[Wingman]

А много ли там надо мегабит?

На вскидку разве что ютьюб, но только новые tcp/80' сессии.

Не забывайте, что фронтенд и видео ютуба - "это не муж и жена, а 4 разных человека" (ц)

[grvs]

а есть у кого проблемы на SCE с длинными ссылками содержащими много русских букав? не ловит

 

top-doski.com/obiava/27963/%D0%BA%D1%83%D0%BF%D0%B8%D1%82%D1%8C-%D0%BF%D1%80%D0%BE%D0%B4%D0%B0%D0%B6%D0%B0-
--%D1%80%D0%B5%D0%B0%D0%BA%D1%82-%D1%80%D0%B5%D0%B0%D0%B3-%D1%81%D0%BE%D0%BB-%D1%81%D0%BA-
%D1%8D%D1%84%D0%BE%D1%80-%D1%87%D0%B0%D0%B9-%D0%BA%D1%80%D0%B8%D1%81-%D1%81%D0%BF-%D1%82%D0%B2.html

 

парсится так:

top-doski.com:/obiava/27699/%D1%81%D0%BA%D0%BE%D1%80%D0%BE%D1%81%D1%82%D1%8C-
%D0%BA%D1%80%D0%B8%D1%81%D1%82%D0%B0%D0%BB%D0%BB%D1%8B-%D0%B2-
%D0%B8%D1%80%D0%BA%D1%83%D1%82%D1%81%D0%BA%D0%B5-%D0%BF%D1%80%D0%BE%D0%B4%D0%B0%D0%BC-89641243899.html:*:*

Изменено 29 января, 2015 пользователем grvs

[pers123]

Народ, а кто поделится принципами блокировки https ? Ну понятно можно блокировать целыми доменами, но жалко Lostfilm :)

Какие еще варианты ? (помимо грубых с отравлением DNS итд)

Операторского уровня нет более тонких решений, чем блокирование домена или сервера целиком.

Единственным аттрибутом, к которому можно привязать фильтр выше IP уровня для протоколов SSL/TLS является certificate given name или иногда SNI -

то есть, в любом случае это имя сервера или домена, на который выписан сертификат.

В корпоративной сети можно завести свой внутренний корпоративный удостоверяющий центр и завести свой собственный SSL proxy директивно прописываемый клиентам

с использованием корпоративного сертификата на внутреннем плече соединения.

С точки зрения оператора и его клиента это фактически man-in-the-middle, потому, как никто не пропишет принудительно всем клиентам собственный сертификат

для проксирования на проходе.

Вот мне почему то тоже кажется, что придется городить огород с SSL прокси и самоподписанными сертификатами. Уверен, что:

1) Это не всегда сработает.

2) Появится формальный повод наехать на нас ибо никто из клиентов таких удовольствий не заказывал.

 

С другой стороны вижу постоянный рост https сайтов в списке блокировки и рано или поздно все торговцы грибами и наркотой эту фишку просекут и переедут на этот протокол.

И тогда вся наша возня с DPI окажется не имеющей смысла (ибо внутрь сессии https оно никак не залезет). Один хрен придется все лочить оптом по IP как Ростелеком (не к ночи будь упомянут).

 

Я прав?

Записи с типа https://sitename.domainname.org/filename&parameters есть вариант блочить по IP адресам надзора,

или есть вариант блочить по имени в сертификате. Заблокировать запросы на конкретный URL бегущие в SSL возможности нет.

В случае блокировки по IP адресам получается полная шняга, особенно с учетом наличия GGC и автоматических DNS based редиректов.

В случае с блокировкой по имени в сертификате заблокируется ВЕСЬ сайт, а не конкретная страница.

Городить SSL proxy с самоподписанными сертификатами оператору нереально, такое проходит в корпоративной среде с жесткой системой безопасности, но не в публичной сети.

Изменено 29 января, 2015 пользователем pers123

[SergoINFOLAN]

MITM-атака

так это уже давно так, для всех пользователей в РФ.

