thùy linh đâu nói khơi khơi vậy sao biết đcgiúp em download hình 500px trên điện thoại với thím
thùy linh đâu nói khơi khơi vậy sao biết đcgiúp em download hình 500px trên điện thoại với thím
hình này thím ợ, nếu có cách áp dụng cho android thì tốt, vì em dùng script imageurlmax chạy ko đcthùy linh đâu nói khơi khơi vậy sao biết đc
thấy dùng userscript này download đc ấyhình này thím ợ, nếu có cách áp dụng cho android thì tốt, vì em dùng script imageurlmax chạy ko đc
500px
500px.com
vl 1 phát ăn luôn, đội ơn mod, em đang dùng Kiwithấy dùng userscript này download đc ấy
Picviewer CE+
Powerful picture viewing tool online, which can popup/scale/rotate/batch save pictures automaticallygreasyfork.org
xịnthấy dùng userscript này download đc ấy
Picviewer CE+
Powerful picture viewing tool online, which can popup/scale/rotate/batch save pictures automaticallygreasyfork.org
thread này có đủ hết mấy script đó r mà vào đây mà xem :vvl 1 phát ăn luôn, đội ơn mod, em đang dùng Kiwi
Cái ECH này để vượt nhà mạng kiểm soát DPI, nên nhà mạng tìm mọi cách để kiểm soát lại. FPT thì lúc trước mod nói chặn TLS 1.3 nên k sử dụng được ECH. Còn Viettel (mình đang xài) thì chỉ cần tắt IPv6 là truy cập được các trang bị nhà mạng chặn bằng DPI.Mình lấn cấn chỗ này.
Tình huống:
Với các gói tin (packet) Client Hello có SNI=medium.com thì nhận được response với flag RST (= Reset = Connection Reset) => không truy cập được medium.com.
- nhà mạng FPT
- trình duyệt bật ECH
Với các gói tin Client Hello tới những server có hỗ trợ TLS 1.3 mà không bị FPT chặn, chẳng hạn như voz.vn, dns.nextdns.io, profile.accounts.firefox.com, thì TLS handshake diễn ra bình thường.
Theo như hình dưới Wireshark capture
View attachment 2416846
ta có thể thấy phía sau 2 packets RSTs màu đỏ, thì ở packet số 87, medium.com vẫn ACK request Client Hello (số 76) như bình thường.
Vậy ta có thể đoán FPT đang chơi xấu bằng cách inject RST cho phía client, để quá trình handshake thất bại?
Họ dựa vào dấu hiệu nhận biết nào để inject RST với một số domain nhất định? IPs?
chú tư dùng ECH cũng ko vượt đc chủ tịch, IPv6 auto tắt.Cái ECH này để vượt nhà mạng kiểm soát DPI, nên nhà mạng tìm mọi cách để kiểm soát lại. FPT thì lúc trước mod nói chặn TLS 1.3 nên k sử dụng được ECH. Còn Viettel (mình đang xài) thì chỉ cần tắt IPv6 là truy cập được các trang bị nhà mạng chặn bằng DPI.
Hmm.. có khi nào viettel cũng chặn giống 2 nhà mạng kia k nhỉ? Hiện tại mình tắt ipv6 trình duyệt là vào được, mở lên thì k truy cập được thôi!chú tư dùng ECH cũng ko vượt đc chủ tịch, IPv6 auto tắt.
vẫn phải dùng goodbyeDPI
cover.defo.ie
. Đây là SNI bọc bên ngoài (outer SNI). Còn SNI (host name) thật mà mình đang truy cập là defo.ie
được mã hoá bên trong extension encrypted_client_hello
. (Xem thêm hình minh hoạ.)cloudflare-ech.com
. Host name mình đang truy cập là crypto.cloudflare.com
. Hai host name khác nhau đúng không?cloudflare-ech.com
. Tuy nhiên, host name thực tế là encryptedsni.com
.Khi truy cập vào medium.com (với nhà mạng không chặn Medium), ta thấy server Medium có hỗ trợ TLS 1.3 và extensionHọ dựa vào dấu hiệu nhận biết nào để inject RST với một số domain nhất định? IPs?
encrypted_client_hello
trong Client Hello packet. Tuy nhiên, SNI = medium.com
. FPT chặn theo plain SNI này? Nếu Medium đổi SNI này thành một giá trị khác, ví dụ như example.com
thì FPT có còn chặn được nữa hay không? Mình chưa (đủ kiến thức để) kiểm chứng giả thiết này.Cloudflare có một thời gian đã triển khai ECH mặc định cho tất cả khách hàng ở free zone. Với khách hàng trả phí thì ECH là opt-in feature.[1] Tuy nhiên, chỉ sau khoảng 2 tuần, họ đã tắt tính năng này, chưa biết bao giờ bật lại, và cũng không có ETA.[2]Cái ECH này để vượt nhà mạng kiểm soát DPI, nên nhà mạng tìm mọi cách để kiểm soát lại.
