Tosha Опубликовано 22 ноября, 2016 · Жалоба в уголовных делах "бремя доказательства лежит на стороне обвинения". в гражданских это не так? Они показывают видеофайл как открыли запрещенный сайт. И тут уже надо опровергать ответчику. Иначе - доказано. И как бы это нелегко. Предложение "давайте с экспертами проверим снова" отфутболят "ну так вы конечно уже все исправили - а тогда - не фильтровалось" И все... Любые логи оспорят тем, что нам верить нельзя. Нужна сторонняя экспертиза именно на момент проверки. Но система "Ревизор" как специально не генерирует "индульгенций". Если все нормально - она не дает отчет что фильтрация выполнена в полном объеме и нет претензий. Она дает отчет "нет данных". Все это в комплекте с тем как работает ютуб особенно печально. Если в браузере руками проверять запрещенные url ютуба они же открываются! Ну да, через HTTPS. Но я еще не знаю легко ли будет судье объяснить почему же закон не выполняется. в выгрузке одно, в запросе от ревизора другое (вместо последнего символа в выгрузке, запрашивают %E2%80%A6) wtf? Стандарт. Ревизор подменяет некоторые латинские символы, например, '{' '}' '"' '$' их кодами. Полный список подстановок они не дают (скоре всего сами не знают). По ходу дела он выясняется экспериментально и фильтрация корректируется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user Опубликовано 22 ноября, 2016 (изменено) · Жалоба плывём дальше: ru.linkedin.com блокировать или нет? требуют свежим письмом от 14:00 в выгрузке пока нет. а отчитаться требуют уже вот сейчас. ------------------------ Шеф сказал "Блокировать". Изменено 22 ноября, 2016 пользователем user Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 ноября, 2016 · Жалоба так уже бы включили бы в xml inetnum: 185.63.144.0 - 185.63.147.255 netname: EU-LINKEDIN-20140710 и не парили бы мозги... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alx65 Опубликовано 22 ноября, 2016 · Жалоба плывём дальше: ru.linkedin.com блокировать или нет? требуют свежим письмом от 14:00 в выгрузке пока нет. а отчитаться требуют уже вот сейчас. ------------------------ Шеф сказал "Блокировать". А на каком основании блокировать ru.linkedin.com? В реестре нет. У linkedin.com тип не domain-mask. Резолвится на адреса, которых нет в реестре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 ноября, 2016 · Жалоба Шеф сказал "Блокировать". Лично я бы не блокировал. Ответил бы, что блокируются записи #383850 (www.linkedin.com) и #383851 (linkedin.com), а для блокировки домена ru.linkedin.com нет оснований. Все равно ведь скоро добавят domain-mask, тогда вопрос решится автоматически. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alx65 Опубликовано 22 ноября, 2016 · Жалоба Лично я бы не блокировал. Ответил бы, что блокируются записи #383850 (www.linkedin.com) и #383851 (linkedin.com), а для блокировки домена ru.linkedin.com нет оснований. Все равно ведь скоро добавят domain-mask, тогда вопрос решится автоматически. Уже. Переделали #383851 в *.linkedin.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user Опубликовано 23 ноября, 2016 (изменено) · Жалоба И опять Здравствуйте. Подскажите, как правильно записать строку, чтоб Squid ловил через "acl bad_urls url_regex file_name": %C4%EB%FF-%F2%E5%F5-%EA%F2%EE-%F5%EE%F7%E5%F2-%F3%EC%E5%F0%E5%F2%FC это хвост от content id="86227", остальное ловит, стоит хвост дописать - перестаёт ловить. Squid Cache: Version 3.3.8 Ubuntu 14.04.5 LTS Изменено 23 ноября, 2016 пользователем user Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tftpsher Опубликовано 28 ноября, 2016 · Жалоба Всем привет! Прошу помощи в решении проблемы с подписью запроса на получение выгрузки РКН через openssl. Если подписывать через Крипто-ПРО, то проверка ЭП на сайте https://www.gosuslugi.ru/pgu/eds/order проходит успешно. Если подписывать через openssl при помощи экспортированного ключа в формате pem, то выдает ошибку: ЭП 1: НЕ ВЕРНА Статус сертификата подписи: Не проверялся На форуме уже были подобные вопросы, но решения я не нашел.. ЭП действительна до 11.2017 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 28 ноября, 2016 · Жалоба Прошу помощи в решении проблемы с подписью запроса на получение выгрузки РКН через openssl. Почитайте тут, вариант полностью рабочий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tftpsher Опубликовано 28 ноября, 2016 · Жалоба Прошу помощи в решении проблемы с подписью запроса на получение выгрузки РКН через openssl. Почитайте тут, вариант полностью рабочий. Читал. Ничего нового для меня там нет. Экспорт ключа и его преобразование из pfx в pem проходит без