[YuryD]

 

Письмо пришло без ЭЦП, тупо электронкой. Не то, что у РКН, там все чинно-благородно, ЭЦП, все дела. А эти в РЧЦ какие-то дикие.

 

А вам-то какая разница ? Коробочку всё-равно в РЧЦ получать.

[Связной (С)]

ALaddin, как таковой "оригинал" на руки не установлен. А по сути это конечно хаос и бардак.

[ylkiselev]

RegisterCheck v1.9.9 с актуальным реестром дает совсем другой результат (0,59%)

RegisterCheck без соответствующей настройки тегов будет выдавать результаты близкие по значению к дню рождения бабушки в степени возраста дедушки. Особенно при использовании переадресации запросов и страниц заплаток, при простом Drop можно это не делать. Настройка закладки "Поиск" просто необходима для корректной работы этой программы. У нас RegisterCheck выдает при проверке 1-2 сайта. Достаточно часто в 0. Что нельзя сказать о предлагаемом I.G.B. продукте. Чисто риторический вопрос: Кому доверять? Думаю ответ очевиден. Необходимо допиливание продукта в направлении настроек.

Теги настроены.

В предлагаемом IGB продукте (в бесплатной мобильной версии) нет логов, я должен просто им доверять.

[disappointed]

Коробка подала признаки жизни, коннектится к хостам по списку реестра,

к днс не обращается вообще, использует айпишники из реестра (или я не дождался,

но при мне на 53 порт никаких обращений не было), соответственно т.к. у меня осуществляется подмена

на днс-е, то успешно открывает всё по списку.

[big-town]

Коробка подала признаки жизни, коннектится к хостам по списку реестра,

к днс не обращается вообще, использует айпишники из реестра (или я не дождался,

но при мне на 53 порт никаких обращений не было), соответственно т.к. у меня осуществляется подмена

на днс-е, то успешно открывает всё по списку.

 

Значит можно домены больше не резолвить:).

 

Тут прозвучали некоторые фразы, которые я бы хотел уточнить.

1. Получать реестры каждый час. Вы откуда это взяли? Что я читал требовало не реже раза в сутки.

Мы так и делаем, от РКН претензий не имеем.

2. Якобы оштрафовали за не блокировку ресурса с IP которого не было в реестре. А как же CDN-сети?

Вообще вопрос очень скользкий про резолвинг, меня законодатель не наделял правом самостоятельно выявлять параметры ресурсов подлежащих блокировке. И их "рекомендации" по большому счету не законны. Но ладно резолвиг так резлвинг. Но всю же сеть по DNS запросу не получим.

 

Но и так по чесноку, у всех процент блокировки 100%?

 

Я обращался в РКН с вопросом о допустимом проценте, меня просто футболили и на третьем запросе я просто забил. Эту тему я уже поднимал здесь.

Изменено 20 января, 2016 пользователем big-town

[amurblaga]

Как бывший работник надзора который работал именно с блокировкой.

 

Процент = 0 и больше не обсуждайте это.

Выгрузка 2 раза в сутки в 9 утра и в 21 вечера по МСК. Написано в законе.

Есть адреса которые необходимо заблокировать в течении 1 часа. Написано в законе.

 

Сейчас где работаю, настроили выгрузку таким образом чтобы проверка выгрузки происходила каждый час, если есть изменения, то её скачиваем.

Блокируем как по закону IP, DOMEN, URL. плюс перехват 53 порта.

 

Дальше все зависит от адекватности инспектора.

Если сказали оштрафовать, то оштрафуют. И не чего не поможет.

Сказали не трогать, можешь не выгружать и не блокировать. Трогать не будут.

Говорю из опыта.

Это одна из причин по которой меня заставили уволиться. Боролся за равные условия для всех.

 

P.S.Оператор обязан блокировать доступ к ресурсам внесенным в единый реестр. Если Вы включили Opera Turbo и вышли на запрещенный сайт формально вы нарушили закон, так как не приняли меры по блокировки. (В законе нет оговорки "На сети оператора").

Изменено 20 января, 2016 пользователем amurblaga

[big-town]

Процент = 0 и больше не обсуждайте это.

 

Это теоретически, практически это не возможно. Я понимаю почему мне ни кто не хотел отвечать на этот вопрос и спихивали от отдела на отдел. Ну да ладно.

Выгрузка 2 раза в сутки в 9 утра и в 21 вечера по МСК. Написано в законе.

Есть адреса которые необходимо заблокировать в течении 1 часа. Написано в законе.

 

Можете ссылку на закон дать.

