Wingman Опубликовано 29 января, 2015 · Жалоба А много ли там надо мегабит? На вскидку разве что ютьюб, но только новые tcp/80' сессии. Не забывайте, что фронтенд и видео ютуба - "это не муж и жена, а 4 разных человека" (ц) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grvs Опубликовано 29 января, 2015 (изменено) · Жалоба а есть у кого проблемы на SCE с длинными ссылками содержащими много русских букав? не ловит top-doski.com/obiava/27963/%D0%BA%D1%83%D0%BF%D0%B8%D1%82%D1%8C-%D0%BF%D1%80%D0%BE%D0%B4%D0%B0%D0%B6%D0%B0- --%D1%80%D0%B5%D0%B0%D0%BA%D1%82-%D1%80%D0%B5%D0%B0%D0%B3-%D1%81%D0%BE%D0%BB-%D1%81%D0%BA- %D1%8D%D1%84%D0%BE%D1%80-%D1%87%D0%B0%D0%B9-%D0%BA%D1%80%D0%B8%D1%81-%D1%81%D0%BF-%D1%82%D0%B2.html парсится так: top-doski.com:/obiava/27699/%D1%81%D0%BA%D0%BE%D1%80%D0%BE%D1%81%D1%82%D1%8C- %D0%BA%D1%80%D0%B8%D1%81%D1%82%D0%B0%D0%BB%D0%BB%D1%8B-%D0%B2- %D0%B8%D1%80%D0%BA%D1%83%D1%82%D1%81%D0%BA%D0%B5-%D0%BF%D1%80%D0%BE%D0%B4%D0%B0%D0%BC-89641243899.html:*:* Изменено 29 января, 2015 пользователем grvs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 29 января, 2015 (изменено) · Жалоба Народ, а кто поделится принципами блокировки https ? Ну понятно можно блокировать целыми доменами, но жалко Lostfilm :) Какие еще варианты ? (помимо грубых с отравлением DNS итд) Операторского уровня нет более тонких решений, чем блокирование домена или сервера целиком. Единственным аттрибутом, к которому можно привязать фильтр выше IP уровня для протоколов SSL/TLS является certificate given name или иногда SNI - то есть, в любом случае это имя сервера или домена, на который выписан сертификат. В корпоративной сети можно завести свой внутренний корпоративный удостоверяющий центр и завести свой собственный SSL proxy директивно прописываемый клиентам с использованием корпоративного сертификата на внутреннем плече соединения. С точки зрения оператора и его клиента это фактически man-in-the-middle, потому, как никто не пропишет принудительно всем клиентам собственный сертификат для проксирования на проходе. Вот мне почему то тоже кажется, что придется городить огород с SSL прокси и самоподписанными сертификатами. Уверен, что: 1) Это не всегда сработает. 2) Появится формальный повод наехать на нас ибо никто из клиентов таких удовольствий не заказывал. С другой стороны вижу постоянный рост https сайтов в списке блокировки и рано или поздно все торговцы грибами и наркотой эту фишку просекут и переедут на этот протокол. И тогда вся наша возня с DPI окажется не имеющей смысла (ибо внутрь сессии https оно никак не залезет). Один хрен придется все лочить оптом по IP как Ростелеком (не к ночи будь упомянут). Я прав? Записи с типа https://sitename.domainname.org/filename¶meters есть вариант блочить по IP адресам надзора, или есть вариант блочить по имени в сертификате. Заблокировать запросы на конкретный URL бегущие в SSL возможности нет. В случае блокировки по IP адресам получается полная шняга, особенно с учетом наличия GGC и автоматических DNS based редиректов. В случае с блокировкой по имени в сертификате заблокируется ВЕСЬ сайт, а не конкретная страница. Городить SSL proxy с самоподписанными сертификатами оператору нереально, такое проходит в корпоративной среде с жесткой системой безопасности, но не в публичной сети. Изменено 29 января, 2015 пользователем pers123 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergoINFOLAN Опубликовано 29 января, 2015 · Жалоба MITM-атакатак это уже давно так, для всех пользователей в РФ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
