[Robot_NagNews]

Материал:

Почти все законодательные инициативы последних лет, которые связаны с регулированием телекоммуникационного рынка, так или иначе затрагивают интересы операторов связи, причем, не самым лучшим образом. Создается такое впечатление, что законодатель однажды проснулся и с удивлением обнаружил вокруг себя такой интересный и такой загадочный бизнес. И с детской непосредственностью начал дергать за рычажки.

 

Полный текст

[wanderer_from]

Самое плохое в российском регулировании телекомов (впрочем, как и везде) - это нормативная неопределенность. Ну, то есть, уже или закройте нахрен этот паблик-интернет, или не трогайте.

Лучше ужасный конец, чем ужас без конца.

 

И да. Пишите предложения и соображения. Я постараюсь донести их до МКС. Ну, по крайней мере, до той ее части, которая еще хоть как-то адекватна. Может что и получится

[wanderer_from]

Ну, я так... по-стариковски поворчу. Вот когда похоливорить о всякой фигне - стопиццот камментов. Как доходит дело до реальных предложений, тут же все молчат.

*ушол, бубня в бороду "ну что за народ"

[stas_k]

Вот когда похоливорить о всякой фигне - стопиццот камментов. Как доходит дело до реальных предложений, тут же все молчат.

Потомушто свободный холивар по духу анонимный, а реальные предложения подразумевают совершение всех "этих нелепых телодвижений"(с), вызванных методикой работы бюрократического аппарата.

[JohnWhite]

Так это. Как бы оно операторам сплошной профит. Мы уже на этом зарабатываем значительно больше чем когда пытались монетизировать хотспоты через рекламную модель. Любопытно что буквально вчера имел беседу с сотрудником РЧЦ УрФО, он уверен что вышеописанные нормы УЖЕ действуют, а уж как они их трактуют - это вообще отдельная песня.

[wanderer_from]

Ну, да. В этом есть определенная логика - зачем раздавать бесплатно, если можно продавать. И схемы новые и сложные. Они должны появиться, но, увы, уже не в России.

 

РЧЦ УрФО, как и РКН по СО - те еще перцы. Одну историю с "пенсионером-доносчиком" (http://ura.ru/news/1052232088) можно заносить в анналы профпригодности

[Галушко Дмитрий]

Миш, ты не достаточно проинформирован, за на идентификацию уже ввели штраф. ГД в 3 ст приняла в четверг.

[wanderer_from]

ЩИТО? Можно ссыль?

[aMster]

тут меня мысль посетила... глупая конечно... а может все это продвигается к тому чтобы ввести систему АВТОМАТИЧЕСКОЙ идентификации пользователя? Ну типа приложения, которое будет работать в фоне на устройстве, и при установлении нового соединения (смены точки подключения), будет отсылать идентификационные данные.

И самое что смешное - ничего особенно сложного эта система не представляет.

[Sergey Gilfanov]

тут меня мысль посетила... глупая конечно... а может все это продвигается к тому чтобы ввести систему АВТОМАТИЧЕСКОЙ идентификации пользователя? Ну типа приложения, которое будет работать в фоне на устройстве, и при установлении нового соединения (смены точки подключения), будет отсылать идентификационные данные.

И самое что смешное - ничего особенно сложного эта система не представляет.

На самом деле даже приложения не нужно. Все давно встроено. Называется 'использование сертификата для WiFi подключения'. Который как раз автоматически шлется при установлении соединения. И, с определенной точки зрения, наверное, уж лучше так (получаем на Госуслугах сертификат и пользуемся), чем дурная система с смс-ками и привязкой к номерам телефонов.

 

Мы такое как раз хотим ввести в мессенджер - человек, установший мессенджер, автоматически получает доступ ко всем сетям.

Приложением, или как выше - сертификат выдадите? Или просто логин/паролем обойдетесь?

[JohnWhite]

А как вы собираетесь обеспечить достоверность аутентификации юзера этого мессенджера с точки зрения РКН. С мобилками формально есть прямая связность номер-паспорт-лицо, как вы обеспечите связность мессенджер-лицо?

