[st_re]

http://top.rbc.ru/politics/14/10/2014/543d3639cbb20f15e983e0f3

Правительство предлагает принять в новой версии законопроект о клевете на банки. Недостоверная информация о банках по усмотрению ЦБ может быть отнесена к запрещенной, это повлечет внесение в реестр запрещенных сайтов и немедленную блокировку таких сообщений и статей.

 

ЦБ. Кто следующий ? Давно пора сделать октрытый для пополнения список, чтобы каждый желащий мог заблокировать каждого неугодного.

 

А суд.... Суды распустить нафиг, как атавизьм и пережиток проклятого царизма.

[AccessPoint]

Скрипт стал работать через раз.

Позвонили с связьнадзора с угрозами

 

проверяю работу скрипта - выдает ошибки что переменная с lastdumpdate - undefined

 

создал отдельный скриптик с содержанием

 

my $service = SOAP::Lite->service("http://vigruzki.rkn.gov.ru/services/OperatorRequest?wsdl");


my $lddn = $service->getLastDumpDate;

print "$lddn\n";

1 раз из 5 получает значение, остальные разы не может получить

 

 

попробовал запустить zapret.pl 0 - раза с 5 запрос отправился

через пару минут

потом zapret.pl 1 - раза с 5 получил реестр

 

их сервера не справляются или это у меня?

до 11 октября усе было кошерно...

 

Проблему подтверждаю, последний раз выгрузку получили вчера, в 11 часов.

Если пытаться руками выгрузить, пишет: LastDumpDate is not update, do not nothing.

 

Начинается легкая паника, т.к. скоро начнут звонить с угрозами государевы люди.

[alibek]

Проверил — у меня скрипт исправно отрабатывает каждый час, за три месяца ни одного сбоя не было.

Возможно дело в том, что я xml-запрос генерирую и подписываю при каждом запуске, а не использую один и тот же.

 

my $service = SOAP::Lite->service("http://vigruzki.rkn.gov.ru/services/OperatorRequest?wsdl");

my $lddn = $service->getLastDumpDate;

А должно быть

my $soap = SOAP::Lite->service('http://vigruzki.rkn.gov.ru/services/OperatorRequest/?wsdl');
my ($ld) = $soap->getLastDumpDateEx;

[Wingman]

Ko_stik, AccessPoint, обновите скрипт с гитхаба, у вас, видимо, совсем махровая версия

[YuryD]

Проверил — у меня скрипт исправно отрабатывает каждый час, за три месяца ни одного сбоя не было.

Возможно дело в том, что я xml-запрос генерирую и подписываю при каждом запуске, а не использую один и тот же.

 

my $service = SOAP::Lite->service("http://vigruzki.rkn.gov.ru/services/OperatorRequest?wsdl");

my $lddn = $service->getLastDumpDate;

А должно быть

my $soap = SOAP::Lite->service('http://vigruzki.rkn.gov.ru/services/OperatorRequest/?wsdl');
my ($ld) = $soap->getLastDumpDateEx;

 

По доке с сайта надзора, getLastDumpDateEx и getLastDumpDate не очень отличаются по смыслу. Я не увидел явных различий. Трудится одна из первых версий скрипта. Проблемы иногда бывают, два-три раза в неделю выпадает выгрузка. Я забираю раз в час... Причем выпадают выгрузки не в ЧНН у меня абсолютно...

[Галушко Дмитрий]

Ребята ключи за выгрузки почём, подскажите.

[Wingman]

Сейчас обновляем как раз:

[YuryD]

Кстати, не получил-ли еще кто письмо счастья с результатами проверки доступности ? У меня вышло что 10% заблоченного таки доступно, а у Вас сколько ?

[StSphinx]

Кстати, не получил-ли еще кто письмо счастья с результатами проверки доступности ? У меня вышло что 10% заблоченного таки доступно, а у Вас сколько ?

 

Приходили прокурорские с представителем РКН, проводили проверку. Ушли ни с чем. Стоит DPI, название которого нельзя называть.

[Ansy]

Для формирования запроса к Реестру нужна, кроме собственно ключа ЭЦП и софта "КриптоПро CSP", какая-то софтинка для процесса подписания.

 

Варианты, которые пока использовались:

 

1. 
    
   
2. "КриптоАРМ", тестовая версия действует месяц, запрашивать ключ надо по заявке на сайте, занимает какое-то время. С учетом напряжности по срокам, суммам ответственности и возможным последствиям неисполнения -- процедура неоднозначная. Или покупать -- что при необходимости подписания раз в год (пока принимается однажды подписанный запрос) тоже неадекват.
   
