> Хорошо, однако это не исключает того, что можно будет просто весь тлс
> трафик завернуть в тор через сокс5.TLS не позволяет врезать платные картинки или спереть пароли без провальных действий. В свете этого вопрос на счет участи "не TLS" тоже есть. Туннели решают проблему радикальнее.
Пример: 10.11.12.13 для меня всегда сервер почты. TLS ему не надо уметь, все равно без VPN не попадешь, а тот шифрованый. Если же я не доверяю своей инфраструктуре, TLS от этого не поможет. А так VPN и VM решают похожую задачу: отделяют логическое представление от физического.
> Я не имел и не хочу никаких виртуалок,
С учетом современных реалий не хучшая идея на свете: хорошо изолированый от основной системы "вратарь", экипированый, готовый к обстрелу шайбами имеет больше шансов чем мягкотелый десктоп, на котором много барахла и секурная конфига - задолбает.
Пример: на task-specific VM можно не уметь в модули ядра. А зачем? Бутлоадер и кернел? "Kernel magically appears". Кернел из VM нельзя заменить: нет такой абстракции. Это должно порадовать руткитчиков, максимум - патч в RAM до ребута и usermode пакости. Но на всякий случай я могу вон там в консольке дебагсервер запустить, или RAM дампнуть и пофиг живая ос или где. Хорошо быть гипервизором, что ни говори.
На железках сравнимые вещи возможны лишь местами, зависит от конфиги, и уж точно не про десктоп где это заколебет.
> уж лучше поставить тор клиента и заворачивать в него.
1. Одно другому не мешает.
2. Сильно пазные уровни изоляции, секурности и предсказуемости.
В моей конфиге ни бита трафа вообще никуда не попадет пока я не сделаю очень хитрый пинок программы. Так я узнал что г(н)омокалькулятор пытался апдейтить какие-то там курсы без спроса. На что был послан инфраструктурой в пешее эротическое, а лог, вот, запалил гада. Лишний повод заменить падлюку на кутевый вариант :)
> Попутно не занося денег говняным опсосам и ростелеку.
Так я тоже никому денег не заносил... просто декоррелировал малость мух от котлет.
> Ёта мне ничего не врезала и не подписывала, если что.
Я как-то не могу гарантировать себе что всегда буду гнать траф через 1 оператора, что у него везде покрытие есть, и что он не скурвится. Поэтому предпочитаю менее сферически-вакуумные решения, готовое.
> То что такое извратное проксирование тлс не дело nginx - я согласен,
> и зря туда напихали проксирование тцп/юдп - это тянет на отдельный
> продукт, пусть он и будет на базе сдк от нгинх.
У низ была какая-никакая инфраструктура и оно в простом виде не очень сложно само по себе, т.к. в конечном итоге ему один фиг надо уметь и вход и выход по хорошему, чего б при этом простой проксь не запилить? Но вон то уже не вписывается в ту идею и проксь получается какой-то не простой, и все это - только ради весьма специфичного кейса, при 100500 других решений тех проблем.
