[bike]

У всех отвалился - https://portal.rfc-revizor.ru/ ?

[alibek]

Да. Ушел в отпуск.

[Realwizard]

У всех отвалился - https://portal.rfc-revizor.ru/ ?

Пингуется - 213.59.243.130

Порты открыты - ftp;ssh;smtp;http;pop3;nntp;epmap;imap;https.

Но, не открывается.

[Вторник]

У всех отвалился - https://portal.rfc-revizor.ru/ ?

 

Я звонил в РЧЦ. Там подтвердили, что портал не работает.

[ayf]

Уже работает.

[Antares]

а ревизор стал каждые пол часа ломиться в сеть

[remos]

Опять шарманку зарядили на постоянную....

[IL_S]

я вот тут размышлял о разном, о былом...

 

в общем представим себе, некоего нехорошего хакера Х, который имеет в своем распоряжении несколько доменных имен внесенных в реестр запрещенных сайтов, да еще и работающих по https и располагающихся за границей нашей Родины.

 

операторы связи в таком случае, ДОЛЖНЫ блокировать сайт полностью, а так как ip в реестре "для справки", то вынуждены получать этот адрес путем DNS запроса.

 

теперь, внимание, т.к. Х имеет возможность управлять доменными именами заблокированных ресурсов, то в СВОЕМ DNS он может прописать ЛЮБЫЕ ip адреса для своих сайтов, таким образом, заблокировать работу ЛЮБОГО ресурса в сети "Интернет", на территории РФ.

 

правилен ли ход моих мыслей?

[iptester]

IL_S, а верный ход мыслей. Если РКН добьется, чтобы все блокировали так, как вы описываете, то это скоро будет популярная услуга на черном рынке : )

[JohnPev]

Будет интересно, если такое случиться например с каким-то банком.

Операторы заблокируют.

Клиенты не получат доступа и напрягут оператора.

Оператор поймет что дыра в системе и уберет Ip из списка блокируемых.

Ревизор попытается получить доступ к сайту(по ip) и получит.

И даже скриншот получит в доказательство.

После чего, как исполнитель закона отправит постановление со скриншотом банка.

И интересно что скажет суд.

[alibek]

правилен ли ход моих мыслей?

При условии, что оператор использует блокировку по IP-адресу.

И это, вообщем-то, было очевидно давно.

Поэтому следует использовать DPI и блокировать именно домен или URL, по содержимому в HTTP-запросе или по CNAME в серверном сертификате (для HTTPS).

[d.taskaev]

Будет интересно, если такое случиться например с каким-то банком.

Операторы заблокируют.

Клиенты не получат доступа и напрягут оператора.

Оператор поймет что дыра в системе и уберет Ip из списка блокируемых.

Ревизор попытается получить доступ к сайту(по ip) и получит.

И даже скриншот получит в доказательство.

После чего, как исполнитель закона отправит постановление со скриншотом банка.

И интересно что скажет суд.

 

Для этого в данном процессе и участвует РЧЦ, сотрудники которого анализируют материалы, поступающие из Ревизора. У меня такой случай был. В отчете есть ресурс, проверяю из своей сети - действительно открыт, но там вместо казиношки котеджный поселок. Сотрудник РЧЦ подтвердил мое мнение, что такой ресурс из протокола исключают...

Как мне объяснили в РЧЦ за каждый неподтвержденный ресурс их накажут гораздо сильнее, чем за не включенный в протокол.

[Барагоз]

Для этого в данном процессе и участвует РЧЦ, сотрудники которого анализируют материалы, поступающие из Ревизора. У меня такой случай был. В отчете есть ресурс, проверяю из своей сети - действительно открыт, но там вместо казиношки котеджный поселок. Сотрудник РЧЦ подтвердил мое мнение, что такой ресурс из протокола исключают...

Как мне объяснили в РЧЦ за каждый неподтвержденный ресурс их накажут гораздо сильнее, чем за не включенный в протокол.

Присутствие в протоколе ресурса, которого вообще нет в реестре, начисто опровергает эти слова)

[d.taskaev]

Для этого в данном процессе и участвует РЧЦ, сотрудники которого анализируют материалы, поступающие из Ревизора. У меня такой случай был. В отчете есть ресурс, проверяю из своей сети - действительно открыт, но там вместо казиношки котеджный поселок. Сотрудник РЧЦ подтвердил мое мнение, что такой ресурс из протокола исключают...

Как мне объяснили в РЧЦ за каждый неподтвержденный ресурс их накажут гораздо сильнее, чем за не включенный в протокол.

Присутствие в протоколе ресурса, которого вообще нет в реестре, начисто опровергает эти слова)

Ресурс, которого нет в реестре не попадет в проверку (если только это не случай удаления/изменения существующих записей в реестре).

