(no subject)

В фейсбучной дискуссии о палестинском национализме (1, 2) Дмитрий Аксельрод любезно привёл пару статей о влиятельных арабских публицистах в Палестине и Сирии начала 20-ого века - Yusuf al-'Isa и Khalil al-Sakakini. Статьи интересны даже безотносительно дискуссии.

Оба начинали с достаточно равнодушного отношения к сионизму (первый даже видел в нём пользу для арабов в плане развития сельского хозяйства), и у обоих оно довольно быстро сменилось резкой враждебностью.

Но при этом первый горячо вступался за Менахема Бейлиса и опровергал кровавый навет:

Even though the newspaper’s editorial line had by that time become clearly anti-Zionist, he did not use this event to criticize the Jewish community. Moreover, the editor-in-chief did not remain silent vis-à-vis this injustice. Quite the contrary, more than ten articles discussed the trial and its aftermath in which both the editors and the contributors unequivocally rejected the accusation and voiced support for Beilis, Judaism, and Jews. In his editorial "The Disgrace of the Twentieth Century", published during the trial, Yusuf al-‘Isa wrote:

"We said in the previous issue and repeat that their accusing the Jews of shedding blood to perform a religious ritual is a fabrication with regard to those who believe it; an abomination with regard to those who spread it; and a disgrace to the twentieth century, during which, if minds are not liberated from the shackles of ignorance, God will never liberate them."


Второму вражда к сионизму не мешала дружить с евреями, включая сионистов, и преподавать им арабский. В феврале 1917-ого года он писал:

If I hate the Zionist movement, I hate it because it endeavors to build its independent existence on the ruins of others.

а в ноябре того же года, рискуя жизнью, дал убежище разыскиваемому оттоманской полицией за шпионаж в пользу британцев Альтеру Левину (тоже весьма неординарная личность), еврею и сионисту. Их накрыли и, возможно, казнили бы, но тут британцы взяли Иерусалим и Сакакини отделался месяцем дамасской тюрьмы.

К сожалению, как я узнал из Вики, Сакакини на этой высоте не удержался - переход арабо-еврейских разборок в фазу войны захватил и его. И теракты восхвалял, и Гитлера благодарил за раскрытие миру глаз на еврейскую тайную мощь. Эх. Но это уже в более поздние времена, лет через 19.




И просто пара забавностей:

Not much is known about Yusuf al-’Isaʼs childhood and youth... He was an active Freemason and a member of the Barkai lodge in Jaffa.

Не на той стороне масонов ищут, не на той! :-))

Сказ о том, как Сакакини женился:

On 11 January he was to marry his longstanding love Sultana ʻAbduh in Jerusalem. However the wedding was beset by considerable complications. The patriarch Damianos wanted to coerce Khalil al-Sakakini into submission and therefore the priests refused to marry him under the pretext of proximity of blood between him and his bride-to-be. With the support of his best friend and best man – ʻIsa al-ʻIsa – the wedding took place in Jaffa two days later. To ensure the success of the wedding the al-ʻIsa cousins arranged the arrest of two priests so that they could not be reached by the Patriarchate and they were released just before the wedding.

Это, блин, какая-то чистая комедия Шекспира!
  • Current Music
    Emily Barker & The Red Clay Halo - Everywhen
  • Tags

Enola Holmes

Enola Holmes - очень милый, забавный и увлекательный фильм с очаровательной Милли Бобби Браун, популярно объясняющий, что есть такая штука, как правильный и прогрессивный терроризм.

(no subject)

Запоздалое, но большое спасибо всем, ответившим на предыдущий пост!

Из предложеных версий мне кажется, что лучше всего "щёлкает" версия [personal profile] idelsong, что речь идёт о Фёдоре Басманове. Если Тёма Карташёв имел в виду, что тот был любовником Ивана Грозного, то это объясняет и невнятное слово "пристрастие", и то, что самому Тёме становится крайне не по себе в ожидании реакции учителя, и то, насколько нервной и гневной эта реакция оказывается: "До такой гадости… до такой пошлости может довести человека желанье вечно оригинальничать…". Ещё бы! - в монархической России конца 19-ого века гимназист намекает на гомосексуальность царя.

Причём же тогда умершие на 500 лет раньше Антоний с Феодосием? Подозреваю, что это автор даёт понять уровень исторических знаний Тёмы, которому что Антоний, что Грозный, что Троянский конь - всё из серии "давно и пофигу", а за боярина Фёдора он уцепился именно потому, что жареная и запретная тема.

