[Ansy]

Если конкретный пользователь сервиса в состоянии дать XML с данными о себе и подписать ее своей подписью

В XML указывается дата и время запроса.

XML-запрос нужно формировать перед получением реестра, подписывать его и потом отправлять на сервис.

Или предлагается колхоз с использованием однажды сформированного и подписанного запроса? И что делать, когда РКН начнет проверять дату и время, указанные в запросе?

У сервиса не будет закрытого ключа. У сервиса будет подписанная XMLка и всё.

Это мертворожденная идея.

Она живет только в расчете на то, что РКН не будет проверять содержимое XML-запроса.

Но даже если он сейчас не проверяет, потом начнет.

IMHO мертворожденная идея именно проверять каждый раз свежесть запроса и дату-время внутри него. Потому и не проверяют, что нет смысла.

Они же (РКН) все равно проверяют текущую валидность сертификата в Удостоверяющем Центре, так?

Автоматически с протуханием ЭЦП развалидируется и подписанный этой ЭЦП запрос -- какая бы дата в самом XML ни стояла.

Она, дата, вообще там не нужна по идее -- потому что штамп времени УЖЕ есть в подписи.

 

И кстати, выше предложенный вариант раздачи реестра через HTTPS по сертификату тоже не предполагает постоянного подписывания чего-то при КАЖДОМ запросе.

А уж как там РКН будет учитывать заходы операторов в своем табеле -- их проблемы, хоть по журналу веб-сервера.

 

yegorov-p, вот в таком HTTPS-варианте есть смысл замутить прослоечку-сервис НЕофициально.

И фиг с ним, с колхозом -- пусть только навечно подписанные XML-запросы передавать... зато можно на HTTPS-сайте сервиса предложить клиенту на выбор несколько вариантов как самого реестра (исходный XML, разные виды CSV, вырезки по доменам, по IP-подсетям), так и ГОТОВЫХ КОНФИГОВ актуальных блокировок для разных устройств и прокси.

Пусть нерегулярно, но кого-то это может выручить например при слете своих скриптов или временном неожиданном отсутствии ответственного за запреты человечка.

Ну и свериться с коллегами, кто как и насколь корректно обрабатывает реестр -- тоже бывает полезно.

 

P.S. А когда вся эта лабуда будет передана ГРЧЦ, мож и найдутся там более адекватные технически разработчики реестромеханизмов... вот и повод есть потолкать их всеми доступными способами на правильные рельсы.

Изменено 19 февраля, 2015 пользователем Ansy

[Sergey Gilfanov]

IMHO мертворожденная идея именно проверять каждый раз свежесть запроса и дату-время внутри него. Потому и не проверяют, что нет смысла.

Само наличие файла такого 'файла-запроса' - совершенно непонятный артефакт какой-то бюрократии.

 

И кстати, выше предложенный вариант раздачи реестра через HTTPS по сертификату тоже не предполагает постоянного подписывания чего-то при КАЖДОМ запросе.

Если занудствовать - то предполагает. Только этим уже внутри себя сам https протокол занимается.

[Ansy]

IMHO мертворожденная идея именно проверять каждый раз свежесть запроса и дату-время внутри него. Потому и не проверяют, что нет смысла.

Само наличие файла такого 'файла-запроса' - совершенно непонятный артефакт какой-то бюрократии.

Согласен. Вообще вся необходимая инфа (ИНН-КПП-ОГРН-ФСС-название и адрес конторы, ФИО ответственного) ВНЕЗАПНО(!) уже изначально есть в сертификате ЭЦП.

Просто "неосиляторам" в РКН недосуг вытащить и обработать. Захотелось "велосипедов". А "крутить педали" приходится нам, операторам всея Руси.

И кстати, выше предложенный вариант раздачи реестра через HTTPS по сертификату тоже не предполагает постоянного подписывания чего-то при КАЖДОМ запросе.

Если занудствовать - то предполагает. Только этим уже внутри себя сам https протокол занимается.

