[Tosha]

в уголовных делах "бремя доказательства лежит на стороне обвинения".

в гражданских это не так?

Они показывают видеофайл как открыли запрещенный сайт. И тут уже надо опровергать ответчику. Иначе - доказано.

И как бы это нелегко. Предложение "давайте с экспертами проверим снова" отфутболят "ну так вы конечно уже все исправили - а тогда - не фильтровалось" И все... Любые логи оспорят тем, что нам верить нельзя. Нужна сторонняя экспертиза именно на момент проверки. Но система "Ревизор" как специально не генерирует "индульгенций". Если все нормально - она не дает отчет что фильтрация выполнена в полном объеме и нет претензий. Она дает отчет "нет данных".

 

Все это в комплекте с тем как работает ютуб особенно печально. Если в браузере руками проверять запрещенные url ютуба они же открываются! Ну да, через HTTPS. Но я еще не знаю легко ли будет судье объяснить почему же закон не выполняется.

 

в выгрузке одно, в запросе от ревизора другое (вместо последнего символа в выгрузке, запрашивают %E2%80%A6)

 

wtf?

Стандарт. Ревизор подменяет некоторые латинские символы, например, '{' '}' '"' '$' их кодами.

Полный список подстановок они не дают (скоре всего сами не знают).

По ходу дела он выясняется экспериментально и фильтрация корректируется.

[user]

плывём дальше:

 

ru.linkedin.com блокировать или нет?

 

требуют свежим письмом от 14:00

 

в выгрузке пока нет.

 

а отчитаться требуют уже вот сейчас.

 

------------------------

Шеф сказал "Блокировать".

Изменено 22 ноября, 2016 пользователем user

[st_re]

так уже бы включили бы в xml

inetnum: 185.63.144.0 - 185.63.147.255

netname: EU-LINKEDIN-20140710

и не парили бы мозги...

[Alx65]

плывём дальше:

ru.linkedin.com блокировать или нет?

требуют свежим письмом от 14:00

в выгрузке пока нет.

а отчитаться требуют уже вот сейчас.

------------------------

Шеф сказал "Блокировать".

А на каком основании блокировать ru.linkedin.com?

В реестре нет. У linkedin.com тип не domain-mask. Резолвится на адреса, которых нет в реестре.

[alibek]

Шеф сказал "Блокировать".

Лично я бы не блокировал.

Ответил бы, что блокируются записи #383850 (www.linkedin.com) и #383851 (linkedin.com), а для блокировки домена ru.linkedin.com нет оснований.

Все равно ведь скоро добавят domain-mask, тогда вопрос решится автоматически.

[Alx65]

Лично я бы не блокировал.

Ответил бы, что блокируются записи #383850 (www.linkedin.com) и #383851 (linkedin.com), а для блокировки домена ru.linkedin.com нет оснований.

Все равно ведь скоро добавят domain-mask, тогда вопрос решится автоматически.

Уже. Переделали #383851 в *.linkedin.com

[user]

И опять Здравствуйте.

 

Подскажите, как правильно записать строку, чтоб Squid ловил через "acl bad_urls url_regex file_name":

 

%C4%EB%FF-%F2%E5%F5-%EA%F2%EE-%F5%EE%F7%E5%F2-%F3%EC%E5%F0%E5%F2%FC

 

это хвост от content id="86227", остальное ловит, стоит хвост дописать - перестаёт ловить.

 

Squid Cache: Version 3.3.8

Ubuntu 14.04.5 LTS

Изменено 23 ноября, 2016 пользователем user

[Tftpsher]

Всем привет!

 

Прошу помощи в решении проблемы с подписью запроса на получение выгрузки РКН через openssl.

 

Если подписывать через Крипто-ПРО, то проверка ЭП на сайте https://www.gosuslugi.ru/pgu/eds/order проходит успешно. Если подписывать через openssl при помощи экспортированного ключа в формате pem, то выдает ошибку:

 

ЭП 1: НЕ ВЕРНА

Статус сертификата подписи: Не проверялся

 

 

На форуме уже были подобные вопросы, но решения я не нашел..

 

ЭП действительна до 11.2017

[bike]

Прошу помощи в решении проблемы с подписью запроса на получение выгрузки РКН через openssl.

Почитайте тут, вариант полностью рабочий.

[Tftpsher]

Прошу помощи в решении проблемы с подписью запроса на получение выгрузки РКН через openssl.

Почитайте тут, вариант полностью рабочий.

 

 

Читал. Ничего нового для меня там нет. Экспорт ключа и его преобразование из pfx в pem проходит без ошибок. Пробовал на OpenSSL 1.0.1u под Windows и OpenSSL 1.0.1f под Linux. Во время подписи запроса ошибок не появляется.