3. Ну или хардкорный UNIX-way, собирать openssl с поддержкой ГОСТ-шифрования, сопровождать при обновлениях, надеяться на неизменность протоколов и форматов (в нашей стране и с нашими законодателями/чиновниками неочевидно). Опять же при необходимости подписания раз в год (пока принимают готовую пару запрос-подпись) малоэффективно.
   
4. В составе "КриптоПро CSP" идет консольная утилитка csptest.exe, которой пока и пользуемся. Замороченный формат параметров и опций, примерно такой:
   

   "c:\Program Files\Crypto Pro\CSP\csptest.exe" -sfsign -sign -detached -add -base64 -in request.xml -out request.xml.sign -my mylo_kontory@mail.ru

   Утилитка неочевидная, интерактивная (выбирать сертификат из нескольких), непонятно как долго будет поддерживаться и останется ли в составе софта при обновлениях, ну и такую длинную команду надо в .bat-скрипте держать, не помнить же наизусть... напоминаю, вся эта инфраструктура работает только под Windows. Зато бесплатно, а раз в год все равно получать-ставить новую ЭЦП, можно заодно до кучи и скриптик запустить -- для генерации запроса и подписи.
   

4. И вот наконец-то появился ОНЛАЙН-СЕРВИС шифрования и подписывания -- для тех, кому влом заморачиваться тремя вышеперечисленными способами.

Обнаружен недавно, при смене дизайна портала Удостоверяющего Центра "СКБ Контур". Называется сервис "Контур.Крипто", лежит на https://crypto.kontur.ru/

Позволяет подписывать, проверять, шифровать и дешифровать документы и файлы. Содержит необходимый минимум шпаргалок, подсказок, пошаговых инструкций, комиксов и документации по процессу и "понятиям" в этой теме. Выглядит (по-новому) удобно, лаконично и логично. Сформированная подпись на ГосУслугах прокатывает (хотя и отличается от полученной по третьему варианту, утилиткой).

 

Милости прошу пользовать, если необходимо. Надеюсь, при случае спасет чьи-то деньги, нервы, лицензии... _{и даже волосы в различных местах ;)}

Изменено 17 октября, 2014 пользователем Ansy

[Sergey Gilfanov]

4) И вот наконец-то появился ОНЛАЙН-СЕРВИС -- для тех, кому влом заморачиваться тремя вышеперечисленными способами :)

Это как? Берет ключ, отсылает его куда-то. Там его используют и сохраняют себе на всякий случай для подписывания.

Так что ли?

[YuryD]

Кстати, не получил-ли еще кто письмо счастья с результатами проверки доступности ? У меня вышло что 10% заблоченного таки доступно, а у Вас сколько ?

 

Приходили прокурорские с представителем РКН, проводили проверку. Ушли ни с чем. Стоит DPI, название которого нельзя называть.

 

Меня не название интересует, а эффективность фильтрации. Ну и приходить к нам не надо - оптику до ркн построили.

[Ansy]

4) И вот наконец-то появился ОНЛАЙН-СЕРВИС -- для тех, кому влом заморачиваться тремя вышеперечисленными способами :)

Это как? Берет ключ, отсылает его куда-то. Там его используют и сохраняют себе на всякий случай для подписывания.

Так что ли?

Ну, всех технических подробностей пока не знаю, не выяснял -- сам вчера лишь обнаружил, а сегодня попробовал. Но:

• 
   
  
• Во-первых, HTTPS -- значит, канал как минимум зашифрован.
  
• Во-вторых, это все же сайт и сервис самого Удостоверяющего Центра -- а мы там собственно и ключи получаем, и сертификаты держим.
  
• В-третьих, далеко не факт, что закрытый ключ куда-то уходит, ведь все сервисы Контур-Экстерна работают онлайн с ЭЦП. Скорее всего, используется тот же API и те же библиотеки (КриптоПро CSP, РуТокен) -- просто до кучи сделали ещё и отдельный сервис к ЛОКАЛЬНОМУ API для шифрования/дешифрования/подписи/проверки, с упрощенным интерфейсом.
  
• В-четвертых, если ЭЦП выпущена ограниченной, ТОЛЬКО для приема говноРеестра (это, правда, не мой конкретный случай) -- то не пофиг ли? Учитывая, что вообще весь этот механизм с блокировками тот еще страшный велосипед и мог быть сделан гораздо проще и логичнее без лишних заморочек, если вообще работоспособен, адекватен декларируемым задачам и необходим (как выше стопицот страниц уже обсуждалось)...
  

