ShadowTLS: прячем туннель за TLS-рукопожатием

Как протокол заимствует чужое рукопожатие, почему v1 и v2 были дырявыми, что именно в v3 нашёл Aparecium и где у этого подхода архитектурный потолок Большинство прокси-протоколов пытаются выглядеть как HTTPS: генерируют свой сертификат, настраивают TLS, надеются что DPI не присмотрится слишком внимательно. ShadowTLS идёт другим путём — берёт чужое рукопожатие целиком, не подделывая ничего Пока TLS-рукопожатие идёт, всё что видит анализатор трафика — честный ClientHello, честный ServerHello, честный сертификат настоящего сервера-донора. Всё что происходит после завершения рукопожатия — туннельный трафик. К тому моменту DPI должен был уже принять решение пропустить соединение. Прежде чем читать дальше. ShadowTLS v3 на март 2026 года работает не везде и не всегда. В июне 2025-го инструмент Aparecium показал два воспроизводимых вектора детекции: фиксированная разница в длине ServerFinished и некорректная обработка NewSessionTicket от OpenSSL-серверов. Против провайдеров с базовой SNI-блокировкой без активного зондирования протокол вполне работает. Против ТСПУ с активным зондированием риск реальный. Статья описывает архитектуру и механизм работы, а в конце разбирает где и почему детекция срабатывает.

https://habr.com/ru/articles/1011278/

#shadowtls #tls #proxy #hmac

ShadowTLS: прячем туннель за TLS-рукопожатием

Как протокол заимствует чужое рукопожатие, почему v1 и v2 были дырявыми, что именно в v3 нашёл Aparecium и где у этого подхода архитектурный потолок Большинство прокси-протоколов пытаются выглядеть как HTTPS: генерируют свой сертификат, настраивают TLS, надеются что DPI не присмотрится слишком внимательно. ShadowTLS идёт другим путём — берёт чужое рукопожатие целиком, не подделывая ничего Пока TLS-рукопожатие идёт, всё что видит анализатор трафика — честный ClientHello, честный ServerHello, честный сертификат настоящего сервера-донора. Всё что происходит после завершения рукопожатия, туннельный трафик. К тому моменту DPI должен был уже принять решение пропустить соединение.

https://habr.com/ru/articles/1009624/

#ShadowTLS #TLS #ТСПУ #DPI #Aparecium #NewSessionTicket #HMAC #обход_блокировок #прокси

Python vs JS Signed URLs: Hotlink Pirates Blocked

Short-lived links that die before they go viral.

#python #javascript #signedurls #expiry #hotlinking #hmac #viralcoding #codecomparison #media #security

https://www.youtube.com/watch?v=sr5LSgTfZbE

HMAC GONE FOR GOOD: Harrisburg Midtown Art Center shuts TONIGHT over city tax battle. Employees begged Council for help TODAY—but is it too late? 1,200+ locals flooding #SaveHMAC with concert memories as city faces backlash. FULL BREAKDOWN + how to demand change. #Harrisburg #HMAC #EntertainmentNews #LocalNews

🔗 Full Story: https://www.talknation.site/2026/02/harrisburg-bar-entertainment-venue.html

#news #tech #talknation

Secret Rotation Dual Keys

Accept new keys without breaking old clients.

#php #python #secretrotation #hmac #auth #backwardscompatible #security #backendsafety #reliability #viralcoding

https://www.youtube.com/watch?v=kzoUdtY3adM

Webhook Signature Rotation

Verify with old and new secrets during cutover.

#php #python #webhooks #hmac #secretrotation #security #backendsafety #reliability #payments #viralcoding

https://www.youtube.com/watch?v=gW9IjvBPfKI

Signed URL Expiry That Stops Hotlink Pirates

Short-lived links that die before they go viral.

#python #php #signedurls #expiry #hotlinking #hmac #viralcoding #codecomparison #media #security

https://www.youtube.com/watch?v=XWW_q6HVGMQ

Signed URL with Hard Expiry

Stop hotlinking with nonce, expiry, and tamper-proof signatures.

#php #python #signedurls #cdnsecurity #hmac #expiry #antihotlink #backendsafety #security #viralcoding

https://www.youtube.com/watch?v=WMVblvsCiG0