 

Издатель ключа: TENSORCA3, Удостоверяющий центр, ООО Компания Тензор

[Tftpsher]

Попробовал собрать openssl как в статье https://www.evernote.com/shard/s185/sh/ceb0b021-47e7-4c61-ab43-bc6db27fe919/c535b6e5047ec69d304519fe81c2c9ac?noteKey=c535b6e5047ec69d304519fe81c2c9ac&noteGuid=ceb0b021-47e7-4c61-ab43-bc6db27fe919 - результат аналогичный

 

 

UPD: При попытке проверить подпись самому

 

Verification failure

139708241659552:error:21071065:PKCS7 routines:PKCS7_signatureVerify:digest failure:pk7_doit.c:1170:

139708241659552:error:21075069:PKCS7 routines:PKCS7_verify:signature failure:pk7_smime.c:410:

 

UPD: НАШЕЛ РЕШЕНИЕ

 

Подписывать нужно с параметром -binary, пример:

 

openssl smime -sign -binary -in zapros.xml -out zapros.xml.sign -signer p12.pem -outform DER

Изменено 28 ноября, 2016 пользователем Tftpsher

[Стич]

Не подскажите, чего rzs.rkn.gov.ru не доступен.

[user]

подписываю раз в год и использую.

 

"C:\Program Files\Crypto Pro\CSP\csptest.exe" -sfsign -sign -detached -add -in request.xml -out request.xml.sign -my my_mail@from.certificat

 

 

подписал очередной.

при этом сам файл "request.xml" 13го года,

<requestTime>2013-01-25T00:45:00.000+04:00</requestTime>

и работает...

 

только request.xml.sign раз в год новый подкладывать

Изменено 29 ноября, 2016 пользователем user

[saaremaa]

Внезапно перестал запускаться конвертер реестра RusRKNConvertor.jar для программы RegisterCheck. Как можно победить?

D:\vs1.9.9>java -jar RusRKNConvertor.jar dump.xml dump.xls
RusRKNConvertor, Copyright (C) 2016  Sergey V. Lobanov <sergey@lobanov.in>
This program is licensed under the GPLv3. Please see http://www.gnu.org/licenses

Parsing dump.xml ...
Generating dump.xls ...
Exception in thread "main" java.lang.OutOfMemoryError: Java heap space
       at org.apache.poi.poifs.nio.ByteArrayBackedDataSource.extend(ByteArrayBackedDataSource.java:79)
       at org.apache.poi.poifs.nio.ByteArrayBackedDataSource.write(ByteArrayBackedDataSource.java:57)
       at org.apache.poi.poifs.filesystem.NPOIFSFileSystem.createBlockIfNeeded(NPOIFSFileSystem.java:501)
       at org.apache.poi.poifs.filesystem.NPOIFSStream$StreamBlockByteBuffer.createBlockIfNeeded(NPOIFSStream.java:226)
       at org.apache.poi.poifs.filesystem.NPOIFSStream$StreamBlockByteBuffer.write(NPOIFSStream.java:246)
       at org.apache.poi.poifs.filesystem.NPOIFSDocument.store(NPOIFSDocument.java:143)
       at org.apache.poi.poifs.filesystem.NPOIFSDocument.<init>(NPOIFSDocument.java:84)
       at org.apache.poi.poifs.filesystem.DirectoryNode.createDocument(DirectoryNode.java:422)
       at org.apache.poi.poifs.filesystem.NPOIFSFileSystem.createDocument(NPOIFSFileSystem.java:685)
       at org.apache.poi.hssf.usermodel.HSSFWorkbook.write(HSSFWorkbook.java:1383)
       at rusrknconvertor.RusRKNConvertor.genXLS(RusRKNConvertor.java:195)
       at rusrknconvertor.RusRKNConvertor.main(RusRKNConvertor.java:217)

[karpa13a]

saaremaa в параметры запуска добавить больше памяти -Xms или както так

[saaremaa]

saaremaa в параметры запуска добавить больше памяти -Xms или както так

Спасибо.!

Заработало так:

java -Xmx512m -jar RusRKNConvertor.jar dump.xml dump.xls

[Tftpsher]

Коллеги, а кто сталкивался вот с такой ситуацией:

 

Осуществляем блокировку по IP. Анонсируем по BGP адреса из выгрузки на EDGE роутеры и заворачиваем весь трафик к этим адресам на блокирующий сервер. Для http отдаем страницу заглушки, а для https просто рвем tcp соединение.