Ну да, я неудачно пропустил фразу "оператором лично"...

Оператору же достаточно что-то иметь (ключ) и что-то знать (пароль, пин-код) для успешной авторизации в некотором сервисе. Это общепринято вроде.

РКН придумывает еще "что-то уметь" и "чем-то заморачиваться" ;)

[ayf]

 

Пусть нерегулярно, но кого-то это может выручить например при слете своих скриптов или временном неожиданном отсутствии ответственного за запреты человечка.

 

Вот! Проснулся утром, глянул в ящик - лежит письмо с реестром. Все ок! Нет письма - забираешь вручную. Или другие какие-то накладки... Но резерв такой хотелось бы иметь

[StSphinx]

Если конкретный пользователь сервиса в состоянии дать XML с данными о себе и подписать ее своей подписью

В XML указывается дата и время запроса.

XML-запрос нужно формировать перед получением реестра, подписывать его и потом отправлять на сервис.

Или предлагается колхоз с использованием однажды сформированного и подписанного запроса? И что делать, когда РКН начнет проверять дату и время, указанные в запросе?

У сервиса не будет закрытого ключа. У сервиса будет подписанная XMLка и всё.

Это мертворожденная идея.

Она живет только в расчете на то, что РКН не будет проверять содержимое XML-запроса.

Но даже если он сейчас не проверяет, потом начнет.

IMHO мертворожденная идея именно проверять каждый раз свежесть запроса и дату-время внутри него. Потому и не проверяют, что нет смысла.

Они же (РКН) все равно проверяют текущую валидность сертификата в Удостоверяющем Центре, так?

Автоматически с протуханием ЭЦП развалидируется и подписанный этой ЭЦП запрос -- какая бы дата в самом XML ни стояла.

Она, дата, вообще там не нужна по идее -- потому что штамп времени УЖЕ есть в подписи.

 

И кстати, выше предложенный вариант раздачи реестра через HTTPS по сертификату тоже не предполагает постоянного подписывания чего-то при КАЖДОМ запросе.

А уж как там РКН будет учитывать заходы операторов в своем табеле -- их проблемы, хоть по журналу веб-сервера.

 

yegorov-p, вот в таком HTTPS-варианте есть смысл замутить прослоечку-сервис НЕофициально.

И фиг с ним, с колхозом -- пусть только навечно подписанные XML-запросы передавать... зато можно на HTTPS-сайте сервиса предложить клиенту на выбор несколько вариантов как самого реестра (исходный XML, разные виды CSV, вырезки по доменам, по IP-подсетям), так и ГОТОВЫХ КОНФИГОВ актуальных блокировок для разных устройств и прокси.

Пусть нерегулярно, но кого-то это может выручить например при слете своих скриптов или временном неожиданном отсутствии ответственного за запреты человечка.

Ну и свериться с коллегами, кто как и насколь корректно обрабатывает реестр -- тоже бывает полезно.

 

P.S. А когда вся эта лабуда будет передана ГРЧЦ, мож и найдутся там более адекватные технически разработчики реестромеханизмов... вот и повод есть потолкать их всеми доступными способами на правильные рельсы.

 

Идея с сервисом давно в воздухе витает. У нас вот свой софт для выгрузки реестра.

https://github.com/apofiget/rkn_registry

При желании можем его довольно быстро адаптировать под мультиоператорность.

[ayf]

 

Идея с сервисом давно в воздухе витает. У нас вот свой софт для выгрузки реестра.

https://github.com/apofiget/rkn_registry

При желании можем его довольно быстро адаптировать под мультиоператорность.

 

Спереть можно?:)

 

Для доступа к REPL виртуальной машины выполнить bin/rkn_registry remote_console - а если не на виртуалке, а просто на сервере, еще что-то менять надо?

Изменено 19 февраля, 2015 пользователем ayf

[alibek]

Идея с сервисом давно в воздухе витает.

Она и реализована давно.