Есть только один нюанс с редиректами на другие ресурсы... - этот вопрос уточните в РЧЦ (в разных округах взгяды на этот вопрос отличаются, при чем это даже не от РЧЦ зависит, а от РКН и судебной практики...).

[Realwizard]

Ресурс, которого нет в реестре не попадет в проверку (если только это не случай удаления/изменения существующих записей в реестре).

Тогда встречный вопрос, по теме нашего коллеги из Томска: "Как и каким образом в протокол попал ресурс, которого нет в реестре на момент проверки ревизором? Это что? Подлог или халатность?"

[IL_S]

Поэтому следует использовать DPI и блокировать {skip} по CNAME в серверном сертификате (для HTTPS).

вот в этом месте по подробней, вы анализируете запросы сертификатов и заблокированные блокируете?

т.е. клиент не получит сертификат и не сможет открыть сайт?

[alibek]

вы анализируете запросы сертификатов и заблокированные блокируете?

Не я, а DPI СКАТ.

Клиент подключается к серверу, сервер отдает свой сертификат с доменным именем (именами), на которые выписан сертификат.

Если это имя есть в реестре, то доступ блокируется.

[Барагоз]

есурс, которого нет в реестре не попадет в проверку (если только это не случай удаления/изменения существующих записей в реестре).

Естественно, это случай удаления записи. То есть когда-то такой ID был, на момент проверки уже не было. А в протоколе есть.

Суть в том, что надзор вообще не утруждается доказыванием, что проверяемый ресурс присутствовал в реестре. Получен акт мониторинга - должен родиться протокол об АПН. А дальше это проблема оператора.

[d.taskaev]

Ресурс, которого нет в реестре не попадет в проверку (если только это не случай удаления/изменения существующих записей в реестре).

Тогда встречный вопрос, по теме нашего коллеги из Томска: "Как и каким образом в протокол попал ресурс, которого нет в реестре на момент проверки ревизором? Это что? Подлог или халатность?"

На меня-то чего накинулись?

Я лишь сказал, что скриншот ресурса проверяется перед отправкой в суд. А по поводу "левых" записей в протоколах я только-что специально позвонил в РЧЦ: предложили сообщить наименование оператора и дату проверки или хотя бы номер акта или протокола и порядковый номер записи в протоколе, чтобы предметно разобрать ситуацию.

[Realwizard]

На меня-то чего накинулись?

Под руку попался :)

К счастью у нас пока все пучком. Это у Барагоз такая проблема. Но не факт, что она не может повториться у кого-то еще...

По сути, удаление/изменение существующих записей в реестре не стоит производить незамедлительно после получения реестра, в котором данная запись отсутствует в связи с удалением из реестра? Дабы не возникло такой ситуации как у нашего коллеги. Но тогда другие грабли. Сразу прилетит вопрос от РКН, а почему блокируется ресурс, которого нет в реестре? Может 503 код подсунуть, а запись удалить через неделю например?

Блин... Что-то с этим ревизором у меня шаблон рвет. :(

Изменено 11 января, 2017 пользователем Realwizard

[Барагоз]

По сути, удаление/изменение существующих записей в реестре не стоит производить незамедлительно после получения реестра, в котором данная запись отсутствует в связи с удалением из реестра? Дабы не возникло такой ситуации как у нашего коллеги.

Незамедлительно не стОит, а через какое время стОит? Где взять эту информацию и как можно подстроиться под заведомо непрозрачную (не говоря уже о том, что неправомерную) логику работы черного ящика?

[iptester]

У меня тут соседний топик плавно перешёл в историю с Ревизором: http://forum.nag.ru/forum/index.php?showtopic=125439

[remos]

У меня тут соседний топик плавно перешёл в историю с Ревизором: http://forum.nag.ru/forum/index.php?showtopic=125439

А зачем бороться? Или хотите потянуть до тех пор, когда они обяжут именно их кошерный дпиай покупать, а пока что не вкладываться?

[iptester]

remos, как вариант.

Т.к. пока всё равно все попадают на штрафы, кто установил.

Мне кажется отбиваться от штрафов за неустановку проще. Пока получается : )

Изменено 11 января, 2017 пользователем iptester

[YuryD]

remos, как вариант.

Т.к. пока всё равно все попадают на штрафы, кто установил.

 

Ну я не попался на штраф. Будет протокол - будем спорить в суде, адвокат у нас есть, приходящий на дело :) А так - глубокие российские традиции про дружить - они пока практичнее... Нее, с ветряными мельницами конечно можно бороться, но брать пример с навального не хочу.