_{P.S. Дополнено ссылками-пруфами.}

Изменено 17 октября, 2014 пользователем Ansy

[onlime_user]

 

Приходили прокурорские с представителем РКН, проводили проверку. Ушли ни с чем. Стоит DPI, название которого нельзя называть.

С ютубом как разбираетесь и с остальными https сайтами?

[StSphinx]

 

Приходили прокурорские с представителем РКН, проводили проверку. Ушли ни с чем. Стоит DPI, название которого нельзя называть.

С ютубом как разбираетесь и с остальными https сайтами?

 

На данный момент ни одной ссылки на youtube по https в реестре нет.

А то что есть в реестре по https, блокируется по IP.

[onlime_user]

Ну, а даже по http получается фильтровать ютуб?

Мой провайдер пробовал, получил тормоза по минуте, в итоге отключил.

[Ansy]

4) И вот наконец-то появился ОНЛАЙН-СЕРВИС -- для тех, кому влом заморачиваться тремя вышеперечисленными способами :)

Это как? Берет ключ, отсылает его куда-то. Там его используют и сохраняют себе на всякий случай для подписывания.

Так что ли?

Прислали кое-что из сервисного центра СКБ Контур:

Контур.Крипто - сервис для подписания, проверки подписей, шифрования и дешифрования документов. Подойдет участникам закупок для подписания котировок, кадастровым инженерам, работающим на портале Росреестра, всем, кому необходимо подписать документ, проверить подпись, зашифровать или расшифровать документ. Для клиентов СКБ Контур является бесплатным аналогом программ по типу КриптоАРМ.

Подпись, зашифровывание и расшифровывание производятся с помощью СКЗИ КриптоПро CSP через описанный в документации интерфейс. Юридически значимую проверку ЭП УЦ производит только в офлайне, онлайновая носит исключительно информативный характер.

 

1. В сервисе доступны следующие операции:

•Создание отсоединённой электронной подписи. На данный момент подписать документ можно только сертификатами, выпущенными УЦ СКБ Контур и УЦ Сертум Про. После подписания будет предложено сохранить файл подписи, отправить документ с подписью по электронной почте или скачать одним архивом.

•Проверка отсоединённой электронной подписи. Позволяет проверить подпись, выданную любым УЦ и поставленную в программе, предназначенной для подпиания электронных документов (например, КриптоАРМ). Результаты проверки отражены в протоколе, который можно с охранить или распечатать. Для проверки ЭП КлаудКрипт сервис не подходит.

•Шифрование документа. Зашифрованный документ можно скачать или отправить по электронной почте.

•Дешифрование документа

 

2. Все функции сервиса доступны клиентам УЦ СКБ Контур и УЦ Сертум Про бесплатно. Клиентам других УЦ доступно всё, кроме подписания (т.е. проверка подписи, шифрование и дешифрование).

 

3. Для настройки компьютера для работы с этим сервисом нужно установить компоненты с веб-диска https://install.kontur.ru/crypto , так как на данный момент проверка подписи осуществляется локально на компьютере.

Обязательные компоненты - КриптоПро, kontur.toolbox, корневые и промежуточные сертификаты.

Как и ожидалось, работа с ЭЦП локальна, на базе установленных криптографических компонент и библиотек.

Выяснились и ограничения -- подписание возможно только с ЭЦП этого удостоверяющего центра.

 

Печально, конечно... но не для всех. У кого-то ведь именно такие ЭЦПшки тоже есть.

[StSphinx]

Ну, а даже по http получается фильтровать ютуб?

Мой провайдер пробовал, получил тормоза по минуте, в итоге отключил.

 

Да, по http вполне себе фильтрует, с вполне разумным временем отклика.

[walex]

Кстати, не получил-ли еще кто письмо счастья с результатами проверки доступности ? У меня вышло что 10% заблоченного таки доступно, а у Вас сколько ?

было устное замечание, что неблокиурется более 20%, запросили доп.информацию, прислали файлик, судя по которому можно сделать вывод что неблокируется почти все - у нас круглые глаза, запустили свою программку 2-3%, по всей видимости в один из дней что-то глюкануло... допилили немного фильтры, сегодня запустили-проверили 0.28% - это по нашей программе. Теперь делаем ежедневные проверки - как накопим немного статистики запросим данные из РКН для сверки. Большая часть фильтруется на DPI - хз какой - от Билайна к нам уже фильтрованный приходит, учитывая что билайн у нас не единственный аплинк получается что 2-3% идут мимо билайна, мы их добили блокировкой по IP указанным в реестре, итого получилось 0.28%.

