Спустя 22 года с момента формирования в 2002 году ветки 3.0 состоялся релиз прокси-сервера Privoxy 4.0.0, предназначенного для создания персональных фильтров web-контента. При помощи Privoxy можно вырезать рекламные вставки, отбрасывать отслеживающие Cookie, удалять всплывающие диалоги, блокировать загрузку стороннего JavaScript-кода и вносить необходимые пользователю произвольные изменения в web-страницы. Privoxy поддерживает установку как на локальные системы отдельных пользователей, так и на серверы для создания централизованной инфраструктуры фильтрации контента в локальной сети. Код проекта написан на языке Си и распространяется под лицензией GPLv2+...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62601
Многие не осознают этого, но при помощи сабжа можно блокировать рекламу на встроенных устройствах, если там есть возможность подгружать кастомный CA.
Так прокся сама должны уметь все подменять иначе зачем она нужна?
А как ты собрался подменять сертификат без добавления корневого на конечное устройство? Можно конечно и без него, но тогда браузер будет постоянно ругаться на атаку по середине (коей она и является).
Смотря, как блокировать рекламу, вот Pi-hole по доменам блочит
> вот Pi-hole по доменам блочитпо доменам малоэффективно, будет блочить только самую ленивую рекламу, а если реклама льется с целевого домена, то только митм и поможет.
Но зачем!?
Давно просто держё чорный список доменов в домашнем unbound.
Собственно давно = с тех пор как гугол начал по https отдавать рекламу.А так, году в 2005-7 я баловался привокси ещё под вендой, очень зачётно было.
Потом блокировки ушли в домашний сквид.
Потом в nginx (кеш стал не нужен).
И кончилось это unbound.
> Но зачем!?А затем, что список блокировок по домену до одного места сейчас во многих случаях. Да и кому эти квадратики пустые нравятся? А вот Privoxy может вырезать рекламу почти что не хуже uBlock Origin.
Да, но к сожалению дома затраты на администрирование перевешивают варианты с "квадратиками" при блокировке днс запросов.
У нас 4 активных пользователя, у каждого мобила, комп и местами планшеты, нинтендо свичи и прочее.
Я умахаюсь на каждый девайс втаскивать свой СА серт, даже с учётом того что андройды рутованные а на десктопах фря.А потом они выходят из дома и переключаются на мобильную сеть, где ничего не фильтруется...
Свой CA полезно иметь и для других задач, а установка его на каждое новое устройство займёт 2-3 минуты. Но если это Проблема, то за дело лучше не браться. А то ещё компилять придётся, т.к. на OpenWrt Privoxy собран совсем уж куценько и резать контент не умеет...P.S. Рутить девайсы у него время есть, с Фряхой возиться тоже, а вот CA свой завести времени не хватает. Чёто ору )))
В конце 2023 года я понял что слишком много времени трачу на администрирование и поддержку зоопарка техники.
С тех пор у меня две концепции:
- ещё больше автоматизировать
- избавлятся от того что нужно суппортитьДомашний СА - я как то пробовал в OpenSSL, мне очень не понравилось: сложно, непонятно, много ручной работы.
Андройды я тоже подзабросил - ставлю готовые сборки LOS, с ними сильно проще и быстрее, ну либо стараюсь брать кетайцев близких к ванильному андройду чтобы без мусора.
Вероятно я вернусь к теме своего СА когда сертификат на домашнем джаббер сервере протухнет, прямо сейчас и завтро трогать тему СА нет вообще никакой мотивации.
Привокси я чёто не хочу, мне и так "норм".
"Норм" - всмысле на меня и без этого давят домашние что то одно не работает то другое, даже когда проблема не в том что я делал. :)
> кетайцев близких к ванильному андройду чтобы без мусораМожете подсказать, пожалуйста, это какие?
Ulephone и наверное кто то ещё.
> Домашний СА - я как то пробовал в OpenSSL, мне очень не
> понравилось: сложно, непонятно, много ручной работы.EasyRSA.
Спс, попробую при случае :)
И на сколько он хуже/лучше squid-a?Например, как у него с web-stream, трансляциями аудио, видео ?
Это не про сквид это про цензуру.
Тебе бы значения слов поучить сначала
Цензура, по определению, может осуществляться только государством
А privoxy это про фильтрацию трафика для дома/офиса, то есть к цензуре не относится по определению
Кстати, сквид так же используется для фильтрации трафика
Это тебе бы их поучить.
В БРЭ или вики указывается что это ограничения власти. Не сказано что государственной. С этой точки зрения всякие ютубы и википедии тоже обладают властью над распространением информации, а значит могут проводить цензуру.
Указанная программа так же позволяет распространять свою власть над распространением информации на определённые программы и устройства. В чём противоречия?
