得得

开源
FastGithub社区

建议删除 README 中“合法性说明”内容

wordlesswind 2021-12-06 14:12 22回复

根据《网络数据安全管理条例(征求意见稿)》第五章第四十一条规定:“国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。

任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务……”

http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

本项目已违反该《条例》规定,不再合规。

22 条回复
  • #1
    xljiulang 2021-12-06 15:12

    感谢提供最新的条例,我们将在深入讨论之后做一些相关决策

  • #2
    EzrealJ 2021-12-07 22:12

    认为目前为止 FastGithub没有违反规定

  • #3
    wordlesswind 2021-12-08 09:12

    认为目前位置 FastGithub没有违反规定

    我认为,FastGithub 属于用于穿透数据跨境安全网关的程序,干扰了数据跨境安全网关的正常工作,因此违反该《条例》规定。

    当然该《条例》目前并未生效,所以“目前位置”仍合规也说得通。但我仍然建议删除“合法性说明”。

  • #4
    xljiulang 2021-12-08 09:12

    我们正在确认是否符合新规,如果不符合新规,可能也不是简单的进行“删除合法性说明”操作,而是遵守新规,撤销项目或修改项目中不符合的那部分。

  • #5
    alexinea 2021-12-08 09:12

    《网络数据安全管理条例》从制定到正式实施之间还有一段时间,实施后具体细节也需要进一步明确。

  • #6
    EzrealJ 2021-12-08 23:12

    @wordlesswind 目前FastGithub做的事情是基于DNS返回的目标服务器地址,为用户建立可用且尽量优秀的连接,所有流量只有基础的证书加密,没有刻意隐藏流量特征来躲避审查;也未建立中转服务器来隐藏真实目标;因此认为并不属于“用于穿透数据跨境安全网关”。
    😂单纯的使用FastGithub并不能为您从中国大陆访问google.com提供任何突破性的帮助。

  • #7
    wordlesswind 2021-12-08 23:12

    @wordlesswind 目前FastGithub做的事情是基于DNS返回的目标服务器地址,为用户建立可用且尽量优秀的连接,所有流量只有基础的证书加密,没有刻意隐藏流量特征来躲避审查;也未建立中转服务器来隐藏真实目标;因此认为并不属于“用于穿透数据跨境安全网关”。 😂单纯的使用FastGithub并不能为您从中国大陆访问google.com提供任何突破性的帮助。

    显然 SNI 阻断是数据跨境安全网关的功能之一。虽然对于 GitHub,其并未进行阻断连接而是选择将 IP 扔进黑洞。但即便如此,如果 FastGithub 混淆了 SNI,导致数据跨境安全网关无法正确识别域名,自然属于“用于穿透数据跨境安全网关的程序”。

  • #8
    xljiulang 2021-12-10 11:12

    SNI是TLS握手中非必须的,TLS协议允许客户端携带或者不携带SNI,取决于服务端的需求。不携带SNI,也是标准的TLS握手,在未来版本中,TLS协议会把SNI都要进行加密,保证所有数据都加密,如果说客户端不携带SNI违反了新规,那么未来使用TLS1.3的加密SNI标准协议,也是违反了新规??

  • #9
    xljiulang 2021-12-10 11:12

    我们不知道数据跨境安全网关的功能,也不确定它的工作原理。假设它是使用SNI来做过滤功能,那么可能是使用了当前tls协议版本(tls1.2 tls1.3)握手内容(client hello)不加密的协议设计漏洞,但现实协议是,client hello的sni,可以没有,而且是朝着也加密的方向进化

  • #10
    wordlesswind 2021-12-10 12:12

    我们不知道数据跨境安全网关的功能,也不确定它的工作原理。假设它是使用SNI来做过滤功能,那么可能是使用了当前tls协议版本(tls1.2 tls1.3)握手内容(client hello)不加密的协议设计漏洞,但现实协议是,client hello的sni,可以没有,而且是朝着也加密的方向进化

    所以呢?GirHub 的 Client Hello 包含 SNI,
    屏幕截图 2021-12-10 124411
    如果假设成立,那 FastGithub 属于“用于穿透数据跨境安全网关的程序”,有问题吗?