[remos]

Вставлю свои 5 копеек

Думаю нам не стоит идти на подмену сертификатов это чревато, если считать что как правило https сидит на выделенном ip (если без танцев с бубном),то получается надо блокировать весь сайт, а уже владелец сайта должен сам выбирать, что ему лучше - удалить проблемную страницу или лишиться возможности работать по https....

[MATPOC]

а есть у кого проблемы на SCE с длинными ссылками содержащими много русских букав? не ловит

 

top-doski.com/obiava/27963/%D0%BA%D1%83%D0%BF%D0%B8%D1%82%D1%8C-%D0%BF%D1%80%D0%BE%D0%B4%D0%B0%D0%B6%D0%B0-
--%D1%80%D0%B5%D0%B0%D0%BA%D1%82-%D1%80%D0%B5%D0%B0%D0%B3-%D1%81%D0%BE%D0%BB-%D1%81%D0%BA-
%D1%8D%D1%84%D0%BE%D1%80-%D1%87%D0%B0%D0%B9-%D0%BA%D1%80%D0%B8%D1%81-%D1%81%D0%BF-%D1%82%D0%B2.html

 

Я эту фигню просто вырезаю таким регекспом:

 

s/%([89a-fA-F][0-9a-fA-F]).+/*/

[alibek]

Думаю нам не стоит идти на подмену сертификатов это чревато

Да. Когда я у разработчиков СКАТа спрашивал о планах работы с SSL, он сказали, что подделывать сертификаты не планируют.

Одним из возможных сценариев они видят получение закрытой части ключа (разумеется не самостоятельно, а через соответствующие гос.службы), с помощью которой они смогут формировать не самодельные, а валидные сертификаты для промежуточного прокси.

[onlime_user]

Одним из возможных сценариев они видят получение закрытой части ключа (разумеется не самостоятельно, а через соответствующие гос.службы), с помощью которой они смогут формировать не самодельные, а валидные сертификаты для промежуточного прокси.

 

Для каждого забаненого сайта они будут просить отдельный закрытый ключ?

Нереально вообще, тем более что гугл тот же никогда им его не отдаст.

[KaraVan]

Это рассуждения из серии и рыбку съесть и сковородку не помыть. Блокировать нафиг по IP.

[alibek]

Для каждого забаненого сайта они будут просить отдельный закрытый ключ?

Глупо.

Кому нужен отдельный сайт?

Закрытый ключ от CA.

 

Нереально вообще, тем более что гугл тот же никогда им его не отдаст.

А если не будут отдавать, то отключим газ.

 

Вообще-то бэкдоры для спецслужб много где есть.

Это как раз такой бэкдор и будет.

[Ivan_83]

Закрытый ключ от CA.

За неделю спалится и будет в чёрных списках у всех клиентов.

 

А если не будут отдавать, то отключим газ. Вообще-то бэкдоры для спецслужб много где есть. Это как раз такой бэкдор и будет.

Спецслужбы работают точечно и потому не палятся так часто.

Не будут они ничего сдавать, это вообще не их головняк.

[Ilya]

Кстати еще вопрос (если оффтопик то прошу модераторов перенести ). А дивный список Минюста народ обычно как блокирует? Сваливаете в кучу с Роскомнадзоровским? Или руками?

Кал там редкостного качества, что в общем то всем известно.

[YuryD]

Кстати еще вопрос (если оффтопик то прошу модераторов перенести ). А дивный список Минюста народ обычно как блокирует? Сваливаете в кучу с Роскомнадзоровским? Или руками?

Кал там редкостного качества, что в общем то всем известно.

В скатовском облаке каким-то образом добавляют.

[Ilya]

Кстати еще вопрос (если оффтопик то прошу модераторов перенести ). А дивный список Минюста народ обычно как блокирует? Сваливаете в кучу с Роскомнадзоровским? Или руками?

Кал там редкостного качества, что в общем то всем известно.

В скатовском облаке каким-то образом добавляют.