"получаем на Госуслугах сертификат и пользуемся" - это вполне себе вариант. Но возникает вопрос - сперли у человека планшет с установленным сертификатом. Что делать? Можно аннулировать гос сертификат и завести новый? Конечно это же касается и сим карты. Но у нас например глубина кэширования аутентификации пользователя 2 недели по номеру.

Edited June 27, 2016 by JohnWhite

[Sergey Gilfanov]

"получаем на Госуслугах сертификат и пользуемся" - это вполне себе вариант. Но возникает вопрос - сперли у человека планшет с установленным сертификатом. Что делать? Можно аннулировать гос сертификат и завести новый?

Да.

Разумеется, сертификат не должен быть полноценным, с правом юридически значимой полноценной ЭЦП и всем, что с этим связано. А генерируемым именно для целей 'цепляться к сетям связи'.

А вот есть ли такой функционал в Госуслугах - не знаю. Нужно их API читать. И если нет - попросить сделать. Я думаю, радостно согласятся прикрутить.

[Sergey Gilfanov]

Приложением-мессенджером.

[...]

Какой кошмар и велосипед. А сгенерировать сертификат (в данном случае свой, а не государственный) и поставить его при помощи этого же месседжера - никак?

[Sergey Gilfanov]

А зачем? Маком проще и надежней, требования соблюдены, быстро, сытно, вкусно :)

Чтобы функционал 'смотрим на МАК, внутренний/внешний адрес, заносим в белый список, открываем инет' не писать. В серверах авторизации, что по сертификатам работают уже все сделано.

[Diamont]

Как только юзер заходит в зону действия такой точки с запущенным приложением, смартфон подключается к открытой точке, мессенджер пытается региться через этот Wi-Fi на открытый всем dns регистрации и это у него получается, т.к. он уже есть в системе.

На сервере регистрации виден его внешний IP адрес и внутренний, который он получил от точки. Теперь сммотрим на WI-Fi точку - видим - такой-то мак получил этот внутренний адрес, заносим этот мак в белый список всей сети в паре с его логином (номером, под которым он устанавливал мессенджер) и все, открываем ему весь инет. Все в автомате.

Сталина на вас нет. =)

[Sergey Gilfanov]

А как там сделано - можете описать?

Дело в том что имхо в Wi-Fi сети самое простое что можно сделать и придумать - смотреть на мак устройства.

А остальные шаги?

 

Ну вот смотрим:

>смартфон подключается к открытой точке, мессенджер пытается региться через этот Wi-Fi на открытый всем dns регистрации и это у него получается, т.к. он уже есть в системе.

'Есть в системе' как проверяется? Какой-то сервис, куда стучится месседжер лезет в базу и смотрит, знакома ли нам это учетка.

>На сервере регистрации виден его внешний IP адрес и внутренний, который он получил от точки.

Потом еще и локальные данные текущего подключения, включая MAC в какую-то базу кладуться.

>Теперь сммотрим на WI-Fi точку - видим - такой-то мак получил этот внутренний адрес, заносим этот мак в белый список всей сети в паре с его логином (номером, под которым он устанавливал мессенджер) и все, открываем ему весь инет. Все в автомате.

И теперь еще что-то следить за подключениями WiFi точки по базе выше добавляет/удаляет ACL.

Сколько там запущенных сервисов получилось?

 

Как это будет еще проще в случае сетрификатов, хотелось бы услышать.

В процессе подключении к точке с использованием сертификата (туториалов в сети по настройке этого всего, помнится, полно было - сейчас лень искать). RADIUS сервис смотрит на CA предъявленного сертификата и если он "свой" - разрешает подключение к точке. С большой вероятностью даже выделенного RADIUS не потребуется - можно прямо в точку доступа данные CA залить, немного ее поконфигурировать и она сама все поймет. Штатный функционал.

 

Что замечательно, никаких обращений к центральным базам, запоминаний MAC, изменений записей ACL делать уже не надо. Сертификат есть - подключение состоялось. Нет сертификата - нет и подключения.

 

Заодно никакие программы не запутываются насчет "подключение вроде есть, но никуда не пускает", лишний раз по событию "подключились к WiFi" не запускаются итд итп.

 

Сам же сертификат генерируется и подписывается и устанавливается в устройство в момент создания учетной записи месседжера. Если новая установка на новое устройство с уже известной учеткой - то по выбору либо старый сертификат закачиваем, либо новый на ту же учетку генерируем и ставим.