ошибок. Пробовал на OpenSSL 1.0.1u под Windows и OpenSSL 1.0.1f под Linux. Во время подписи запроса ошибок не появляется. Издатель ключа: TENSORCA3, Удостоверяющий центр, ООО Компания Тензор Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tftpsher Опубликовано 28 ноября, 2016 (изменено) · Жалоба Попробовал собрать openssl как в статье https://www.evernote.com/shard/s185/sh/ceb0b021-47e7-4c61-ab43-bc6db27fe919/c535b6e5047ec69d304519fe81c2c9ac?noteKey=c535b6e5047ec69d304519fe81c2c9ac¬eGuid=ceb0b021-47e7-4c61-ab43-bc6db27fe919 - результат аналогичный UPD: При попытке проверить подпись самому Verification failure 139708241659552:error:21071065:PKCS7 routines:PKCS7_signatureVerify:digest failure:pk7_doit.c:1170: 139708241659552:error:21075069:PKCS7 routines:PKCS7_verify:signature failure:pk7_smime.c:410: UPD: НАШЕЛ РЕШЕНИЕ Подписывать нужно с параметром -binary, пример: openssl smime -sign -binary -in zapros.xml -out zapros.xml.sign -signer p12.pem -outform DER Изменено 28 ноября, 2016 пользователем Tftpsher Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 28 ноября, 2016 · Жалоба Не подскажите, чего rzs.rkn.gov.ru не доступен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user Опубликовано 28 ноября, 2016 (изменено) · Жалоба подписываю раз в год и использую. "C:\Program Files\Crypto Pro\CSP\csptest.exe" -sfsign -sign -detached -add -in request.xml -out request.xml.sign -my my_mail@from.certificat подписал очередной. при этом сам файл "request.xml" 13го года, <requestTime>2013-01-25T00:45:00.000+04:00</requestTime> и работает... только request.xml.sign раз в год новый подкладывать Изменено 29 ноября, 2016 пользователем user Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 30 ноября, 2016 · Жалоба Внезапно перестал запускаться конвертер реестра RusRKNConvertor.jar для программы RegisterCheck. Как можно победить? D:\vs1.9.9>java -jar RusRKNConvertor.jar dump.xml dump.xls RusRKNConvertor, Copyright (C) 2016 Sergey V. Lobanov <sergey@lobanov.in> This program is licensed under the GPLv3. Please see http://www.gnu.org/licenses Parsing dump.xml ... Generating dump.xls ... Exception in thread "main" java.lang.OutOfMemoryError: Java heap space at org.apache.poi.poifs.nio.ByteArrayBackedDataSource.extend(ByteArrayBackedDataSource.java:79) at org.apache.poi.poifs.nio.ByteArrayBackedDataSource.write(ByteArrayBackedDataSource.java:57) at org.apache.poi.poifs.filesystem.NPOIFSFileSystem.createBlockIfNeeded(NPOIFSFileSystem.java:501) at org.apache.poi.poifs.filesystem.NPOIFSStream$StreamBlockByteBuffer.createBlockIfNeeded(NPOIFSStream.java:226) at org.apache.poi.poifs.filesystem.NPOIFSStream$StreamBlockByteBuffer.write(NPOIFSStream.java:246) at org.apache.poi.poifs.filesystem.NPOIFSDocument.store(NPOIFSDocument.java:143) at org.apache.poi.poifs.filesystem.NPOIFSDocument.<init>(NPOIFSDocument.java:84) at org.apache.poi.poifs.filesystem.DirectoryNode.createDocument(DirectoryNode.java:422) at org.apache.poi.poifs.filesystem.NPOIFSFileSystem.createDocument(NPOIFSFileSystem.java:685) at org.apache.poi.hssf.usermodel.HSSFWorkbook.write(HSSFWorkbook.java:1383) at rusrknconvertor.RusRKNConvertor.genXLS(RusRKNConvertor.java:195) at rusrknconvertor.RusRKNConvertor.main(RusRKNConvertor.java:217) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 30 ноября, 2016 · Жалоба saaremaa в параметры запуска добавить больше памяти -Xms или както так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 30 ноября, 2016 · Жалоба saaremaa в параметры запуска добавить больше памяти -Xms или както так Спасибо.! Заработало так: java -Xmx512m -jar RusRKNConvertor.jar dump.xml dump.xls Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tftpsher Опубликовано 2 декабря, 2016 · Жалоба Коллеги, а кто сталкивался вот с такой ситуацией: Осуществляем блокировку по IP. Анонсируем по BGP адреса из выгрузки на EDGE роутеры и заворачиваем весь трафик к этим адресам на блокирующий сервер. Для http отдаем страницу заглушки, а для https просто рвем tcp соединение. При такой схеме агент Ревизор показывает достаточно большой процент нарушений. Из разговора с РЧЦ узнали, что агент осуществляет проверку по URL и соотв. частенько получает от DNS серверов IP адрес, который не содержится в выгрузке РКН. Кроме того, в отчете большое кол-во записей по сервису YouTube, но данный сервис сейчас работает только по https. Значит ли это, что нужно блокировать YouTube целиком? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 2 декабря, 2016 · Жалоба Кроме того, в отчете большое кол-во записей по сервису YouTube, но данный сервис сейчас работает только по https. Значит ли это, что нужно блокировать YouTube целиком? В реестре нет ни одной записи https://youtube.com/, значит фильтрования только http достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 2 декабря, 2016 · Жалоба но данный сервис сейчас работает только по https Нет, это HSTS в новых браузерах. Если выключить HSTS или использовать старый браузер, то ролики будут открываться на http. И wget, который использует Ревизор, также будет проверять http-ссылки, а не переключаться на https. wget -d http://www.youtube.com/watch?v=hs26cR0NKys --2016-12-02 11:27:45-- http://www.youtube.com/watch?v=hs26cR0NKys Resolving www.youtube.com... seconds 0.00, 64.233.164.198 Caching www.youtube.com => 64.233.164.198 Connecting to www.youtube.com|64.233.164.198|:80... seconds 0.00, connected. Created socket 360. Releasing 0x02213b30 (new refcount 1). ---request begin--- GET /watch?v=hs26cR0NKys HTTP/1.0 User-Agent: Wget/1.11.4 Accept: */* Host: www.youtube.com Connection: Keep-Alive ---request end--- HTTP request sent, awaiting response... ---response begin--- HTTP/1.1 302 Moved Temporarily Location: http://*************/block/?UrlRedir=http%3A%2F%2Fwww.youtube.com%2fwatch%3fv%3dhs26cR0NKys Content-Length: 0 Cache-Control: max-age=0, no-cache, no-store, must-revalidate Pragma: no-cache Connection: close ---response end--- Значит ли это, что нужно блокировать YouTube целиком? Если блокировка осуществляется по IP, то по всей видимости да. Пункт 9.2 Рекомендаций. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tftpsher Опубликовано 2 декабря, 2016 (изменено) · Жалоба to Bike: Думаю, что если нужно блокировать доступ по http, то для того же материала нужно ограничивать и https протокол. to alibek: Большое спасибо за разъяснения! Но как быть с тем фактом, что Ревизор считает ресурс не заблокированным, получая от DNS сервера IP адрес не из списка РКН и соотв. трафик к которому не отправляется на сервер блокировки. Получается, что блокировка по IP не может закрыть все вопросы по ограничению доступа? Изменено 2 декабря, 2016 пользователем Tftpsher Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 2 декабря, 2016 · Жалоба Получается, что блокировка по IP не может закрыть все вопросы по ограничению доступа? Разумеется нет. Блокировка по IP это компромисс для провайдеров, у которых нет возможности использовать DPI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 2 декабря, 2016 · Жалоба Вот такую странность с ютубом наблюдаю и не первый раз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 2 декабря, 2016 · Жалоба Но как быть с тем фактом, что Ревизор считает ресурс не заблокированным, получая от DNS сервера IP адрес не из списка РКН и соотв. трафик к которому не отправляется на сервер блокировки. Получается, что блокировка по IP не может закрыть все вопросы по ограничению доступа? Постоянно резолвишь все ссылки сам + все прошлые IP помнишь + IP из реестра, трафик AS ютуба заворачиваешь на фильтр целиком. И то пяток сайтов успевают пролезть в промежуток когда адрес поменялся а ты его еще не определил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 2 декабря, 2016 · Жалоба Чую, от очередной инициативы мало не покажется... Краткое описание проблемы: В настоящее время операторы связи самостоятельно выбирают способы ограничения доступа к сайтам в сети Интернет. При этом используемые операторами связи способы ограничения доступа не всегда являются оптимальными с точки зрения сохранения устойчивости сетей связи, что в ряде случаев приводит к блокировке ресурсов, не содержащих запрещенной информации. Используемые в настоящее время операторами связи способы ограничения доступа не всегда являются оптимальными с точки зрения сохранения устойчивости сетей связи, что в ряде случаев приводит к блокировке ресурсов, не содержащих запрещенной информации. С целью обеспечения соответствующего запрета на распространение информации возникает необходимость унифицировать и определить единые требования для всех операторов связи к способам (методам) ограничения доступа к информационных ресурсам, а также к информационным сообщениям об ограничении доступа к сайтам в сети «Интернет». Короче, плохо работаете, мы вас научим, как надо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alx65 Опубликовано 2 декабря, 2016 · Жалоба Чую, от очередной инициативы мало не покажется... Короче, плохо работаете, мы вас научим, как надо... Прикольно, что на https://regulation.gov.ru сертификат просрочен. С 24 сентября. И эти люди нам нормативы разрабатывают. Я тихо фигею. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...