 

Вопрос в том, что URL Минюста кишат ошибками. Но править их низзя - ибо это решения судов, каждая буква как бы "на своем месте".

Кто как решает этот вопрос?

[YuryD]

Кстати еще вопрос (если оффтопик то прошу модераторов перенести ). А дивный список Минюста народ обычно как блокирует? Сваливаете в кучу с Роскомнадзоровским? Или руками?

Кал там редкостного качества, что в общем то всем известно.

В скатовском облаке каким-то образом добавляют.

 

Вопрос в том, что URL Минюста кишат ошибками. Но править их низзя - ибо это решения судов, каждая буква как бы "на своем месте".

Кто как решает этот вопрос?

 

РКН проверяет по своим спискам....

[Andrei]

РКН проверяет по своим спискам....

Не верится, что на Минюстовские списки все проверяющие положили с прибором.

[alibek]

Не верится, что на Минюстовские списки все проверяющие положили с прибором.

РКН проверяет свои списки.

Списки Минюста проверяет обычно прокуратура.

Никаких особых проблем с этим не вижу — если URL ошибочный, то проверяющий его и указать не сможет. Если же он этот URL исправит (или сработает редирект), то в акте фиксируется, что URL браузера отличается от URL в списке, и на этом вопрос закрывается.

 

В скатовском облаке каким-то образом добавляют.

Скорее всего вручную добавляют те записи, которые можно определить.

Плюс им сообщают незакрытые URL, найденные проверяющими.

[alibek]

За неделю спалится и будет в чёрных списках у всех клиентов.

Каким образом?

Чтобы исключить человеческий фактор, можно организовать все так, что прямого к закрытому ключу доступа у разработчиков и не будет.

 

Спецслужбы работают точечно и потому не палятся так часто.

Это да. Но если как следует продумать, то можно и в большом масштабе реализовать.

[Ilya]

Не верится, что на Минюстовские списки все проверяющие положили с прибором.

РКН проверяет свои списки.

Списки Минюста проверяет обычно прокуратура.

Никаких особых проблем с этим не вижу — если URL ошибочный, то проверяющий его и указать не сможет. Если же он этот URL исправит (или сработает редирект), то в акте фиксируется, что URL браузера отличается от URL в списке, и на этом вопрос закрывается.

 

В скатовском облаке каким-то образом добавляют.

Скорее всего вручную добавляют те записи, которые можно определить.

Плюс им сообщают незакрытые URL, найденные проверяющими.

 

Там бывают чудесные ошибки типа http://vk.com - ясно что хотели написать конкретную страницу, но неосилили. Если такой паттерн вдуть в SCE неглядя - кирдык контактику.))

[lcgc]

Городить SSL proxy с самоподписанными сертификатами оператору нереально

дом.ру (ЭР-Телеком) вполе себе успешно реализовал

про детали не в курсе, я их пользователь

[pers123]

Городить SSL proxy с самоподписанными сертификатами оператору нереально

дом.ру (ЭР-Телеком) вполе себе успешно реализовал

про детали не в курсе, я их пользователь

У тебя браузер должен орать, как резаный при заходе на ssl youtube.

[onlime_user]

Ну, а при несамоподписанном сертификатом разве браузер не будет орать?

[Sergey Gilfanov]

Ну, а при несамоподписанном сертификатом разве браузер не будет орать?

Если подпись поставлена Доверенным СА - не будет. Осталось убедить абонента поставить сертификат министерства правды. Антивирусам (которые тоже MiM делают) проще - они при установке свой сертификат прописывают.

[lcgc]

ну пока зависит от браузера - орать ему или не орать

а потом всем и браузеры подправят, и серты подсунут

[Sergey Gilfanov]

Если начинать править браузеры, то легче и блокировку прямо в них вставить. Собственно, упомянутые антивирусы так и делают. В каждом первом она в систему вкручивается для разных целей. И потом придется отвечать на вопрос, зачем провайдеров этой морокой загружали.