CDN-„Boobs-Check“-Methode zur Überprüfung, ob eine Website hinter einem CDN in Iran gehostet wird

Hacker-News-Kommentar

• Das funktioniert nur, wenn der Reverse Proxy oder das CDN so konfiguriert ist:
  Proxy/CDN: HTTPS(443) → Origin-Server: HTTP(80)
  Zum Beispiel arbeitet der Flexible-Modus von Cloudflare auf diese Weise
  Wenn der Origin-Server korrektes TLS verwendet (sogar mit einem selbstsignierten Zertifikat), funktioniert diese Methode nicht
  Sie ist also nur erfolgreich, wenn die Upstream-Verbindung nicht verschlüsselt ist
  Zum Testen kann man den folgenden Befehl verwenden
  curl [http://www.digiboy.ir/boobs.jpg](http://www.digiboy.ir/boobs.jpg) -v

  • Ach, Cloudflare. Klingt wie der am weitesten verbreitete Entschlüsseler der Welt
  • Wie beim DigiNotar-Vorfall funktioniert das auch, wenn man die einzige Root-CA verwendet, die vom National Information Network des Iran genehmigt ist
  • Das scheint nicht zu stimmen. Ein Reverse Proxy oder CDN kann die vollständige Request-URL auch dann sehen, wenn der Origin-Server TLS verwendet (sofern es kein mTLS ist)
    Es ist nicht klar, ob die Filterung im Proxy/CDN oder am Origin erfolgt. Beides ist möglich
  • Ich habe selbst eine ähnliche Konfiguration verwendet
    Client → LB(nginx) → TLS-Terminierung auf dem LB → Weiterleitung an Backend-nginx per proxy_pass
    Das Setup war überraschend einfach. Ich frage mich, warum noch immer HTTP verwendet wird
    Selbst zu Hause habe ich auf allen lokalen Domains Let's-Encrypt-Zertifikate
    Zur Info: nginx unterstützt bei HTTPS-Load-Balancing kein HTTP/2, deshalb will ich auf haproxy umsteigen
  • Digiboy ist eine Fundgrube für Enterprise-Software. Ich habe dort eine raubkopierte HPE-iLO-Lizenz gefunden

• Ich frage mich, wie das bei HTTPS funktionieren soll
  Zwischenstationen sollten den Pfad doch nicht sehen können — heißt das, dass TLS an der iranischen Grenze terminiert und dann geproxyt wird?
  Falls ja, würde das bedeuten, dass alle Seiten im Iran nur über HTTP gehostet werden, und das hätte eine viel größere Bedeutung
  Vielleicht dürfen Zertifizierungsstellen iranischen Organisationen keine privaten Zertifikate ausstellen? Einschließlich Let's Encrypt?

  • Hier geht es um etwas anderes. Es geht darum festzustellen, ob sich der Backend-Server innerhalb oder außerhalb des Iran befindet
    TLS verhindert nicht, dass das Backend-Netzwerk die URL lesen kann
  • Ein großer Teil der Cloudflare-Upstreams war früher Klartext (plaintext)
    Deshalb wurde CF dafür kritisiert, nur die Verbindung zwischen Client und CF mit TLS zu schützen, während CF–Server im Klartext lief
  • Genau. Im National Information Network (NIN) des Iran verwenden legitime Seiten die I.R.Iran CA oder schlicht HTTP
    Da eine NIN-Registrierung kaum Anonymität bietet, ist xkcd 538 ein ziemlich passender Vergleich

• Ich frage mich, warum jemand überhaupt wissen wollen würde, ob eine Website im Iran gehostet wird

  • Vermutlich, um ausländische Propaganda-Websites zu identifizieren
    Viele wenig bekannte Nachrichtenseiten, die in sozialen Netzwerken kursieren, sind in Wirklichkeit ausländische Psy-Op-Seiten
    Mit der im Artikel beschriebenen Methode könnte man im Iran basierte Seiten auf eine Blacklist setzen
  • Für US-Unternehmen sind Geschäfte mit dem Iran illegal
  • Ich persönlich würde mit denen auch nicht Geschäfte machen wollen
  • Vielleicht hängt es mit protestbezogenen Aktionen zusammen, aber ich weiß es nicht genau

• Ich frage mich, ob es eine Beispiel-Website gibt, die so eine Antwort zurückliefert

  • Ich würde auch gern eine Beispielseite sehen, bei der der Request erfolgreich verarbeitet wird ;)
  • Als Beispiel gibt es tehranpich.com. Läuft hinter Cloudflare
  • Fragst du, ob es im Internet Boobs-Bilder gibt? (scherzhafte Reaktion)

• Bedeutet das also, dass der Iran einen Reverse Proxy vor den gesamten HTTP-Traffic gesetzt hat?
  Ich frage mich auch, was auf der Webseite im iframe steht

  • Mit einer standardmäßigen DPI-Firewall ist das ohne Weiteres möglich. Kein Problem

• Früher habe ich mit Freunden einmal ein „Warnbild“ gesehen, gemischt aus Englisch und Arabisch
  Es sah aus wie eine Warnung der Zensurbehörde der iranischen Regierung, und wir hatten zum Spaß eingestellt, dass es bei 1 % der Forenanfragen angezeigt wird :)

• Ich habe den Artikel gelesen, verstehe aber nicht wirklich, was passiert ist. Kann das jemand erklären?

  • Wahrscheinlich so
    Wenn man einen Request GET [https://somedomain.com/boobs.jpg](https://somedomain.com/boobs.jpg) sendet,
    liefert ein Server außerhalb des Iran 404 (Not Found) zurück,
    während ein Server innerhalb des Iran 403 (Forbidden) zurückgibt, weil die Firewall das Wort „boobs“ erkennt und den Request blockiert
    Das heißt, der Request erreicht den Webserver gar nicht, sondern wird bereits von der Firewall gefiltert

• Könnte das nicht zum Scunthorpe-Problem führen?
  Ich frage mich, ob Vogelbeobachter beim Suchen nach „boobies“ genauso blockiert würden wie bei boobs.jpg

• Wird der Bereich 10.x.x.x dort also innerhalb des Iran öffentlich geroutet?
  Ich frage mich auch, warum die Regierung keinen eigenen IP-Adressraum verwendet

  • IP-Adressen sind teuer, sofern man nicht die USA ist.
    Vielleicht wird einfach ein übliches Filterprodukt für Unternehmen wiederverwendet.
    Am Ende funktioniert das iranische Internet wie ein riesiges privates Netzwerk
  • Ich habe auch einige iranische Websites getestet, aber weder 403 noch ein iframe gesehen

• Wenn man die Idee weiterdenkt: Wie wäre es mit einer Liste von Wikipedia-Links zu humanitären Inhalten, die in Zensurregimen wahrscheinlich blockiert würden?
  Zum Beispiel: Tiananmen-Proteste und Massaker, Korruptionsaffäre um Wen Jiabao, Epstein-E-Mails usw.
  Wie Fast.com von Netflix könnte ein solches Projekt das Zensursystem mit seinen eigenen Waffen schlagen