Это немного другой продукт :)
Он заточен на динамическую модификацию контента и как минимум раньше у него вообще не было никакого кеша.
Squid поддерживает ICAP и имеет кучу модулей, в том числе модули для
1 блокировки URL
2 изменения содержимого страниц
3 проверку на вирусыПричем squid может хорошо делать MitM и для расшифрованного трафика по ICAP запускать цепочку проксей как выше, для фильтрации.
Хотел но не сумел расшифрованный squid трафик пропускать через privoxy, а потом назад возвращать в squid.
Privoxy надо было учить не SSL бампить, а работать по протоколу ICAP, тогда его, как модуль, можно было бы в цепочках проксей со squid-ом использовать.
Да умеет, умеет.
Только морально устарел.
Раньше помню как на весь город был канал в пару мегабит, и те кто сидел на частях этого щастья между собой кешами сквида дружили, дабы повысить хит ратио.Щас это всё интересно примерно никому.
Для всех описанных вами пунктов надо корячить свой СА и потом сертификат СА распихивать по всем девайсам.
Проверка на вирусы там так себе, мягко говоря, как по юзабилити так и по срабатыванию.
Да что угодно лучше сквирта, который из коробки не поддерживает socks5.
Например 3proxy.
Фильтрующие функции Privoxy в эпоху повсеместного распространения блокировщиков в браузере (UBO, NoScrypt, uMatrix, AdGuard, etc) оказываются совсем не нужными.
НО! У Privoxy есть уникальная киллерфича - маршрутизация HTTP(s) запросов в различные прокси.
Так выглядит правило направления в TOR запросов для доменов .onion/ и, например, co.uk/
{+forward-override{forward-socks5t 127.0.0.1:9050 .} }
.onion/
.co.uk/
С третьим манифестом становится полезным, всяко лучше страданий на лисе
Разработчики cromite и ungoogled chromium оставили второй манифест в новой версии. Ublock работает
Обои скучные. У корейского яндекс браузера красивее
А на ТВ слабо рекламу заблокировать без Privoxy? А в браузере, в котором нет uBO? Privoxy хотя бы даёт надежду это сделать при некотором стечении обстоятельств (кастомный CA установить нужно мочь).
на тв можно установить кастомный клиент ютуба который рекламу вообще не показывает.
> на тв можно установить кастомный клиент ютуба который рекламу вообще не показывает.Мир не ограничивается ютубом. Я тебе говорю о более универсальном решении.
Открой для себя Pihole и внезапно реклама исчезнет
> Открой для себя Pihole и внезапно реклама исчезнетАнонимус-сказочник... - ничего нового.
>маршрутизация HTTP(s) запросов в различные проксиМожно организовать обработку списка блокировки?
Ну да. Я так и делаю.
Некоторые сайты блокируют доступ из РФ (You are unable to access redis.io). Завертываем посредством Privoxy запросы к redis.io через TOR и ни каких проблем (только медленнее чуть-чуть){+forward-override{forward-socks5t 127.0.0.1:9050 .} }
.onion/
.redis.io/
.gnu.org.ua/
плагин foxyproxy использую, чтобы .onion (и др.) в TOR отправлять
С ECH несовместимо. Это в браузере надо делать. Только все реализации, что я видел, - говно лютое, вместо префиксного дерева используют ... перебор шаблонов. Как-нибудь придётся написать свою.
Эээээээээ
Но для этого не нужен никакой привокси.
Достаточно на джаве написать свой proxy.pac и сказать браузеру его юзать. Сказать можно как руками так и по dhcp отдать URL на этот файлик.
>не нужен никакой привокси. Достаточно на джаве написать свой proxy.pacЭээээээээ. Вот сразу виден теоретик.
Попробуй напиши правила для .onion/ в proxy.pac и посмотри, что в реальности получится. И если для Fifrefox-based существует настройка network.dns.blockDotOnion=true, то для Chromium-based без Privoxy сходить в .onion/ не получится.
Сам ты теоретег.
В wpad.dat (proxy.pac) должна быть реализована функция на жабскрипте:
function FindProxyForURL(url, host) { return "DIRECT"; }Те тебе браузер сразу отдаёт и URL и HOST.
Дальше ты средствами жабаскрипта описываешь идти напрямую и тогда: return "DIRECT"; или идти через прокси и тогда ты возвращаешь вместо DIRECT адрес прокси.Какая то версия антизапрета где была прокся для обхода блокировок именно так и работала, там просто был большой список доменов.
А уж как из scam.onion сматчить что там есть .onion ты и сам наверное в силах догадатся с помощью щитгпт или стаковерфлоу.