P.S. Заодно узнал, что слово "передержка" из учительской речи означало в то время переэкзаменовку. "Повторно держать экзамен".

P.P.S. Когда читал "Гимназистов" ещё в детстве, кто-то мне сказал, что упоминающаяся там девушка Анна Горенко - это Ахматова. Это не так: "Гимназисты" вышли в 1893-м, будущей Анне Ахматове было тогда 4 годика. Да и отчество у неё другое.

(no subject)

Дорогие френды, а не просветите ли невежественного в русской истории кота?

Отрывок из «Гимназистов» Гарина-Михайловского:

Однажды, как только кончилась перекличка, Карташев, считавший своею обязанностью во всем сомневаться, что, впрочем, выходило у него немного насильственно, встал и решительным, взволнованным голосом обратился к учителю:
— Митрофан Семенович! Для меня непонятно одно обстоятельство в жизни Антония и Феодосия.
— Какое-с? — сухо насторожился учитель.
— Я боюсь спросить вас, так оно несообразно.
— Говорите-с!
Козарский нервно подпер рукою подбородок и впился в Карташева.
Карташев побледнел и, не сводя с него глаз, высказал, хотя и путано, но в один залп, свои подозрения в том, что в назначении боярина Федора было пристрастие.
По мере того как он говорил, брови учителя подымались все выше и выше. Карташеву казалось, что на него смотрят не очки, а темные впадины чьих-то глаз, страшных и таинственных. Ему вдруг сделалось жутко от своих собственных слов. Он уж рад был бы и не говорить их, но все было сказано, и Карташев, замолчав, подавленный, растерянный, глупым, испуганным взглядом продолжал смотреть в страшные очки. А учитель все молчал, все смотрел, и только ядовитая гримаса сильнее кривила его губы.
Густой румянец залил щеки Карташева, и мучительный стыд охватил его. Наконец Митрофан Семенович заговорил тихо, размеренно, и слова его закапали, как кипяток, на голову Карташева:
— До такой гадости… до такой пошлости может довести человека желанье вечно оригинальничать…
Класс завертелся в глазах Карташева. Половина слов пролетела мимо, но довольно было и тех, которые попали в его уши. Ноги подкосились, и он сел, наполовину не сознавая себя. Учитель нервно, желчно закашлялся и схватился своей маленькой, растрепанной рукой за впалую грудь. Когда припадок прошел, он долго молча ходил по классу.
— В свое время в университете с вами подробно коснутся того печального явления в нашей литературе, которое вызвало и вызывает такое шутовское отношение к жизни.
Намек был слишком ясен и слишком обидным показался для Корнева.
— История нам говорит, — не утерпел он, бледнея и подымаясь с перекосившимся лицом, — что многое из того, что современникам казалось шутовским и не стоящим внимания, в действительности оказывалось совсем другим.
— Ну-с, а это не окажется, — круто повернул к нему свои темные очки учитель. — И не окажется по тому по самому, что это — история, а не передержка. Ну-с, во всяком случае, это не современная тема. Что задано?
Учитель погрузился в книгу, но сейчас же оторвался и снова заговорил:
— Мальчишеству нет места в истории. Пятьдесят лет тому назад живший поэт для понимания требует знания эпохи, а не выдергиванья его из нее и привлечения в качестве подсудимого на скамью современности.
— Но стихи этого поэта «Подите прочь» мы, современники, учим на память…
Митрофан Семенович высоко поднял брови, оскалил зубы и молча смотрел, как скелет в синих очках, на Корнева.
— Да-с, учите… должны учить… и если не будете знать, получите единицу… И не вашей-с компетенции это дело.


Обмен этот мне оказался совершенно непонятен.

Антония с Феодосием я нагуглил, это монахи, основавшую Киево-Печёрскую лавру, 11-й век.
Бояринов Фёдоров же оказалось слишком много, и ни один из них по времени с Антонием-Феодосием не совпадает.

Что имел в виду Карташёв? О каком Фёдоре речь? С чьей стороны пристрастие? Почему учитель так нервно реагирует? Что он называет шутовским отношением к жизни? Причём тут Пушкин и по какой логике Корнев ссылается на этот надменный стих?

Про перехват SSL

Спросили меня насчёт интервью, которое дал украинскому сайту "Гордон" какой-то бизнесмен Михаил Талан, утверждающий, что российские спецслужбы рутинно проводят массовую "man-in-the-middle" атаку на TLS-соединения российских пользователей.


