для браузера. Собственно в этой статье про DNT, ссылка на которую есть в рейтинге и рекомендуется его использовать. Поэтому задача показа этого пункта, как раз и заключается в предоставлении информации.

Как бы только потом чего не вышло...«а зачем вы мне тут показали про DNT, если рейтинг не снимаете?» *Грустный вздох*

Что касается WebRTC, тут все несколько проще и сложнее одновременно. Поскольку до сих пор не существует решения, позволяющего подменять передаваемые через него IP адреса, а использование VPN и виртуальной машины напрямую, без NAT, явно выдает ваш реальный ИП адрес, а через роутер — как правило выдает сеть класса А, то есть 10.x.x.x. То далеко, не мы одни понимаем, что это с высокой долей вероятности «замаскировавшийся» :) персонаж и еще хуже, если выдавший себя с головой, свой реальный IP адрес, пользователь. Более того, проверено неоднократно, что многие крупные сайты, плохо относятся не к отключенному webrtc, предположу, что пока еще нет проверки версий браузеров на его поддержку «из коробки», а именно к подобным «утечкам» через него. Потому в данном случае, наше мнение железное — лучше отключать и чем больше людей его отключит, до момента появления какого-то нормального решения, тем лучше.

Анонимайзер

Довольно популярная, как оказалось, штука. На данный момент вас, обеспечивает услугами web-proxy 9 серверов, средний суточный трафик порядка 150 гб на сервер, самые популярные — в России и Голландии, там по 400 гб в сутки проходит. Для понимания рядовой математики, на сервер обычно выделяется от 3 до 5 тб трафика, каждый последующий тб стоит денег, от 5 до 20$ за тб. Это сильно и целиком убыточный сервис, призванный ради того, что бы увеличить трафик на проекте. Самое печальное в другом, рост трафика на нем даже не геометрический, если в субботу мы добавляем новый сервер в России, чтобы «разбавить» с 400 гб/сутки Москву, то уже ко вторнику, мы на «старом» сервере имеем те же 400, а на новом еще 200.  Рост трафика примерно на 20-30% каждые три дня, я не знаю как долго еще это будет, нам даже самим интересно. Но пока это внушает. Вернее как, технически мы можем расшириться и на 100 и на 1000 серверов, механизм отработан, но практически, в том нет смысла, потому что да, ребят, это — стоит денег.  Более того, нам даже пишут другие анонимайзеры, русские и английские, с предложениями забрать их трафик и с правом для нас показывать рекламу их клиентам, бесплатно. Вот так вот. Нет, анонимайзер в том или ином виде пока точно останется бесплатным, другой вопрос, что мне было хотелось максимально долго спонсировать этот сервис, но мне так же, очень не хочется писать статьи, как разблокировать whoer.net. Поэтому когда предельный и разумный порог будет достигнут, все севера, что  у нас есть, кроме нескольких, начнут работать по факту подписки. Нам не нравится такой вариант, но еще больше не нравится перспектива получить бан в ру сегменте.

Самое «забавное» в другом, многие «бесплатные» анонимайзеры, которые не продают никаких иных услуг, «грипают» ваши учетные записи к разным сайтам и потом продают, все наши же логи изначально, оправлены в /dev/null. Мы готовы предоставить рут-доступ к любому из наших серверов, любому адекватному человеку, чтобы он сам посмотрел их настройку и понял истинность данного утверждения. Верить на слово не нужно, у нас правда — все честно. Ну как у hma или pia или еще много кто, ребята пишут, что пишут — лог и вот вам пример, как реально работают, известные сервисы. Ну я отвлекся.

Наш анонимайзер построен на базе движка Cohula и доработан вместе с его автором, под наши задачи. Изначально, у его автора, используется 3 режима совместимости с другими сайтами, и у нас было так же, буквально через неделю ГугльБот каким-то образом им воспользовался и перешел на сайт paypal.com, но с нашего поддомена через него, нашему хостеру тут же прилетела абуза, что мы мол фишинговый сайт. Хостер долго не разговаривал, а отрубил из матрицы, все попытки что-то объяснить так и остались в его истории. В общем анонимайзер, который не шифрует адреса  url- это зло. Мы переделали режимы работы, но вспыла иная проблема, что на некоторые сайты нельзя залогиниться, когда используется режим шифрования url. На данный момент совместно с разработчиком, пытаемся решить проблему, а если не получится, то настроить исключения.

Автор: Whoer.net

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js