専用ブラウザを助けるプロクシ作らね?29串目 (739レス)
1-
606: 05/28(水)00:33 ID:1l44KaHq0(1/3) AAS
>単純にTLSのバージョンや暗号スイートで判定しているわけではなくclient hello等のセッション情報から総合的な判定を行っているように見えます (TLS fingerprintingと言うらしい)。

なるほどね
cloudflare側にbotっぽいTLSセッション情報から生成したフィンガープリントの集積があって
それに合致する接続に対して403を返してる感じか
read.cgiはともかくdatに対して適用するのはやりすぎな気がするね
拡張子が.txtなファイルは除外されてるっぽいから専ブラが触るURLは全部除外すればいいのに
607: 05/28(水)03:00 ID:/e+VbTJo0(1) AAS
このような背景からproxy2chに--tls-maxオプションを追加し、https接続時に使用されるTLSのバージョンを選択可能にしました。
このWindows用バイナリではOpenSSL 3.0.16が使われる都合上、デフォルトが--tls-max 1.2相当になっています。
1.0や1.1も指定可能ですが、5chは1.2未満のTLS接続を受け入れないようです。

これ読む限り別に更新しなくても何も問題ないな
変な設定にしてる人だけ問題が起きるんだろうな
608: 05/28(水)03:18 ID:QSdSC26N0(1) AAS
-s付けてるなら更新したほうがいい
609(1): 05/28(水)11:27 ID:ovSIq/sa0(1) AAS
TLS heartbeat拡張のバグが原因だとさ
heartbeat無効でコンパイルしてあるDLLなら問題無し

UAは無関係だったな
610: 05/28(水)11:40 ID:+DHC9/Eb0(1) AAS
>>609
情報少し遅めだな
611: 05/28(水)11:43 ID:dGzhE9yr0(1) AAS
全然違うしな
heartbeatの有無にかかわらずfingerprintingに引っかかったものが弾かれてるだけ
UAも関係ある(例sikiのUA)
612: 05/28(水)11:52 ID:6BitwtHG0(1) AAS
TLS fingerprintingが何なのか知らないとheartbeat拡張がー
とか書くんだろうな
613(1): 05/28(水)13:26 ID:pvLZdKEy0(1) AAS
現在5chはTLS1.0とTLS1.1でアクセス出来るように思いますが違いますか?
UPLIFTにもログインできます。
openSSL 1.0.2c以降(1.0.2bは不明)でTLS1.2通信を行おうとするとCAPTCHA要求が出て
スレが表示されなかったり、書き込めなかったりする。
614(2): 05/28(水)14:19 ID:jJmxTnlY0(1) AAS
>>613
$ curl -v -I --tls-max 1.1 --tlsv1.1 外部リンク:5ch.net
* Host 5ch.net:443 was resolved.
* IPv6: 2606:4700:10::6816:16d, 2606:4700:10::6816:6d, 2606:4700:10::ac43:5c2
* IPv4: 172.67.5.194, 104.22.1.109, 104.22.0.109
* Trying [2606:4700:10::6816:16d]:443...
* Immediate connect fail for 2606:4700:10::6816:16d: No route to host
* Trying [2606:4700:10::6816:6d]:443...
* Immediate connect fail for 2606:4700:10::6816:6d: No route to host
* Trying [2606:4700:10::ac43:5c2]:443...
省12
615: 05/28(水)16:18 ID:ZNqbyYde0(1/5) AAS
IEでもTLS1.1とTLS1.0で表示できたけど
画像リンク[jpeg]:i.imgur.com
616(1): 05/28(水)17:02 ID:oaPnT/FY0(1/3) AAS
>>614
最近のcurlはTLS v1.0,v1.1の実行は出来ないので
古い奴を使う(v7.66.0)
まあ結果としては403が返ってきちゃった
(もし弾かれなかったら200が返ってきたと思う)
617: 05/28(水)17:22 ID:oaPnT/FY0(2/3) AAS
>>614
悪い
記憶違いだった
7.77.0で削除されたのはSSLv2/SSLv3だった
でも古い奴ならTLS1.1でちゃんと反応するんで何かあると思う(見付けられなかったけど)
618: 05/28(水)17:30 ID:1l44KaHq0(2/3) AAS
BEアイコン:nida.gif
OpenSSL3以降はTLS1.1以下がsecurity level 0に指定されてるので手続きを踏まないと1.0/1.1では繋がらない
curlではその手続きをしてないのでOpenSSL3にリンクされてるcurlで1.0/1.1を使おうとするとエラーになる
619: 05/28(水)17:56 ID:oaPnT/FY0(3/3) AAS
>>616
cURL v7.66.0で、User-AgentにJaneXenoを指定したら、200になった
620: 05/28(水)20:21 ID:NweTBOkB0(1) AAS
MITM用のオレオレ証明書がもうすぐ切れるよとWarningが出ていたので作り直した
なんという親切設計
621: 05/28(水)22:43 ID:eRZQninn0(1/2) AAS
ちょっと教えてください
今回のFingerPrintingですがCloudFlare全体で始めたんですか?
それとも5chだけが対象なんですか?
622(1): 05/28(水)22:58 ID:1l44KaHq0(3/3) AAS
cloudflareは各種防護機能の有効無効をユーザに委ねてるから
5chの管理者が気まぐれで有効化したんでしょ
623: 05/28(水)23:03 ID:ZNqbyYde0(2/5) AAS
今回の5ch(/bbspink)の騒動以前に、おーぷん2chもそのような兆候があったと言われている。
ただおーぷん2chは嵐が酷いと鯖ごとに?読み込みCAPCHAすぐ発動するし、
そもそも書き込み失敗してもエラーメッセージでなかったりするから(私は)まともに検証
できなかった。
ただcloudflare使ってる上記以外の5ch互換掲示板は普通に見れるのよね
624: 05/28(水)23:04 ID:ZNqbyYde0(3/5) AAS
>>622
そう思う。おとといあたりの鯖落ちで荒らし排除にになるかもって、
5ch管理者が機能ONにしちゃったのかな
625: 05/28(水)23:08 ID:eRZQninn0(2/2) AAS
ありがとうございます
もやっとしてるけどなんか繋がった気がします

サンプルの集積が少ないとBOT扱い
Jane派生みたいにサンプルが多すぎるとそれはそれでBOT扱い
みたいな感じだったんですかね
あっち界隈わ
1-
あと 114 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.014s