– Каким образом россиянам удалось вставить туда "посредника" и считывать зашифрованный трафик?
– Подсунув подменный SSL-сертификат в веб-браузер. Подчеркиваю: именно подменный, а не поддельный. SSL-сертификат – это технология аутентификации, которая, если вы открываете Google, говорит веб-браузеру: да, это точно Google. Подделка SSL-сертификата – это, по сути, базовая хакерская атака, а вот подмена – это базовая функция того, кто этот сертификат продает. Подмена доступна исключительно официальному органу, и делается это на основании запроса и, как правило, "для борьбы с терроризмом".
...
В головах у интернетчиков бытует мнение – поддельный SSL-сертификат не сработает. А я еще раз говорю: не поддельный, а подменный, и он выдается корневым центром сертификации по запросу государства для борьбы с терроризмом. Понимаете? Они опять "продают" идею борьбы с терроризмом. Они таким образом заставили всех выдать им сертификаты, но встала вторая проблема – как их встроить в трафик.


То есть - человек утверждает, что все или по крайней мере основные CA выдали российским спецслужбам ключи своих корневых сертификатов или же подписанные ими дочерние сертификаты, чтобы с их помощью спецслужбы могли выписывать самим себе поддельные сертификаты сайтов и дешифровывать-перерасшифровывать-подменять пользовательский трафик.

Чисто технически в этом ничего невероятного нет, о чём я и писал уже давно (1, 2) - государство действительно может добиться от CA такого сертификата, такую подделку действительно тяжело засечь, поскольку практически все поля в поддельном сертификате будут идентичные настоящему, кроме публичного ключа и его хэша. Смену сайтом публичного ключа можно засечь - см. HTTP Public Key Pinning - но она может произойти и по совершенно нормальным причинам, к тому же разные сервера, на которых хостится сайт, могут одновременно иметь разные сертификаты с разными ключами, да и использовал HPKP очень мало кто.

Но вот политически звучит это невероятно. То, что ключи американских центров сертификации есть у NSA, меня не удивит нисколько - но вот какой смысл им делиться ключами с Россией? Своё же собственное государство по головке не погладит за подобную работу на потенциального противника. Далее, даже если у фирмы, скажем, Digicert от российских денег в зобу дыханье спёрло и они решили продать ФСБ сертификат с включённым флагом "CA" - это означает для них страшнейшую игру с огнём, поскольку один доказанный случай MiTM-атаки с их помощью - и вся их репутация сгорает на корню, а репутация - это в принципе единственное, чем CA торгует, без неё он нафиг никому не нужен. А уж содействовать не просто каким-то очень выборочным атакам на определённых людей, а массовому перехвату в масштабах страны - это просто чистое безумие.

Конечно, вполне в возможностях российских спецслужб попросту украсть корневой или дочерний сертификат одного-двух западных CA - просто подкупив их служащих, к примеру. Сумели же американские / израильские подписать Stuxnet ключами легальных сертификатов для защиты програмного кода. Но опять же, для перехвата трафика условного Навального - это вполне годно. А вот если любой зарубежный сайт для российских пользователей внезапно окажется подписанным именно этими одним-двумя центрами - то это такое шило, которое в мешке не утаишь.

Наконец, такой перехват очень легко сдетектировать при наличии собственного заграничного сервера - скажем, виртуальной машины в любом зарубежном облаке, что вовсе не такое уж разорительное дело. Помимо HPKP, могу назвать два способа:

1. Об одном уже писал: аутентификация с помощью своего клиентского сертификата, самоподписанного или выданного своим же самопальным CA. Даже если перехватчик может выдать клиенту безупречно подделанный серверный сертификат, выдать серверу поддельный клиентский он не сможет.

2. А вот второй: штука под названием cryptobinding / channel binding. Идея в следующем. Допустим, мы устанавливаем с сервером соединение по TLS, и затем запускаем с ним какой-то протокол аутентификации - скажем, Kerberos, NTLM или EAP. Пускай он использует обычные пароли. Но помимо зашифрованных паролей, мы с ним обмениваемся ещё и некоторыми контрольными суммами, удостоверяющими, что мы с сервером используем общие ключи для TLS - иными словами, и клиент, и сервер соединены прямой "трубой" TLS-соединения.
Если между нами вклинится перехватчик, пускай и с самым безупречным сертификатом, это уже будут две "трубы" - от клиента до перехватчика, и от перехватчика до сервера. Суммы не сойдутся и протокол аутентификации провалится.
В обычном IIS, включённым во всякую винду, эта фича существует под названием "Extended Protection for Authentication" и включается парой движений мышкой.