У нас используется СКАТ, они реестры самостоятельно получают (со своей ЭЦП) и блокируют ресурсы.

Рабочий скрипт у меня тоже есть, он забирает реестры и складывает в каталоге, чтобы РКН не беспокоил.

 

Есть Карбон Редуктор, но мне он не нравится тем, что ему нужно скормить закрытый ключ ЭЦП.

Да и возможностей у него меньше, списки Минюста он не обрабатывает.

[ayf]

 

Рабочий скрипт у меня тоже есть, он забирает реестры и складывает в каталоге, чтобы РКН не беспокоил.

 

Вот это меня и интересует

[alibek]

Так этих скриптов тут вагон.

Я свой выкладывал, он у меня без сбоев работает.

Питоновский скрипт тоже работает без сбоев.

Там дел для сисадмина (не программиста даже) на четыре часа, из которых три часа нужно чтобы openssl с поддержкой нужного шифрования собрать.

[StSphinx]

Идея с сервисом давно в воздухе витает.

Она и реализована давно.

У нас используется СКАТ, они реестры самостоятельно получают (со своей ЭЦП) и блокируют ресурсы.

Рабочий скрипт у меня тоже есть, он забирает реестры и складывает в каталоге, чтобы РКН не беспокоил.

 

Есть Карбон Редуктор, но мне он не нравится тем, что ему нужно скормить закрытый ключ ЭЦП.

Да и возможностей у него меньше, списки Минюста он не обрабатывает.

 

СКАТ да, забирает, но вот только РКН вам за это "галочку" не ставит и это не избавляет вас от необходимости самостоятельно забирать реестр.

Тут же речь идет не о самом блокировании, а о формальном исполнении требования получать выгрузку реестра каждому оператору связи.

[alibek]

СКАТ да, забирает, но вот только РКН вам за это "галочку" не ставит и это не избавляет вас от необходимости самостоятельно забирать реестр.

Вот поэтому кроме СКАТа у меня используется и скрипт.

СКАТ делает всю работу, а скрипт нужен, чтобы на штрафы не попасть.

[StSphinx]

 

Идея с сервисом давно в воздухе витает. У нас вот свой софт для выгрузки реестра.

https://github.com/apofiget/rkn_registry

При желании можем его довольно быстро адаптировать под мультиоператорность.

 

Спереть можно?:)

 

Для доступа к REPL виртуальной машины выполнить bin/rkn_registry remote_console - а если не на виртуалке, а просто на сервере, еще что-то менять надо?

 

Пользуйтесь на здоровье, оно лежит в открытом доступе.

Под REPL понимается консоль виртуальной машины Erlang, а не какой-то иной VM.

 

СКАТ да, забирает, но вот только РКН вам за это "галочку" не ставит и это не избавляет вас от необходимости самостоятельно забирать реестр.

Вот поэтому кроме СКАТа у меня используется и скрипт.

СКАТ делает всю работу, а скрипт нужен, чтобы на штрафы не попасть.

 

Ну вот наверное в этом и была идея сервиса - получать выгрузку за оператора.

[alibek]

Ну вот наверное в этом и была идея сервиса - получать выгрузку за оператора.

Так тут дело в том, что я не хочу свою ЭЦП отдавать в какой-то чужой сервис.

А без этого сервис ненадежен и в любой момент (когда РКН начнет проверять содержимое запроса) перестать работать.

[StSphinx]

Ну вот наверное в этом и была идея сервиса - получать выгрузку за оператора.

Так тут дело в том, что я не хочу свою ЭЦП отдавать в какой-то чужой сервис.

А без этого сервис ненадежен и в любой момент (когда РКН начнет проверять содержимое запроса) перестать работать.

 

В идее не фигурировала передача ЭЦП.

Да, тот факт, что РКН не проверяет даты формирования запроса на выгрузке, делает идею сервиса рискованной.

Но тут обе стороны, и та, что сервис предоставляет, и та, что сервисом пользуется, должны отдавать себе отчет в том, что им грозит.