Дальше все зависит от адекватности инспектора.

Если сказали оштрафовать, то оштрафуют.

 

С этим уже сталкивались, произошло это во время смены сертификата. От нас запросы шли а ответов выгрузки не было и без разбора штраф влепили. А после прислали бумагу, что для разрешения спорных ситуаций просьба сохранять файлы запросов.(это не точная формулировка, но что то в этом духе) Значит явление носило массовый характер.

[Галушко Дмитрий]

Сейчас они мониторят выгрузку реестров. Реестр скачивается только с использованием ЭЦП провайдера. Так они определяют какой провайдер не скачивал реестр.

Если выгрузка не производилась, значит блокировки не совершалось, соответственно административное наказание за нарушении лицензионных условий.

Это уже прошлый век. Вы сильно отстали от жизни.

Вы Форум то почитайте, или Архангелам не до этого?

[Галушко Дмитрий]

Про написано в законе:

В соответствии с частью 10 статьи 15.1 Закона об информации

в течение суток с момента включения в реестр сетевого адреса, позволяющего идентифицировать сайт в сети "Интернет", содержащий информацию, распространение которой в Российской Федерации запрещено, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому сайту в сети "Интернет".

 

В соответствии с Правилами создания, формирования и ведения Реестра, утвержденными постановлением Правительства РФ от 26.10.2012 N 1101,

перечень доменных имен, указателей страниц сайтов в сети "Интернет", а также сетевых адресов, позволяющих идентифицировать сайт в сети "Интернет", доступ к которым обязан ограничить оператор связи, оказывающий услуги по предоставлению доступа к сети "Интернет", обновляется ежедневно в 9 часов 00 минут и в 21 час 00 минут по московскому времени.

если НПА, зареген Минюстом, считайте его законом.

 

ПРИКАЗ Роскомнадзора от 12 августа 2013 г. N 912 (Зарегистрировано в Минюсте России 26 ноября 2013 г. N 30454 О ПОРЯДКЕ ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ВЗАИМОДЕЙСТВИЯ

28. Выгрузка информации об информационных ресурсах, в отношении которых требуется принятие мер в соответствии с частью 5 статьи 15.2, статьей 15.3 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", предоставляется операторам связи посредством Системы взаимодействия круглосуточно в автоматическом режиме.

 

+ ПРИКАЗ Роскомнадзора от 21 февраля 2013 г. N 169 (арегистрирован в Минюсте России 29 марта 2013 г. N 27921)

2. Оператору связи обеспечивается в круглосуточном автоматическом режиме выгрузка следующей информации из реестра:

[Галушко Дмитрий]

П.С. Вспомним классиков: У нас есть законы, строгие, очень строгие и совсем строгие,

по каким Вас судить?

[big-town]

Спасибо Дмитрий за приведенные ссылки. Но я так и не нашел в контексте "Есть адреса которые необходимо заблокировать в течении 1 часа. Написано в законе." Второй момент, в 9 и 21 предоставляются сведения, а оператор обязан блокировать в течении суток. Если я не прав, поправьте.

[disappointed]

Мне местные с РЧЦ сказали, что блокирование подменой А-записей на днс неэффективное,

вроде как клиент вписав себе гуглоднс обойдёт блокирование. И пусть РКН решает можно так делать или нет.

 

Я не помню понятия неэффективность в документах от РКН, и сразу возразил, что тот кто способен вписать себе другой днс, с большей вероятностью просто нажмёт кнопку турбо, доставит плагины типа browsec frigate, поставит тор, зайдёт через анонимайзер итд, вообщем мы же не ставим целью сделать на самом деле полностью невозможным посещение сайтов из реестра, т.к. это в принципе нереализуемо, кроме белых списков, а ставим целью ограничить от них средне-глупый слой населения и ничего непонимающих пенсионеров.

 

Молодёжь уже умеет обходить любой тип ограничения, я это вижу, и с этим необходимо спокойно смириться.

[Галушко Дмитрий]

Спасибо Дмитрий за приведенные ссылки. Но я так и не нашел в контексте "Есть адреса которые необходимо заблокировать в течении 1 часа. Написано в законе." Второй момент, в 9 и 21 предоставляются сведения, а оператор обязан блокировать в течении суток. Если я не прав, поправьте.

Прав.

[big-town]

Мне местные с РЧЦ сказали, что блокирование подменой А-записей на днс неэффективное,

вроде как клиент вписав себе гуглоднс обойдёт блокирование. И пусть РКН решает можно так делать или нет.