 

Вот соответственно беспокоит, какой-либо подобный сбой рано или поздно может произойти и если попасться в этот момент то отвертеться я думаю будет сложно и это угнетает.

[Галушко Дмитрий]

Ansy СпасиБо за наВодку!

[Ivan_83]

Во-первых, HTTPS -- значит, канал как минимум зашифрован.

Шифровать можно по разному.

Вдруг они опенссл с сердцебиением до сих пор не обновили, вот раз и утекли все данные.

 

Во-вторых, это все же сайт и сервис самого Удостоверяющего Центра -- а мы там собственно и ключи получаем, и сертификаты держим.

Наивный.

Формально процедура может выглядеть: вы генерируете у себя рандом на 512 бит, это и будет ваш закрытый ключ, далее из него получаете открытый, его печатаете на бумажке, ставите печати и подписи, отвозите им, они добавляют ваш публичный ключ и подписывают его, ну и там же вы получаете сертификат.

Это нормальная процедура, ваш секретный ключ остаётся только у вас.

А когда вы пользуетесь таким сервисом ваш ключ улетает по сети.

Они могут его сохранить и использовать. Виноваты вы - ключ был только у вас и вы его непонятно где проепали.

 

В-третьих, далеко не факт, что закрытый ключ куда-то уходит, ведь все сервисы Контур-Экстерна работают онлайн с ЭЦП. Скорее всего, используется тот же API и те же библиотеки (КриптоПро CSP, РуТокен) -- просто до кучи сделали ещё и отдельный сервис к ЛОКАЛЬНОМУ API для шифрования/дешифрования/подписи/проверки, с упрощенным интерфейсом.

Тогда зачем вообще нужен сайт?

[Ansy]

Верхние комментарии Ivan_83 опускаю, т.к. выяснилось, что секретный ключ никуда не утекает -- все делается локально.

 

Тогда зачем вообще нужен сайт?

Ну вот как раз для того, чтобы подписывать. Потому что по какой-то неведомой причине, имея локально ВСЕ необходимые криптобиблиотеки и API, собственно программы для подписывания файлов либо корявы и неудобны (csptest.exe), либо далеко не бесплатны (КриптоАРМ), либо вообще пиши/строгай/шлифуй самостоятельно (openssl). Что совсем "некошерно" и для "раз в год" нерентабельно.

 

И тогда хорошо, если есть ХОТЯ БЫ сайт.

 

Конечно, я бы предпочел иметь нормальную утилиту (хорошо документированную и поддерживаемую, а не этот csptest) прямо в составе КриптоПро CSP. И графическую, с GUI тоже -- может быть даже просто оболочку к той же утилитке, не вопрос. Почему они сами ТАК не сделали -- вопрос риторический... бабла хотят? А учитывая, что это всё ФСБ-шные заморочки, особо надеяться на улучшение ситуации не приходится.

Изменено 18 октября, 2014 пользователем Ansy

[YuryD]

Вот невнятный вопрос про карбонсофт-редуктор. Они в него вкрячили возможность получения списков запретинфо с моей эцп, причём как я понял, реализовали довольно хитрый механизм. Их софт у меня лезет к их серверу, подписывается моей эцп, выгружает реестр из РКН за моей подписью, добавляет свои хитропротокольные фичи типа "а заплатил-ли ты нам" и выгружает реестр ко мне. Что-то мне эта схема кажется странной...

[alibek]

либо вообще пиши/строгай/шлифуй самостоятельно (openssl).

Это заняло у меня половину дня.

Потом я запрос реестра переносил на другой сервер, там вновь пришлось собирать openssl и второй раз это у меня заняло около часа.

Смена ЭЦП (экспорт в PKCS#12 и выгрузка закрытого ключа) занимает около 20 минут.

Раз в год вполне можно потратить.

[YuryD]

либо вообще пиши/строгай/шлифуй самостоятельно (openssl).

Это заняло у меня половину дня.

Потом я запрос реестра переносил на другой сервер, там вновь пришлось собирать openssl и второй раз это у меня заняло около часа.

Смена ЭЦП (экспорт в PKCS#12 и выгрузка закрытого ключа) занимает около 20 минут.

Раз в год вполне можно потратить.

Это таки деньги :) У меня есть подразделение в конторе, занимающееся налоговой отчётностью, поэтому смена протухшего ключа-сертификата для меня не вопрос. "Семён - протухает сертификат... Сделаем !" Платить за это приходится каждый год..

 

 

Технические гадости я решил довольно просто - perl:ftp и крон на все брасы