Короче говоря, вам решать, пользоваться или нет. Мой личный прогноз - РКН с вероятностью в 90% не будет вводить проверку даты формирования запроса.

[Sergey Gilfanov]

Короче говоря, вам решать, пользоваться или нет. Мой личный прогноз - РКН с вероятностью в 90% не будет вводить проверку даты формирования запроса.

Есть мнение, что им хочется, чтобы операторы демонстрировали активность по забору этих списков. Сами. Соответственно, что как только появится сервис, который делает это, не заставляя работать самого оператора, то будут предприняты меры, чтобы этот сервис перестал работать.

[StSphinx]

Короче говоря, вам решать, пользоваться или нет. Мой личный прогноз - РКН с вероятностью в 90% не будет вводить проверку даты формирования запроса.

Есть мнение, что им хочется, чтобы операторы демонстрировали активность по забору этих списков. Сами. Соответственно, что как только появится сервис, который делает это, не заставляя работать самого оператора, то будут предприняты меры, чтобы этот сервис перестал работать.

 

Конечно такую возможность не нужно исключать. С другой стороны, в новой редакции выгрузки, в ответе на getResult появились поля operatorName и inn, указывающие на оператора, которому засчитана выгрузка.

[yegorov-p]

Так тут дело в том, что я не хочу свою ЭЦП отдавать в какой-то чужой сервис.

Не нужно никакую эцп никуда не отдавать. Отдается только подписанный файлик. Все что можно сделать с его помощью - скачивать реестр. Все. Ничего другого сделать нельзя.

 

А без этого сервис ненадежен и в любой момент (когда РКН начнет проверять содержимое запроса) перестать работать.

С такой же логикой можно вообще ни в каком виде реестр не получать, так как в любой момент закон могут отменить. =)

 

Ну вот наверное в этом и была идея сервиса - получать выгрузку за оператора.

Бинго!

[stas_k]

Мне с этими сервисами интересно стало. списки блокировок - они общероссийские, или региональные тоже есть?

когда какой ни будь суд красноярского края блокирует ресурс, эта блокировка в список калининградских провайдеров попадает?

[Tem]

По идее общие, для того и делали, чтоб суды по одному и томуже сайту в каждом городе не проводить.

[alibek]

Само собой общие.

Может быть у субъектов РФ могут быть отдельные, но я таких не встречал.

[lcgc]

внезапно оказалось, что есть весьма значительное число людей, которые к связи вообще отношение имеют крайне отдаленное, но при этом у них таки лицензия есть.

уважаемый, не надо перекладывать чужие проблемы на свои могутные плечи

не владеют скриптами - пусть себе огранизуют личноперсональный сервис, в котором специально дрессированный псевдоразумный ручками эн раз в день будет делать выгрузку реестра через веб-форму

Ж8-Е

[Галушко Дмитрий]

Кстати http://nag.ru/news/newsline/26989/volshebnaya-korobochka-roskomnadzora-esch-odin-sorm.html

[yegorov-p]

внезапно оказалось, что есть весьма значительное число людей, которые к связи вообще отношение имеют крайне отдаленное, но при этом у них таки лицензия есть.

уважаемый, не надо перекладывать чужие проблемы на свои могутные плечи

не владеют скриптами - пусть себе огранизуют личноперсональный сервис, в котором специально дрессированный псевдоразумный ручками эн раз в день будет делать выгрузку реестра через веб-форму

Ж8-Е

Квалифицированные человекочасы жалко, за державу обидно же =)

[sanoka]

Ни у кого проблем с выгрузкой за последние 2 дня не наблюдалось? Не пойму почему сразу на 2 серверах одновременно перестали выгружаться реестры.

[Tem]

Ни у кого проблем с выгрузкой за последние 2 дня не наблюдалось? Не пойму почему сразу на 2 серверах одновременно перестали выгружаться реестры.

 

Ну пару раз в сутки бывает глюк, но не чаще.

ЗЫ: Может подпись протухла ? Что в логах пишет ?