alibek Опубликовано 9 декабря, 2014 · Жалоба Я так понимаю что единственное решение - это блокировать по Ip адресу, но это "из пушки по воробьям"... Но именно так и придется делать. Другое решение — заставлять абонентов устанавливать себе самодельный корневой сертификат и подменять сертификаты на сайтах. Хотя это идеологически неправильно и возможно незаконно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 9 декабря, 2014 · Жалоба Самое веселое начнется потом. Когда те, кого из за https по ip заблокировали начнут свою зону на разные чувствительные сайты указывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 9 декабря, 2014 · Жалоба Самое веселое начнется потом. Когда те, кого из за https по ip заблокировали начнут свою зону на разные чувствительные сайты указывать. С учетом того как быстро РКН меняет записи в своем реестре - не заметим Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 9 декабря, 2014 · Жалоба Самое веселое начнется потом. Не нужно переоценивать обиженных. Даже если авансом способности и возможности обиженных завышать, то обиженные всего лишь дождутся повсеместного введения DNSSEC и изъятия доменного имени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 9 декабря, 2014 · Жалоба Даже если авансом способности и возможности обиженных завышать, то обиженные всего лишь дождутся повсеместного введения DNSSEC и изъятия доменного имени. Не понял аргумента. Что помешает какому-нибудь www.rusdosug.nu резолвится в IP сайта API госуслуг? И DNSSEC как раз помешает провайдеру перехватить DNS запрос и фильтрацию по доменному имени устроить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 9 декабря, 2014 · Жалоба Сегодняшний идиотизм: $ host -t A www.kupi-diplom.com www.kupi-diplom.com is an alias for kupi-diplom.com. kupi-diplom.com has address 127.0.0.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 9 декабря, 2014 · Жалоба Что помешает какому-нибудь www.rusdosug.nu резолвится в IP сайта API госуслуг? Административные и технические меры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 9 декабря, 2014 · Жалоба <полез искать утекший список> Там есть некоторое количество доменов, что https://*.ua/ С административными мерами могут быть проблемы. А пока технические меры применять - некоторое время пройдет. В процессе шума довольно много может быть. И вообще, потребовалось всего пару 'приколистов', чтобы github заблокировали. Тут тоже рано или поздно найдутся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 9 декабря, 2014 · Жалоба Что помешает какому-нибудь www.rusdosug.nu резолвится в IP сайта API госуслуг? Административные и технические меры. Меня вот вопрос по этим "... мерам" уже давно один интересует: А список ВСЕХ социально-значимых/системообразующих IP где-то есть? Чисто чтобы "Сбербанк" какой-нить или kremlin.ru не положить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 9 декабря, 2014 · Жалоба И опубликовать его. Чтобы было понятно, что DDoS-ить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 9 декабря, 2014 · Жалоба Сегодняшний идиотизм: Кто резолвит ip из доменного имени в списке, тот сем себе буратина. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 9 декабря, 2014 · Жалоба Кто резолвит ip из доменного имени в списке, тот сем себе буратина. РКН в своей программке. А что? ;-))) Отчет по нам сегодняшний видел. И интересно стало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 9 декабря, 2014 · Жалоба Всем пришло? "В связи с чем просим Вас в срок до 17.00 10.12.2014 предоставить в адрес Управления информацию об используемом Вами IP-адресе, с которого осуществляется доступ к выгрузке из ЕАИС." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 9 декабря, 2014 · Жалоба Всем пришло? Нет. Скорее всего местная инициатива. Глобально наверняка просто начнут проверять дату/время запроса и ЭЦП. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 9 декабря, 2014 · Жалоба Нам тоже пришло. Так-что вряд-ли местечковая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 9 декабря, 2014 · Жалоба Видать от ддоса хотят так защититься ?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 9 декабря, 2014 · Жалоба И вообще, потребовалось всего пару 'приколистов', чтобы github заблокировали. Это ОНИ еще не знают, что на github домашнее порно фото и видео встречается. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 декабря, 2014 · Жалоба РКН в своей программке. А что? ;-))) Что-то не нашел в списке 127.0.0.1. Но, опять же. Буде оно появится, то да, на транзитный трафик будет поставлена блокировка для 127.0.0.1. И даже если в списке будет стоять блокировка адреса от kremlin.ru блок тоже будет повешен. Единственно, чего никогда не будет, так это адреса, полученного через резолвинг имени на месте. Не бегите впереди паровоза, устанете и упадете ему под колеса. Если нет DPI, чтобы перехватывать URL в запросах, то не крутите костыли вокруг локального резолва. Потом, когда заботливо подложенные вами самими грабли прилетят вам в лоб, не удивляйтесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 10 декабря, 2014 · Жалоба Всем пришло? Нет. Скорее всего местная инициатива. Глобально наверняка просто начнут проверять дату/время запроса и ЭЦП. Не местная, нам тоже пришло. А выгрузки и так проверяют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 10 декабря, 2014 · Жалоба А выгрузки и так проверяют. Проверяют факт получения выгрузок. Но не проверяют содержимое запроса, поэтому проходят запросы с давно просроченным requestTime — делают запрос, подписывают его и используют в течении года. А организационно правильно будет проверять дату и время запроса (например, чтобы файл-запрос действовал не более суток). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 10 декабря, 2014 · Жалоба Если нет DPI, чтобы перехватывать URL в запросах... Кто такое сказал? Специально для Вас разжую: РКН осуществляет периодические проверки блокировок. Их программки пишут списки ДОСТУПНЫХ (с точки зрения программки) сайтов через конкретного провайдера, которые должны быть заблокированными. Во вчерашнем списке был ОДИН такой - тот, что я написал. Мне стало интересно, и я его РУКАМИ отрезолвил. Собственно, я про этот бред как раз и написал в плане того, что внесеный в реестр URL со временем имеет свойство резолвится во что угодно. Хоть в лупбэк, хоть в сайт выгрузок (и то, и то уже было и не раз). А организационно правильно будет проверять дату и время запроса (например, чтобы файл-запрос действовал не более суток). Угу. И если запрос подписывают руками в каком-нить "КриптоПро", то чел. с подписью будет бегать на работу без выходных и отпусков. Логично, чё... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 10 декабря, 2014 · Жалоба А организационно правильно будет проверять дату и время запроса (например, чтобы файл-запрос действовал не более суток). Ограничение ради ограничения. Какая разница, когда запрос подписан? Это будет примером бюрократической глупости. Которой вообще в этой процедуре получения списка как-то слишком много. Организационно правильно было бы раздавать этот список по https с проверкой клиентского сертификата. А сертификаты просто раздать тем, кому можно этот список получать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 10 декабря, 2014 · Жалоба РКН осуществляет периодические проверки блокировок. Как РКН осуществляет блокировки — это его забота и инициатива. Случаи, когда их программа-тестер неправильно определяет доступность/недоступность ресурсов, редкие и легко разрешаются одним телефонным звонком. Например тот скрипт, который видел я, не ресолвил домены, а пытался просто загрузить ресурсы по списку. Если содержимое открывалось (код 200), то в лог вносился адрес и отдельно сохранялась загруженная страница. Если была ошибка (4xx, 3xx) или таймаут, то открывался следующий адрес. И если запрос подписывают руками в каком-нить "КриптоПро", то чел. с подписью будет бегать на работу без выходных и отпусков. Да без проблем. Лично я не подписываю руками, у меня этим занимается скрипт. Какая разница, когда запрос подписан? А какая разница, кем он подписан и подписан ли вообще? Организационно правильно было бы раздавать этот список по https с проверкой клиентского сертификата. А сертификаты просто раздать тем, кому можно этот список получать. Да, так было бы правильнее. Но сделано по другому. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 10 декабря, 2014 · Жалоба Лично я не подписываю руками, у меня этим занимается скрипт. Для этого надо иметь выгружаемый ключ как минимум. Насколько я понял из треда, далеко не у всех он таковым является. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 10 декабря, 2014 · Жалоба Для этого надо иметь выгружаемый ключ как минимум. Насколько я понял из треда, далеко не у всех он таковым является. Это вопрос выбора УЦ и информирования при заказе ключа. Я когда заказывал ключ, специально сказал, что мне нужен экспортируемый. По умолчанию он не экспортируется, но по запросу делают (бесплатно). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...