Собственно вот:
https://gist.github.com/darrenpmeyer/335e8ebad85d4af263c56c5...
https://github.com/moonchitta/anonsurf-ubuntu/blob/master/on...
https://www.linux.org.ru/forum/general/12422033А тут расписано что можно ещё и как:
https://en.wikipedia.org/wiki/Proxy_auto-config
https://developer.mozilla.org/en-US/docs/Web/HTTP/Proxy_serv...
https://www.websense.com/content/support/library/web/v76/pac...
Жду от вас репорта о том что именно и почему не работает :)
Вроде русским языком написал: "напиши правила для .onion/ в proxy.pac и посмотри, что в реальности получится" - все бестолку - в ответ одни рассуждения.>Жду от вас репорта о том что именно и почему не работает :)
А вот реально СДЕЛАЙ proxy.pac для, например, DuckDuckGo https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswz...
и напиши сюда, что оно работает (вместе с твоим proxy.pac)
Хочешь сказать что с верхних трё ссылок не работает?Мне чтобы сделать то что ты просишь придётся ещё сетапить тор где то дома.
Я подумаю, вероятно даже сделаю, но не прям завтра.
Если хочешь оставь почту/жаббер там спишемся.
У фурифокса есть такая же килерфича - *.pac
Аналогично использую сабж - перебрасываю соединения к доменам из списка через локальный Tor. В том числе .onion домены. Раньше, до повсеместного использования https, использовал такое правило: /.*(\?|\&)tor$
Отличная штука, уже три года пользуюсь но незнал всех фич. Будем изучать.
> mbedTLS 3.x для работы режима инспектирования HTTPS. По сравнению с mbedTLS библиотека wolfSSL поддерживает TLS 1.3 и работает в два раза быстрееИ зачем такой mbedTLS нужен? TLS 1.2 уже никакие сайты не должны поддерживать.
Кому не должны?
У вас со всеми сайтами подписан договор где это прописано?
Все бы ничего, но почему в сборке под Винду FEATURE_HTTPS_INSPECTION = No?
Касперский удаляет файл tests/cts/content-filters/data/test33 (https://www.privoxy.org/gitweb/?p=privoxy.git;a=blob;f=tests...) если склонировать репу (из-за слова Nimda по всей видимости).
Если программа имеет признаки и завяленную функциональность, свойственные компьютерным вирусам, то это вирус и есть.
Она же не заражает другие исполняемые файлы. И вообще никак не самораспространяется.
Интересно, а в OpenWRT оно есть?
https://openwrt.org/docs/guide-user/services/proxy/privoxy
https://github.com/openwrt/luci/blob/master/applications/luc...
Есть, конечно
https://openwrt.org/docs/guide-user/services/proxy/privoxy
Даже Since OpenWrt Chaos Calmer (trunk) there is also available a corresponding LuCI application to support setting of Privoxy configuration via Web-GUI.
Странный вопрос. OpenWrt это обычный Linux дистрибутив, там будет работать большинство софта, который работает в других Linux дистрибутивах.Если нет пакета в репозитории OpenWrt, неужели это кого то остановит от запуска программы другим способом :)
> Странный вопрос. OpenWrt это обычный Linux дистрибутив, там будет работать большинство
> софта, который работает в других Linux дистрибутивах.Как-то не задавался целью вызубривать всю пакетную базу какого-либо дистра :). А сабжем не интересовался до этой статьи.
> Как-то не задавался целью вызубривать всю пакетную базу какого-либо дистра :). А
> сабжем не интересовался до этой статьи.Во всех дистрах своего специфического мало, в основном это стандартный набор GNU пакетов + отдельно взятые популярные программы. На тот же OpenWrt можно установить пакетный менеджер Nix и заполучить гигантскую базу пакетов, чуть-чуть недотягивающую до AUR (не по количесству пакетов, а по их уникальности, AUR всё ещё лидер)
Использую adguard home, удобная и простая настройка. Можно как на одном устройстве поднять, так и на всей домашней сети, если есть отдельная машина, цена данного не особо-то и большая
А без MitM сабж может по url резать HTTPSтипа
https://habr.com/ru/articles/267851/
?
Это легко делается и на nginx.
Только смысла в этом нуль, проще просто порезать через ДНС данные домены.
Там автор сам в коментах пишет что ему не просто резать надо а ещё статистику вести кто куда лазал.
А разве в HTPPS виден весь URL? Только домен.
для "обдирания" вэба до уровня plain-text сабж - прекрасен!
Кто-то просто не осилил rejik
Народ кто может помочь. Группа какая нибудь установил привокси 4.0 на мак ось
А как настроить на блокировку рекламы.. без понятия. Нигде ничего видосов нет и группы в телеграме искал. Интернет чистый ненашел. Мой тг @dimmiart киньте в телегу мануал или конфиг для блока рекламы. Или направьте на поиски конфига