    至于未来怎么发展,那是未来的事情。

    再极端一点设一个假设,如果 FastGithub 支持代理所有境外网站的流量,除了那些 IP 地址路由不通的(例如 Google),那是不是可以访问绝大部分被数据跨境安全网关屏蔽的网站?
    如果是,那 FastGithub 算不算“用于穿透数据跨境安全网关的程序”,如果算,那凭什么它只代理 GiHub 的流量了,就不算了?

  • #11
    xljiulang 2021-12-10 13:12

    我想表达的是,携带不携带SNI是客户端行为,用不用SNI是服务器行为,都是TLS协议范畴。至于不带SNI是不是就是违反了新规,这个还需要确定,也是问题的关键点。

  • #12
    wordlesswind 2021-12-10 13:12

    我想表达的是,携带不携带SNI是客户端行为,用不用SNI是服务器行为,都是TLS协议范畴。至于不带SNI是不是就是违反了新规,这个还需要确定,也是问题的关键点。

    那这里有一份相关资料以供分析:https://gfw.report/blog/gfw_esni_blocking/zh/

  • #13
    EzrealJ 2021-12-13 13:12

    我们鼓励和欢迎和谐的讨论,但从您的文字中,可以感受到一些不友好的语气,请注意您的言辞。
    另外,您提供的资料无法正常访问。

  • #14
    ViCrack 2021-12-14 10:12

    似乎卷起来了😂

    本站所有内容仅限用于学习和研究目的,不得将本站任何内容用于商业或者非法用途,否则一切后果由用户自负。

  • #15
    hrx521 2022-01-05 09:01

    我想说,做为一个追求自身技术能持续进步的普通开发者,想偶尔上一上全球最大最丰富的代码库网站学习,咋就这么难?我国计算机科学本来就起步晚,基础薄,为什么还要有这么多的障碍。我不能理解

  • #16
    HP-hhe 2022-01-11 13:01

    xiao niao

  • #17
    cancelpj 2022-01-17 12:01

    我们不知道数据跨境安全网关的功能,也不确定它的工作原理。假设它是使用SNI来做过滤功能,那么可能是使用了当前tls协议版本(tls1.2 tls1.3)握手内容(client hello)不加密的协议设计漏洞,但现实协议是,client hello的sni,可以没有,而且是朝着也加密的方向进化

    所以呢?GirHub 的 Client Hello 包含 SNI, 屏幕截图 2021-12-10 124411 如果假设成立,那 FastGithub 属于“用于穿透数据跨境安全网关的程序”,有问题吗?

    至于未来怎么发展,那是未来的事情。

    再极端一点设一个假设,如果 FastGithub 支持代理所有境外网站的流量,除了那些 IP 地址路由不通的(例如 Google),那是不是可以访问绝大部分被数据跨境安全网关屏蔽的网站? 如果是,那 FastGithub 算不算“用于穿透数据跨境安全网关的程序”,如果算,那凭什么它只代理 GiHub 的流量了,就不算了?


    合法性问题的关键点应该是确认 github.com 网址是否有被国家数据跨境安全网关纳入禁止传输的信息而予以阻断传播吧?

    1)从公民和普通互联网用户角度讲,事实是该网址可以访问,但访问速度不稳定,没有任何证据证明对该网址的访问体验不佳是安全网关的“管理效果”还是运营商的商品质量问题,更没有任何法规能够明确该网址在中国境内访问是不合法的。

    2)从技术角度讲,关于安全网关的工作原理一切都是猜测,不能用一个加速工具采用什么样的技术来假设它是否干扰了安全网关的工作,除非它使用了法规明确禁止的技术,例如VPN。

    基于以上事实,把 FastGithub 定义为“属于用于穿透数据跨境安全网关的程序”合适,还是定义为一个类似于网游加速器之类的“提高对特定网址的访问体验的加速工具”合适?