[Sergey Cheban]

Есть подозрение, что целью этого нововведения является не борьба с терроризмом и прочими нехорошестями, а попытка прикрыть задницу какого-то бюрократа. Ну, грубо говоря:

- Что за фигня, хакеры мне компьютер зашифровали, а всё МВД их найти не может?! Подать сюда Ляпкина-Тяпкина!

- Так ведь это... Интернет у нас анонимный, в любом кафе любой анонимус зайти может, и найти его никак невозможно.

- Ах так! Разработайте тогда план мероприятий по недопущению! Чтобы полиция стала эффективной в борьбе с киберпреступлениями.

- Говно вопрос. Вот вам законопроект об учёте всех, кто выходит в интернет из кафе. Пока его не примете, полиция в борьбе с киберугрозой бессильна по понятным любому дураку причинам.

- Да, мне всё понятно, законопроект нужный, надо принимать.

[Diamont]

Бюрократ офигеет, когда узнает, что хакеры могут зайти через открытый вифи в многоквартирном доме. Или взломать закрытый и сделать тоже самое.

Хотя, бюрократа наверно это и не волнует, ибо примут не того, но главное что примут.

Про левые симки уже не говорю, метод выше гораздо проще и дешевле.

 

P.S. Не удивлюсь в будущем закону, запрещающему открытые Wi-Fi сети даже физлицам у себя дома.

Edited June 27, 2016 by Diamont

[SergoINFOLAN]

+1

[Sergey Gilfanov]

Ну пускает же в конечном счете Wi-Fi железка,а не радиус, а железка понимает только маки или IP адреса.

А вы предлагаете через сертификат спросить - можно ли я этот мак пущу или нет - верно?

Нет. Предлагается 'тут вот с сертификатом <SerialID/CA ID> прицепиться хотят, пустить?'. А на MAC можно вообще не обращать внимания. Это внутреннее дело WiFi точки доступа.

 

Любая, (кроме совсем уж домашних вариантов) WiFi точка умеет на RADIUS по этому поводу обращаться. Умение обходиться без RADIUS, а проверять сертификат внутри себя - немного опционально, но ничего особенного из себя не представляет.

[JohnWhite]

MobileOneWiFi, насчет вашего "белого списка" - срок жизни в белом списке есть? Наш механизм кэширования mac-адресов устройств авторизовавшихся пользователей примерно аналогично устроен. Сейчас установлен срок легальности mac 2 недели. Но когда мы по-честному спросили РКН устраивает ли их этот срок, они нам заявили что никакого кэширования и аутентификация пользователя по смс должна происходить каждый сеанс. Разумеется мы с ними не согласились и предложили выдвинуть официальные требования которые мы легко оспорим в судебном порядке.

Я только не понимаю зачем вам навязывать юзеру какой-то мессенджер прикручивать? Ладно бы он действительно генерил сертификат который вы потом используете при аутентификации устройства.

Edited June 27, 2016 by JohnWhite

[Sergey Gilfanov]

Я только не понимаю зачем вам навязывать юзеру какой-то мессенджер прикручивать? Ладно бы он действительно генерил сертификат который вы потом используете при аутентификации устройства.

Пользователь расплачивается за WiFi тем, что рекламу по этому месседжеру получает.

[stas_k]

P.S. Не удивлюсь в будущем закону, запрещающему открытые Wi-Fi сети даже физлицам у себя дома.

а что, кто то их разрешал?

[Diamont]

а что, кто то их разрешал?

Что не запрещено, то разрешено. Так что да, разрешал.

[stas_k]

Что не запрещено, то разрешено. Так что да, разрешал.

 

Так как, твой, открытый, для неопределенного круга лиц, wifi автоматически делает тебя организатором

 

Статья 10-1. Обязанности организатора распространения информации в сети "Интернет"

 

1. Организатором распространения информации в сети "Интернет"

является лицо, осуществляющее деятельность по обеспечению

функционирования информационных систем и (или) программ для

электронных вычислительных машин, которые предназначены и (или)

используются для приема, передачи, доставки и (или) обработки

электронных сообщений пользователей сети "Интернет".

 

То в полной мере применим и http://publication.pravo.gov.ru/Document/View/0001201408050024