 

При такой схеме агент Ревизор показывает достаточно большой процент нарушений. Из разговора с РЧЦ узнали, что агент осуществляет проверку по URL и соотв. частенько получает от DNS серверов IP адрес, который не содержится в выгрузке РКН. Кроме того, в отчете большое кол-во записей по сервису YouTube, но данный сервис сейчас работает только по https. Значит ли это, что нужно блокировать YouTube целиком?

[bike]

Кроме того, в отчете большое кол-во записей по сервису YouTube, но данный сервис сейчас работает только по https. Значит ли это, что нужно блокировать YouTube целиком?

В реестре нет ни одной записи https://youtube.com/, значит фильтрования только http достаточно.

[alibek]

но данный сервис сейчас работает только по https

Нет, это HSTS в новых браузерах.

Если выключить HSTS или использовать старый браузер, то ролики будут открываться на http.

И wget, который использует Ревизор, также будет проверять http-ссылки, а не переключаться на https.

wget -d http://www.youtube.com/watch?v=hs26cR0NKys

--2016-12-02 11:27:45--  http://www.youtube.com/watch?v=hs26cR0NKys
Resolving www.youtube.com... seconds 0.00, 64.233.164.198
Caching www.youtube.com => 64.233.164.198
Connecting to www.youtube.com|64.233.164.198|:80... seconds 0.00, connected.
Created socket 360.
Releasing 0x02213b30 (new refcount 1).

---request begin---
GET /watch?v=hs26cR0NKys HTTP/1.0
User-Agent: Wget/1.11.4
Accept: */*
Host: www.youtube.com
Connection: Keep-Alive

---request end---
HTTP request sent, awaiting response...
---response begin---
HTTP/1.1 302 Moved Temporarily
Location: http://*************/block/?UrlRedir=http%3A%2F%2Fwww.youtube.com%2fwatch%3fv%3dhs26cR0NKys
Content-Length: 0
Cache-Control: max-age=0, no-cache, no-store, must-revalidate
Pragma: no-cache
Connection: close

---response end---

 

Значит ли это, что нужно блокировать YouTube целиком?

Если блокировка осуществляется по IP, то по всей видимости да.

Пункт 9.2 Рекомендаций.

[Tftpsher]

to Bike: Думаю, что если нужно блокировать доступ по http, то для того же материала нужно ограничивать и https протокол.

 

to alibek: Большое спасибо за разъяснения!

 

 

Но как быть с тем фактом, что Ревизор считает ресурс не заблокированным, получая от DNS сервера IP адрес не из списка РКН и соотв. трафик к которому не отправляется на сервер блокировки. Получается, что блокировка по IP не может закрыть все вопросы по ограничению доступа?

Изменено 2 декабря, 2016 пользователем Tftpsher

[alibek]

Получается, что блокировка по IP не может закрыть все вопросы по ограничению доступа?

Разумеется нет.

Блокировка по IP это компромисс для провайдеров, у которых нет возможности использовать DPI.

[Tem]

Вот такую странность с ютубом наблюдаю и не первый раз

[Tosha]

Но как быть с тем фактом, что Ревизор считает ресурс не заблокированным, получая от DNS сервера IP адрес не из списка РКН и соотв. трафик к которому не отправляется на сервер блокировки. Получается, что блокировка по IP не может закрыть все вопросы по ограничению доступа?

Постоянно резолвишь все ссылки сам + все прошлые IP помнишь + IP из реестра, трафик AS ютуба заворачиваешь на фильтр целиком. И то пяток сайтов успевают пролезть в промежуток когда адрес поменялся а ты его еще не определил.

[pers123]

Чую, от очередной инициативы мало не покажется...

 

Краткое описание проблемы:

В настоящее время операторы связи самостоятельно выбирают способы ограничения доступа к сайтам в сети Интернет. При этом используемые операторами связи способы ограничения доступа не всегда являются оптимальными с точки зрения сохранения устойчивости сетей связи, что в ряде случаев приводит к блокировке ресурсов, не содержащих запрещенной информации.

 

Используемые в настоящее время операторами связи способы ограничения доступа не всегда являются оптимальными с точки зрения сохранения устойчивости сетей связи, что в ряде случаев приводит к блокировке ресурсов, не содержащих запрещенной информации. С целью обеспечения соответствующего запрета на распространение информации возникает необходимость унифицировать и определить единые требования для всех операторов связи к способам (методам) ограничения доступа к информационных ресурсам, а также к информационным сообщениям об ограничении доступа к сайтам в сети «Интернет».

Короче, плохо работаете, мы вас научим, как надо...

[Alx65]

Чую, от очередной инициативы мало не покажется...

 

Короче, плохо работаете, мы вас научим, как надо...

 

Прикольно, что на https://regulation.gov.ru сертификат просрочен. С 24 сентября. И эти люди нам нормативы разрабатывают.

Я тихо фигею.