Có thể FPT đã từng chặn TLS 1.3 như mod nói. Hoặc mod sai, điều đó là chuyện bình thường.FPT thì lúc trước mod nói chặn TLS 1.3 nên k sử dụng được ECH.
xài modem draytek thì phong phú, dns draytek free hay dynu đầy đủ chứ xài mấy modem này thì chấp nhận thôi bạn à, mình cũng đang xài no-ip 30 ngày confirm 1 lần đâyCác bác cho em hỏi trong setting f606 của modem nhà em toàn có như vầy không có dynu, e thử cái gần giống tên nhất là dyndns, đổi server thành api.dynu.com nhưng cũng chả được thì làm thế nào ạ, xài no ip thì được nhưng mà 30 ngày bắt đk lại cũng bất tiệnView attachment 2420670
Modem heo quay 7 chữ cũng đủ các ddns màxài modem draytek thì phong phú, dns draytek free hay dynu đầy đủ chứ xài mấy modem này thì chấp nhận thôi bạn à, mình cũng đang xài no-ip 30 ngày confirm 1 lần đây
ngon hỷ, cái VNPT chỉ có mấy cái noip, dyndns, ...
Thanks thông tin của thím! Cái ECH vẫn còn "nháp" nên các trình duyệt kích hoạt trước, sau khi hoàn thiện server chỉ cần kích hoạt lên là quá trình bắt tay diễn ra ổn định hơn. Giờ giống như user đang sử dụng thử nghiệm đại trà, để dev kiểm thử hệ thống và cập nhật sửa lỗi.Điều kiện cần và đủ để đảm bảo bất cứ ai trên đường truyền (kể cả nhà mạng) cũng không biết được mình đang TLS handshake với host name nào:
Vài ví dụ server có hỗ trợ ECH:
- ECH cần bật ở phía client (trình duyệt)
- Server mà host website hỗ trợ TLS 1.3 và ECH extension
- Khi truy cập vào trang test ECH của defo.ie, quan sát trong Wireshark sẽ thấy SNI =
cover.defo.ie
. Đây là SNI bọc bên ngoài (outer SNI). Còn SNI (host name) thật mà mình đang truy cập làdefo.ie
được mã hoá bên trong extensionencrypted_client_hello
. (Xem thêm hình minh hoạ.)- Khi truy cập vào trang test ECH của Cloudflare, SNI =
cloudflare-ech.com
. Host name mình đang truy cập làcrypto.cloudflare.com
. Hai host name khác nhau đúng không?- Khi truy cập vào một trang test ECH khác của Cloudflare, SNI =
cloudflare-ech.com
. Tuy nhiên, host name thực tế làencryptedsni.com
.
Khi truy cập vào medium.com (với nhà mạng không chặn Medium), ta thấy server Medium có hỗ trợ TLS 1.3 và extensionencrypted_client_hello
trong Client Hello packet. Tuy nhiên, SNI =medium.com
. FPT chặn theo plain SNI này? Nếu Medium đổi SNI này thành một giá trị khác, ví dụ nhưexample.com
thì FPT có còn chặn được nữa hay không? Mình chưa (đủ kiến thức để) kiểm chứng giả thiết này.
Cloudflare có một thời gian đã triển khai ECH mặc định cho tất cả khách hàng ở free zone. Với khách hàng trả phí thì ECH là opt-in feature.[1] Tuy nhiên, chỉ sau khoảng 2 tuần, họ đã tắt tính năng này, chưa biết bao giờ bật lại, và cũng không có ETA.[2]
Nếu ECH được chuẩn hoá[3] và áp dụng rộng rãi thì nó sẽ đặt ra một bài toán khó cho nhà mạng trong việc chặn một vài tên miền nhất định. TLS 1.3 có độ bảo mật cao hơn TLS 1.2. Chặn hoàn toàn TLS 1.3, tức là bỏ (một chút?) bảo mật để đổi lấy quyền kiểm duyệt nội dung? Hay chơi bài bẩn bựa như cách GFW của Trung Quốc chặn kết nối sử dụng TLS 1.3 + Encrypted SNI trong quá khứ đây[4]?
Có thể FPT đã từng chặn TLS 1.3 như mod nói. Hoặc mod sai, điều đó là chuyện bình thường.
[1] Encrypted Client Hello - the last puzzle piece to privacy (https://blog.cloudflare.com/announcing-encrypted-client-hello/)
[2] https://community.cloudflare.com/t/...lo-ech-are-currently-disabled-globally/567730
[3] ECH hiện mới draft v18 TLS Encrypted Client Hello (https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni-18)
[4] Exposing and Circumventing China's Censorship of ESNI (https://gfw.report/blog/gfw_esni_blocking/en/)
View attachment 2420206
Do máy chủ DNS quản lý nhận dãy IP của thím sai vị trí đó, khởi động lại modem để nhận dãy IP rồi kiểm tra lại nha.mấy nay nextdns toàn cho đi Sì Gòn chủ tịch ơi.
View attachment 2420440
Có no-ip xài cái này cũng được, nhược điểm là 30 ngày dịch vụ gửi mail kêu kích hoạt 1 lần. Có hướng dẫn ở đây NextDNS (https://github.com/bigdargon/hostsVN/wiki/NextDNS#link-ip)Các bác cho em hỏi trong setting f606 của modem nhà em toàn có như vầy không có dynu, e thử cái gần giống tên nhất là dyndns, đổi server thành api.dynu.com nhưng cũng chả được thì làm thế nào ạ, xài no ip thì được nhưng mà 30 ngày bắt đk lại cũng bất tiệnView attachment 2420670
Trông mong gì mấy modem nhà mạng giờ thím, hãy bridge rồi mua router ngoài quay pppoe xài cho thỏa cơn vọc vạchngon hỷ, cái VNPT chỉ có mấy cái noip, dyndns, ...
K có rpi, mỗi tháng dô xác nhận 1 lần cũng nhanhThằng noip có cái script tự động gia hạn trc cài trên con pi mà h ko biết còn xài đc ko .