remos Опубликовано 29 января, 2015 · Жалоба Вставлю свои 5 копеек Думаю нам не стоит идти на подмену сертификатов это чревато, если считать что как правило https сидит на выделенном ip (если без танцев с бубном),то получается надо блокировать весь сайт, а уже владелец сайта должен сам выбирать, что ему лучше - удалить проблемную страницу или лишиться возможности работать по https.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 29 января, 2015 · Жалоба а есть у кого проблемы на SCE с длинными ссылками содержащими много русских букав? не ловит top-doski.com/obiava/27963/%D0%BA%D1%83%D0%BF%D0%B8%D1%82%D1%8C-%D0%BF%D1%80%D0%BE%D0%B4%D0%B0%D0%B6%D0%B0- --%D1%80%D0%B5%D0%B0%D0%BA%D1%82-%D1%80%D0%B5%D0%B0%D0%B3-%D1%81%D0%BE%D0%BB-%D1%81%D0%BA- %D1%8D%D1%84%D0%BE%D1%80-%D1%87%D0%B0%D0%B9-%D0%BA%D1%80%D0%B8%D1%81-%D1%81%D0%BF-%D1%82%D0%B2.html Я эту фигню просто вырезаю таким регекспом: s/%([89a-fA-F][0-9a-fA-F]).+/*/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 29 января, 2015 · Жалоба Думаю нам не стоит идти на подмену сертификатов это чревато Да. Когда я у разработчиков СКАТа спрашивал о планах работы с SSL, он сказали, что подделывать сертификаты не планируют. Одним из возможных сценариев они видят получение закрытой части ключа (разумеется не самостоятельно, а через соответствующие гос.службы), с помощью которой они смогут формировать не самодельные, а валидные сертификаты для промежуточного прокси. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
onlime_user Опубликовано 29 января, 2015 · Жалоба Одним из возможных сценариев они видят получение закрытой части ключа (разумеется не самостоятельно, а через соответствующие гос.службы), с помощью которой они смогут формировать не самодельные, а валидные сертификаты для промежуточного прокси. Для каждого забаненого сайта они будут просить отдельный закрытый ключ? Нереально вообще, тем более что гугл тот же никогда им его не отдаст. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 29 января, 2015 · Жалоба Это рассуждения из серии и рыбку съесть и сковородку не помыть. Блокировать нафиг по IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 29 января, 2015 · Жалоба Для каждого забаненого сайта они будут просить отдельный закрытый ключ? Глупо. Кому нужен отдельный сайт? Закрытый ключ от CA. Нереально вообще, тем более что гугл тот же никогда им его не отдаст. А если не будут отдавать, то отключим газ. Вообще-то бэкдоры для спецслужб много где есть. Это как раз такой бэкдор и будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 января, 2015 · Жалоба Закрытый ключ от CA. За неделю спалится и будет в чёрных списках у всех клиентов. А если не будут отдавать, то отключим газ. Вообще-то бэкдоры для спецслужб много где есть. Это как раз такой бэкдор и будет. Спецслужбы работают точечно и потому не палятся так часто. Не будут они ничего сдавать, это вообще не их головняк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 30 января, 2015 · Жалоба Кстати еще вопрос (если оффтопик то прошу модераторов перенести ). А дивный список Минюста народ обычно как блокирует? Сваливаете в кучу с Роскомнадзоровским? Или руками? Кал там редкостного качества, что в общем то всем известно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 30 января, 2015 · Жалоба Кстати еще вопрос (если оффтопик то прошу модераторов перенести ). А дивный список Минюста народ обычно как блокирует? Сваливаете в кучу с Роскомнадзоровским? Или руками? Кал там редкостного качества, что в общем то всем известно. В скатовском облаке каким-то образом добавляют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 30 января, 2015 · Жалоба Кстати еще вопрос (если оффтопик то прошу модераторов перенести ). А дивный список Минюста народ обычно как блокирует? Сваливаете в кучу с Роскомнадзоровским? Или руками? Кал там редкостного качества, что в общем то всем известно. В скатовском облаке каким-то образом добавляют. Вопрос в том, что URL Минюста кишат ошибками. Но править их низзя - ибо это решения судов, каждая буква как бы "на своем месте". Кто как решает этот вопрос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 30 января, 2015 · Жалоба Кстати еще вопрос (если оффтопик то прошу модераторов перенести ). А дивный список Минюста народ обычно как блокирует? Сваливаете в кучу с Роскомнадзоровским? Или руками? Кал там редкостного качества, что в общем то всем известно. В скатовском облаке каким-то образом добавляют. Вопрос в том, что URL Минюста кишат ошибками. Но править их низзя - ибо это решения судов, каждая буква как бы "на своем месте". Кто как решает этот вопрос? РКН проверяет по своим спискам.