Ну и добавлю, что если бы массовый перехват происходил, то Талану было бы очень легко привести пример типа "зайдите на https://mail.google.com через российского провайдера и через украинского и сравните ключи". Пользу он этим принёс бы огромную, однако ж страшные глаза он делает, а конкретикой не балует. Самая крутая конктретика там такая:

Я попросил своего друга в Карелии поучаствовать в эксперименте, а именно: он поехал в приграничную зону с ноутбуком, пересек границу, купил финскую сим-карту, вставил ее в телефон и вернулся в Россию. Дальше он взял ноутбук, подключился к интернету через российскую сим-карту, зашел в Facebook, сделал скриншот ленты. После он перегрузил компьютер, сбросил кеш в браузере и зашел в Facebook, используя интернет финской сим-карты. Опять сделал скриншот. И это оказались две абсолютно разные по содержанию ленты, хотя пользователь один и тот же.

Holy Mother of God. :-) Если я в фейсбуке на F5 нажму, то тоже получу две разные по содержанию ленты, алгоритм фейсбука так работает. :-)


- Американцы отменили 35 организациям SSL-сертификаты. Это невероятно. Я, признаться, не верил, что США отменят SSL-сертификат Федеральной службе безопасности РФ. Но они отменили. Зайдите на официальный сайт ФСБ или Кремля, например. Что вы видите рядом с адресной строкой этих сайтов?
– Надпись "Not secure".
– Во-о-от, а обычно рядом с адресом любого сайта стоит значок замочка, то есть трафик защищен. А теперь у официальных сайтов ФСБ и Кремля, например, трафик не зашифрован. То есть США отозвали сертификаты большинству сайтов, связанных с официальной российской властью. На мой взгляд, это беспрецедентная демонстрация того, на что готов пойти Вашингтон, если Москва не начнет вести себя нормально.


Грандиозно, только жаль, что никаких подтверждений тому, что какой-то CA отозвал сертификат для https://fsb.ru мне найти не удалось. :-) Оный сайт сейчас действительно доступен лишь по HTTP, но сложно поверить, что если бы это был результат отзыва, то во всём Интернете про это знал бы лишь один Талан.

Короче, гражданин трепло, выступающее перед падкой на алармистскую риторику аудиторией.

Разное сетевое

У Микрософта нашли очередную дыру, и не абы где, а в святая святых, в домен контроллере. В общем, патчим, товарищи, не ленимся.




Там, похоже, читают мой бложик: cтоило обругать Azure Firewall, как в нём появилась именно та фича, которой мне и не хватало. :-) То есть можно указать в качестве destination любое имя, которое резолвится DNS в IP-адрес или список адресов, и Firewall разрешит (ну или заблокирует) соединение на любой из этих адресов, независимо от аппликативного протокола.

Но есть некоторая разница с Фортигейтом - для этой фичи Микрософт требуют превратить Azure Firewall в DNS proxy и настоятельно рекомендуют указать его внутренний адрес в качестве DNS-резолвера для всей живности, что будет через него свой трафик пускать. Делается это для того, чтобы минимизировать ситуации, когда Firewall резолвит то же имя в один список IP-адресов, а клиент - в другой.

Тем не менее, пока эта фича в preview и работает скорее теоретически. В моём опыте, примерно две трети соединений блокировались файерволлом даже тогда, когда он сам же клиенту список IP и резолвил. Правда, у DNS-имени, с которым я экспериментил, был очень короткий TTL, секунд в десять. Ну, будем надеяться, к запуску в продакшен её доведут до ума.




В связи с этими делами, стал стучаться в башку такой вопрос: поле Host в HTTP и SNI в TLS вводили, конечно, не ради файерволлов, а чтобы можно было множество сайтов на один серверный IP вешать. Но тем не менее, получилось довольно удобно, что теперь файерволл, работающий в режиме explicit / transparent proxy, может их использовать для сверки со своими правилами:
- и правила эти можно сделать гораздо более точными, чем если иметь для принятия решения лишь пару destination IP & port;
- и файерволл теперь может самостоятельно новое соединение к цели открыть, согласно собственному DNS lookup, независимо от destination IP в пакете, пришедшему от клиента;
- и заодно серверный сертификат может сверить на соответствие.

Так может стоит эту практику на прочие аппликативные протоколы распространить? Ну скажем, на NTP, IMAP, SMTP. Прописывать в явном виде "авторскую интенцию" - DNS-имя, на которое открывается соединение или посылается запрос.