 

Я не помню понятия неэффективность в документах от РКН, и сразу возразил, что тот кто способен вписать себе другой днс, с большей вероятностью просто нажмёт кнопку турбо, доставит плагины типа browsec frigate, поставит тор, зайдёт через анонимайзер итд, вообщем мы же не ставим целью сделать на самом деле полностью невозможным посещение сайтов из реестра, т.к. это в принципе нереализуемо, кроме белых списков, а ставим целью ограничить от них средне-глупый слой населения и ничего непонимающих пенсионеров.

 

Молодёжь уже умеет обходить любой тип ограничения, я это вижу, и с этим необходимо спокойно смириться.

 

Абсолютно согласен! Что значит неэффективно? Я могу сказать что весь закон мягко говоря неэффективен. Я по молодости по глупости в самом рассвете этого "закона" писал в РКН письмо с критикой и просил разъяснить ситуацию что будет когда этот мыльный пузырь дойдет до определенных размеров. Таблицы хэширования не бесконечные. Я думаю что все здесь присутствующие понимают ханжество и бесполезность данного закона который ни чего кроме головной боли операторам и соответствующим структурам не приносит. Тут и РКН и РЧЦ нельзя винить они исполнители.

 

Сегодня при мне школьники класса 4-го обменивались плагином-мэйтом на телефонах. :) На каждом "полукриминальном" портале приведено несколько способов обхода. Я думаю здесь бесполезно продолжать дискуссию.

 

Тут я думаю будет уместна цитата Березовского - "Они делают вид что меня ищут, а я делаю вид что скрываюсь."

Нас обязали и мы делаем по мере возможностей, с соблюдением закона :).

 

Между прочим эффективной методик блокирования https до сих пор нет, никто их не предложил и я думаю не будет. Только SSL-бампинг, но тут много вопросов, со стороны закона.

Изменено 21 января, 2016 пользователем big-town

[Ansy]

Мне местные с РЧЦ сказали, что блокирование подменой А-записей на днс неэффективное,

вроде как клиент вписав себе гуглоднс обойдёт блокирование.

Если перехватывать UDP/53-запросы к DNS принудительно, отдавая взамен резолвы из своего кэша (опустим законность метода и возможность обходить и эту блокировку), то вполне себе эффективно. Заодно и нестыковки с реестром по резолву имен в IP-адреса нивелируются... но это достаточно прожорливо все, в DNS не только http(s) обращаются, оверхед такой приличный набежит.

 

Тут я думаю будет уместна цитата Березовского - "Они делают вид что меня ищут, а я делаю вид что скрываюсь."

Нас обязали и мы делаем по мере возможностей, с соблюдением закона :).

 

Между прочим эффективной методик блокирования https до сих пор нет, никто их не предложил и я думаю не будет. Только SSL-бампинг, но тут много вопросов, со стороны закона.

 

Березовский там не добавил случайно "... они делают вид, что операторов наказывают?" Жаль... Два суда еще до реестра, выиграли правда :(

 

https по IP разве что, и гори все его соседи по серверу синим пламенем... ну и тот же DNS до кучи, чтоб не обошли...

А вот когда IPv6 попрёт массово (среди блокируемых, конечно) -- тогда до каких размеров реестр вырастет?

 

P.S. Попробовал на днях Kaspersky Free поставить. Ничего лишнего, все по минимуму -- но защита в браузер встроилась сама, почту тоже типа проверяет, общение с облаком есть. Версия была бетой, и вообще только для России.

 

Подумалось: а если напугать народ троянами-вирусами, дать БЕСПЛАТНУЮ защиту без наворотов (чтоб не так уж садило производительность компов) и есте обязать регулярно обновлять базы (ну куда ж без этого, ВСЕ ПОНИМАЮТ зачем)... а в базах -- ОПАНЬКИ! -- РЕЕСТР! А в облачке Каспера -- сайты оперативной прокурорской блокировки ;)

 

Тут и закрыть лишнее можно без шума, и даже настучать на особо любопытных, куда надо и со скриншотами... ой, неспроста этот бесплатный сыр в нашей мышеловке...

Изменено 22 января, 2016 пользователем Ansy

[Галушко Дмитрий]

Общий совет: нельзя подставлять "Мамку" с активами.

Делайте лицензии на дочки.

[disappointed]

Заодно и нестыковки с реестром по резолву имен в IP-адреса нивелируются

Агент сейчас вообще никуда не обращается, он из реестра айпишники использует.