  • #18
    wordlesswind 2022-01-17 12:01

    我们不知道数据跨境安全网关的功能,也不确定它的工作原理。假设它是使用SNI来做过滤功能,那么可能是使用了当前tls协议版本(tls1.2 tls1.3)握手内容(client hello)不加密的协议设计漏洞,但现实协议是,client hello的sni,可以没有,而且是朝着也加密的方向进化

    所以呢?GirHub 的 Client Hello 包含 SNI, 屏幕截图 2021-12-10 124411 如果假设成立,那 FastGithub 属于“用于穿透数据跨境安全网关的程序”,有问题吗?
    至于未来怎么发展,那是未来的事情。
    再极端一点设一个假设,如果 FastGithub 支持代理所有境外网站的流量,除了那些 IP 地址路由不通的(例如 Google),那是不是可以访问绝大部分被数据跨境安全网关屏蔽的网站? 如果是,那 FastGithub 算不算“用于穿透数据跨境安全网关的程序”,如果算,那凭什么它只代理 GiHub 的流量了,就不算了?

    合法性问题的关键点应该是确认 github.com 网址是否有被国家数据跨境安全网关纳入禁止传输的信息而予以阻断传播吧?

    1)从公民和普通互联网用户角度讲,事实是该网址可以访问,但访问速度不稳定,没有任何证据证明对该网址的访问体验不佳是安全网关的“管理效果”还是运营商的商品质量问题,更没有任何法规能够明确该网址在中国境内访问是不合法的。

    2)从技术角度讲,关于安全网关的工作原理一切都是猜测,不能用一个加速工具采用什么样的技术来假设它是否干扰了安全网关的工作,除非它使用了法规明确禁止的技术,例如VPN。

    基于以上事实,把 FastGithub 定义为“属于用于穿透数据跨境安全网关的程序”合适,还是定义为一个类似于网游加速器之类的“提高对特定网址的访问体验的加速工具”合适?

    您这种说法跟“无法百分百排除病毒来源实验室的可能性”有什么区别?

    我们确实无法百分百确认“网关”的工作原理,但是通过类似于 FastGithub 等网络加速器进行访问,访问就变得较稳定起来了,诶,你说奇不奇怪?

  • #19
    wordlesswind 2022-01-17 12:01

    这个 issue 已经一个多月了,既然你们还没讨论出个结果那我也不等了,祝好。

  • #20
    cancelpj 2022-01-17 13:01

    1、你不能以你提出issue的时间来衡量每一个参与讨论的人了解到该项目的时间。
    2、请不要拿“无法百分百排除病毒不是来源实验室”来相提并论,正因为大家都能理解这个在缺乏证据前提下的有罪推定是错的,所以我们才不应该对 fastgithub 进行同样缺乏证据前提下的有罪推定,对不对?舆论是舆论,而法律判断应该是有严肃的推导逻辑的。

    也许你已经有了自己的答案,可以不再参与讨论了,但我觉得类似问题值得持续关注,国家在不断健全互联网法律法规,什么时候能够把内容安全审查这条线画的更清楚一些,帮助普通人更好的知法、守法,这是我们所期待的。

  • #21
    wordlesswind 2022-01-17 13:01

    1、你不能以你提出issue的时间来衡量每一个参与讨论的人了解到该项目的时间。 2、请不要拿“无法百分百排除病毒不是来源实验室”来相提并论,正因为大家都能理解这个在缺乏证据前提下的有罪推定是错的,所以我们才不应该对 fastgithub 进行同样缺乏证据前提下的有罪推定,对不对?舆论是舆论,而法律判断应该是有严肃的推导逻辑的。

    也许你已经有了自己的答案,可以不再参与讨论了,但我觉得类似问题值得持续关注,国家在不断健全互联网法律法规,什么时候能够把内容安全审查这条线画的更清楚一些,帮助普通人更好的知法、守法,这是我们所期待的。

    在这里您偷换了一个概念,我说的与“无法百分百排除病毒来源实验室的可能性”相对的是您说的“从技术角度讲,关于安全网关的工作原理一切都是猜测”,而不是所谓的对 FastGithub 做有罪推定。

    基于这一点,我们没有必要讨论下去了,因为您这里设置了一条标准:只要不是明确的无法访问网站,都无法看作是“网关”在工作。

    而事实上,有不少人在研究“网关”的工作原理,我在 https://github.com/dotnetcore/FastGithub/issues/101#issuecomment-990624728 就有张贴一份研究报告。你们没有正视问题,何谈解决问题。

  • #22
    ViCrack 2022-01-17 14:01

    @wordlesswind 有人早就说了,你张贴的那东西网址在中国境内都打不开,是属于中国合法官方的来源研究报告么?