В наш-то век облачных сервисов, когда то же DNS-имя переводится тем же самым DNS-сервером в разные списки IP в ответ на разные запросы, причём интервал между этими разными ответами может измеряться секундами, с традиционным файерволлом пытаться ограничивать исходящий трафик - практически безнадёжная задача, проще сразу "destination = ALL" прописать.

Из-за того иногда приходится прибегать к разным уродливым костылям, чтобы разрешить нужный исходящий трафик, не разрешая всё на свете. Ну, скажем, нужно позволить посылать письма через smtp.googlemail.com. Но поскольку даже если на файерволле можно прописать этот FQDN, по прежнему вероятна ситуация, когда клиент резолвнет этот адрес в IP1, а файерволл - в IP2 (даже используя тот же DNS-сервер!) и заблокирует соединение, то приходится идти на следующий некрасивый трюк: прописывать на внутреннем DNS-сервере (используемый ими обоими) зону smtp.googlemail.com с постоянным ограниченным набором IP-адресов - а дальше надеяться, что Гугл их в обозримом времени будет поддерживать в рабочем состоянии.




С другой стороны, это мне-то, решающему задачу ограничения исходящего трафика, это было бы удобно. Но вообще-то, это огромный вопрос - должен ли сетевой протокол быть дружелюбным к файерволлу или же напротив, максимально недружелюбным к нему - и вопрос этот политический. Если мы исходим из того, что государственная цензура - зло (а я так и считаю), то напротив, протокол должен быть как более непрозрачен, чтобы затруднить жизнь Великому китайскому файерволлу, Роскомнадзору и их аналогам. И тенденция идёт как раз в этом направлении - см. Encrypted SNI.

Наверное, дело решится настройкой, позволяющей клиенту запускать соответствующий протокол как в firewall-friendly, так и в unfriendly режимах. Корпоративные сети будут использовать первый, частные юзеры - второй. Серверам, по идее, должно быть всё равно.




Технически этот Encrypted SNI представляет собой раздражающий костыль. Давайте посылать юзеру шифровальный ключ в сертификате, а чтобы никто не догадался, какой именно сертификат (и сайт) запрашивается - разместим ещё один ключ в DNS, и пускай клиент свой запрос этим ключом шифрует. Блин, а почему б тогда сам первый ключ в DNS не разместить? А потому, что если враги его подменят, то это будет game over, а так они разве что увидят, на какой сайт юзер лезет. Хорошо, а по DNS-запросам они это не поймут? Поймут, но вот если юзер будет обращаться к заранее известным надёжным DNS-серверам, расположенным за границей, и само соединение с ними шифровать по TLS... Ну хорошо, а если враги запретят с такими серверами соединяться?...

В общем, похоже, пока моё старое предложение располагать крамольный сайт так, чтобы по хостнейму опознать его было нельзя, релевантности не теряет.

(no subject)

Самое впечатляющее кино, что я видел за последние года полтора - "The Nightingale". Сюжетно, в общем-то, это триллер о мести, но снят как очень, на мой не шибко образованный взгляд, качественный исторический фильм с оригинальным сеттингом: время действия - 1825-й, место - Земля Ван-Димена, ныне Тасмания.



Сюжетные ходы куда менее штампованные, как можно подумать по аннотации. Актёры малоизвестные, но играют, по-моему, на все сто. Аборигены действительно аборигены, актриса в роли главной героини действительно ирландка, звучат тасманийская речь* и гэлик, замечательные ирландские песни, и ощущению аутентичности это пошло на пользу.

(* Хотя на самом деле этот язык, Palawa kani, является реконструкцией с жалких ошмётков, оставшихся от нескольких тасманийских языков, и кроме кучки энтузиастов, им никто не пользуется.)

Ещё большой плюс: несмотря на то, что отношения между колонистами и туземцами - центральная тема, нет впечатления, что тебе пытаются пропихнуть какой-то идеологический мессидж, кроме общей гуманистической морали. Совсем неплохо по нынешним временам. Герои говорят и ведут себя как люди своего времени, не как наши современники, внезапно провалившиеся в прошлое (от Клайва Оуэна в своё время было полное ощущение, что это янки при дворе в теле короля Артура).

Из недостатков: главный гад слишком уж гадостный. На мой вкус, пересолили.

Кроме того, фильм реально тяжёлый и жестокий. Хэппи-энда не будет.

Кстати, та же режиссёр сняла классный хоррорный фильм "The Babadook" - тоже выходящий за границы своего формального жанра.
  • Current Music
    Emily Barker & The Red Clay Halo - A Spadeful Of Ground
  • Tags