[SyJet]

Если перехватывать UDP/53-запросы к DNS принудительно, отдавая взамен резолвы из своего кэша (опустим законность метода и возможность обходить и эту блокировку), то вполне себе эффективно. Заодно и нестыковки с реестром по резолву имен в IP-адреса нивелируются... но это достаточно прожорливо все, в DNS не только http(s) обращаются, оверхед такой приличный набежит.

Очень сомневаюсь, что перехват личного трафика + его модификация является законным.

[Ansy]

Заодно и нестыковки с реестром по резолву имен в IP-адреса нивелируются

Агент сейчас вообще никуда не обращается, он из реестра айпишники использует.

Ээээ... а как это выглядит? Коробочка у себя ВНУТРИ держит кэш-DNS сервер, в который УЖЕ забиты все IP для доменов из Реестра?

И прям таки совсем не обращается к наружным DNS? Сразу шлет запрос "http://засада.ру/подстава" по TCP/80 к dstIP условно 1.2.3.4 ?

 

Если именно ТАК (в чем я серьезно сомневаюсь, во всяком случае эта схема не проверяет реального закрытия ресурсов и "подыгрывает" операторам), то отпадает смысл самостоятельного резолвинга доменов Реестра в имена на месте.

[disappointed]

Именно так, кэша нет, обращение к днсу только одно - когда она свой управляющий

rfc-revizor.ru резолвит. Далее работает по простому алогритму, берёт каждую реестровую запись,

делает коннект к каждому из реестровых ip этой записи, шлёт ему GET HTTP,

указывая в заголовке запроса HOST: имя_домена этой записи.

[Ansy]

Именно так, кэша нет, обращение к днсу только одно - когда она свой управляющий

rfc-revizor.ru резолвит. Далее работает по простому алогритму, берёт каждую реестровую запись,

делает коннект к каждому из реестровых ip, и шлёт ему GET HTTP, указывая в заголовке запроса HOST: имя_домена из записи.

"Респект и уважуха" РЕВИЗОРовцам, ибо сейчас они играют за наши ворота ;)

Только вот... точно ли "HOST: имя_домена из записи" ?

Или все же ПОЛНЫЙ URL спрашивают, с точностью до конкретной страницы? Эдак они DPI пробьют... не все же САЙТЫ ПОЛНОСТЬЮ указано блокировать, у некоторых только отдельные разделы и статьи запретили.

[disappointed]

Только вот... точно ли "HOST: имя_домена из записи" ?

Или все же ПОЛНЫЙ URL спрашивают, с точностью до конкретной страницы?

Конечно есть урл после GET, я просто подчеркнул, что для проверки используется сугубо инфа из реестра.

 

Пример запроса снял сейчас.

 

91.Х.Х.Х.49765 > 104.20.56.216.80: Flags [s]GET /files/09-2014/isis-isil-islamic-state-magazine-Issue-1-the-ХХХХХХХ-of-khilafah.pdf HTTP/1.1Host: media.clarionproject.ХХХConnection: closeUser-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36

 

Вот это соединение инициировано с хостом 104.20.56.216, никакого запроса ни к внешним днс-ам,

ни к моему не было.

[Галушко Дмитрий]

Именно так, кэша нет, обращение к днсу только одно - когда она свой управляющий

rfc-revizor.ru резолвит. Далее работает по простому алогритму, берёт каждую реестровую запись,

делает коннект к каждому из реестровых ip, и шлёт ему GET HTTP, указывая в заголовке запроса HOST: имя_домена из записи.

 

"Респект и уважуха" РЕВИЗОРовцам, ибо сейчас они играют за наши ворота ;)

Только вот... точно ли "HOST: имя_домена из записи" ?

Или все же ПОЛНЫЙ URL спрашивают, с точностью до конкретной страницы? Эдак они DPI пробьют... не все же САЙТЫ ПОЛНОСТЬЮ указано блокировать, у некоторых только отдельные разделы и статьи запретили.

 

полагаю, что дело просто в тестовом режиме.

Как дадут указивку сверху, будут реально мониторить.

[disappointed]

полагаю, что дело просто в тестовом режиме.

Парни из РЧЦ ответили что никакого другого режима не предусмотрено, я им подготовил всю инфу,

обещали переслать своим в москву.

[remos]

полагаю, что дело просто в тестовом режиме.

Парни из РЧЦ ответили что никакого другого режима не предусмотрено, я им подготовил всю инфу,

обещали переслать своим в москву.

 

По мне так нормальный режим работы, с точки зрения закона верный, без всяких домыслов, если так будет всегда то это человеческий вариант.