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 30 января, 2015 · Жалоба РКН проверяет по своим спискам.... Не верится, что на Минюстовские списки все проверяющие положили с прибором. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 30 января, 2015 · Жалоба Не верится, что на Минюстовские списки все проверяющие положили с прибором. РКН проверяет свои списки. Списки Минюста проверяет обычно прокуратура. Никаких особых проблем с этим не вижу — если URL ошибочный, то проверяющий его и указать не сможет. Если же он этот URL исправит (или сработает редирект), то в акте фиксируется, что URL браузера отличается от URL в списке, и на этом вопрос закрывается. В скатовском облаке каким-то образом добавляют. Скорее всего вручную добавляют те записи, которые можно определить. Плюс им сообщают незакрытые URL, найденные проверяющими. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 30 января, 2015 · Жалоба За неделю спалится и будет в чёрных списках у всех клиентов. Каким образом? Чтобы исключить человеческий фактор, можно организовать все так, что прямого к закрытому ключу доступа у разработчиков и не будет. Спецслужбы работают точечно и потому не палятся так часто. Это да. Но если как следует продумать, то можно и в большом масштабе реализовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 30 января, 2015 · Жалоба Не верится, что на Минюстовские списки все проверяющие положили с прибором. РКН проверяет свои списки. Списки Минюста проверяет обычно прокуратура. Никаких особых проблем с этим не вижу — если URL ошибочный, то проверяющий его и указать не сможет. Если же он этот URL исправит (или сработает редирект), то в акте фиксируется, что URL браузера отличается от URL в списке, и на этом вопрос закрывается. В скатовском облаке каким-то образом добавляют. Скорее всего вручную добавляют те записи, которые можно определить. Плюс им сообщают незакрытые URL, найденные проверяющими. Там бывают чудесные ошибки типа http://vk.com - ясно что хотели написать конкретную страницу, но неосилили. Если такой паттерн вдуть в SCE неглядя - кирдык контактику.)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 30 января, 2015 · Жалоба Городить SSL proxy с самоподписанными сертификатами оператору нереально дом.ру (ЭР-Телеком) вполе себе успешно реализовал про детали не в курсе, я их пользователь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 31 января, 2015 · Жалоба Городить SSL proxy с самоподписанными сертификатами оператору нереально дом.ру (ЭР-Телеком) вполе себе успешно реализовал про детали не в курсе, я их пользователь У тебя браузер должен орать, как резаный при заходе на ssl youtube. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
onlime_user Опубликовано 31 января, 2015 · Жалоба Ну, а при несамоподписанном сертификатом разве браузер не будет орать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 31 января, 2015 · Жалоба Ну, а при несамоподписанном сертификатом разве браузер не будет орать? Если подпись поставлена Доверенным СА - не будет. Осталось убедить абонента поставить сертификат министерства правды. Антивирусам (которые тоже MiM делают) проще - они при установке свой сертификат прописывают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 31 января, 2015 · Жалоба ну пока зависит от браузера - орать ему или не орать а потом всем и браузеры подправят, и серты подсунут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 31 января, 2015 · Жалоба Если начинать править браузеры, то легче и блокировку прямо в них вставить. Собственно, упомянутые антивирусы так и делают. В каждом первом она в систему вкручивается для разных целей. И потом придется отвечать на вопрос, зачем провайдеров этой морокой загружали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...