[AdmSasha]

Да. Действительно.

 

Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ?

[Галушко Дмитрий]

Да. Действительно.

 

Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ?

+ регион= Архангельск. КТо ещё смог доказать?

[alibek]

А никто не заметил, что размер zip-архива выгрузки уменьшился в размере в 4 раза примерно ?

Это ничего не значит, сам дамп размер не поменял.

Видимо алгоритм упаковки поменяли.

[Konstantin Klimchev]

в базе реестра, и материалах - http, а в скриншотах https

Strict-Transport-Security и HSTS срабатывают?

 

Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https? А логи о блокировании http имелись и по времени совпадали.

А когда приводят скриншоты экрана с другим протоколом, да еще и вместо домена 3-го уровня - с доменом 2-го....

[Konstantin Klimchev]

Да. Действительно.

 

Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ?

 

А чего доказывать? В протоколе один url (вернее 4-е, но на один ресурс. в базе на этот ресурс - больше 10 url'ов). В скриншотах (в последнее время на скриншотах, как я понял, url рисуется) - другой (и протокол и домен не 3-го, а 2-го уровня). Т.е. скриншот (в даном конкретно случае) не является доказательством о неблокировании ресурсов. "Другой" url в базе отсутствует. Раньше, когда было чуть-чуть - звонили и говорили "ай-яй-яй". Мы разбирались, и устраняли (где-то кириллица некорректно или еще чего) или говорили - а у нас блокирует (типа как в этот раз)... Щас, наверое, поступила указивка - сразу административку оформлять...

 

Глючит походу Ревизор с последними изменениями. Связьнадзор - ему пришло указание - он его выполнил...

Изменено 1 февраля, 2017 пользователем Konstantin Klimchev

[alibek]

Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https?

Не должен (с HSTS).

Браузер сам откроет HTTPS-версию сайта, не обращаясь предварительно к серверу.

А если отпечаток сертификата сайта будет отличаться от отпечатка в локальной базе, то отобразит сообщение.

[Галушко Дмитрий]

насколько я понимаю

у РКН есть Методические рекомендации Проверки показаний Ревизора.

Вот кто сможет достать, выкладывайте сюда, пожалуйста...

[Sergey Gilfanov]

Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https?

Должен. Один раз, чтобы нужные заголовки для домена увидеть. А для ютуба - верятно, вообще не должен, в брузер прямо вбито.

[alks]

Из конференции

 

Роман, г.Пермь

Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ?

 

Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр.

 

т.е. короче, как хочешь а ресурс заблочь

[alks]

П.С. по факту получается что при открытии url мы должны сами определять его адрес, какой протокол используется на самом деле http или htpps, редиректы, парсить многоязычные урлы и так далее

[Sergey Gilfanov]

П.С. по факту получается что при открытии url мы должны сами определять его адрес, какой протокол используется на самом деле http или htpps, редиректы, парсить многоязычные урлы и так далее

Этот адрес не видно же. Оно работает так:

1) Браузеру нужно обратится на http://example.com

2) Он лезет в свои внутренние таблицы и видит, что сайт хочет, чтобы к нему ходили на https

3) И сразу идет на https://example.com

 

И 'на ютубе на самом деле используется https' - а дальше что? Кроме как заблокировать весь ютуб - никак. Даже MitM сделать скорее всего не получится - Гугл с хромом сильно (сильнее чем обычно) обидятся.

[SokolovS]

Из конференции

 

Роман, г.Пермь

Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ?

 

Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр.

 

т.е. короче, ебись как хочешь а ресурс заблочь

Интересно, а с какими НПА согласуется данный ответ? Т.е. оператор при построении блокирующих правил должен, вне зависимости от того какой IP указан в реестре, обратиться к DNS за резольвингом, при этом учесть, что IP может быть несколько и уже потом блокировать?

[nphs]

Помогите разобраться, нафига резолвить.

Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать.

Изменено 1 февраля, 2017 пользователем nphs

[SokolovS]

Помогите разобраться, нафига резолвить.

Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать.

L7 инспекция пакета ресурсоемкая операция, поэтому аппаратные DPI и стоят не дешево. Многие используют другие варианты блокировки.

[Галушко Дмитрий]

Из конференции

 

Роман, г.Пермь

Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ?

 

Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр.

 

т.е. короче, ебись как хочешь а ресурс заблочь

Интересно, а с какими НПА согласуется данный ответ? Т.е. оператор при построении блокирующих правил должен, вне зависимости от того какой IP указан в реестре, обратиться к DNS за резольвингом, при этом учесть, что IP может быть несколько и уже потом блокировать?

Тех. инфо - это не НПА В НПА установлена обязанность: п.5 ст. 46 ФзоС.

Формально есть реестр. Обязаны блокировать все его содержимое.

+ есть Рекомендации от 7.7.16 но это не НПА.

[SLon26]

Из конференции

 

Роман, г.Пермь

Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ?

 

Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр.

 

т.е. короче, ебись как хочешь а ресурс заблочь

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

[Sergey Gilfanov]

Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать.

Может и не быть.

~$telnet <host> 80

GET / HTTP/1.0

 

HTTP/1.1 200 OK

Server: nginx/1.10.1

Date: Wed, 01 Feb 2017 11:56:33 GMT

Content-Type: text/html

Content-Length: 612

Last-Modified: Mon, 15 Aug 2016 05:29:20 GMT

Connection: close

ETag: "57b15330-264"

Accept-Ranges: bytes

 

<!DOCTYPE html>

....

И где тут имя сайта?

Нет, понятно, что в реальной жизни HTTP/1.0 уже почти не бывает. Но ради того, чтобы пробиться через блокировку - сделают.

[S.Sannikov]

Из конференции

 

....

 

т.е. короче, ебись как хочешь а ресурс заблочь

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

 

Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам.

[SLon26]

Из конференции

 

....

 

т.е. короче, ебись как хочешь а ресурс заблочь

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

 

Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам.

 

Посмотрите тред выше, IP адреса в выгрузке не обновляються.

[Sergey Gilfanov]

У меня вопрос - а этот Ревизор как-нибудь патчится автоматически, включая саму ОС или нет? Если не патчится - то как быстро кто-нибудь сумеет все эти железки затроянить? Софт же гарантированно одинаковый.

[S.Sannikov]

Из конференции

 

....

 

т.е. короче, ебись как хочешь а ресурс заблочь

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

 

Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам.

 

Посмотрите тред выше, IP адреса в выгрузке не обновляються.

 

Там и указатели страниц не обновляются. Только занесли и забыли. Так что это проблема все-таки шерифа.

[taf_321]

Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать.

Для https это не совсем так.

[alibek]

У меня вопрос - а этот Ревизор как-нибудь патчится автоматически, включая саму ОС или нет?

Было бы глупо не сделать это, учитывая архитектуру системы и наличие зашифрованного канала управления.

 

Для https это не совсем так.

Для HTTPS имя домена содержится в серверном сертификате.

[Tosha]

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

К сожалению, закон обязывает РКН в реестре обязательно указывать сетевые адреса.

В принципе с т.з. исполнения реестра оператор не обязан фильтровать данные для других сетевых адресов и его никто не сможет привлечь по этому закону за отсутствие фильтрации по прочим IP. Но в этом случае привлекают за неисполнение непосредственно решений суда (на основании которых добавлена запись в реестр) а в этом решении как раз IP обычно и нет - только доменные имена и адреса страниц. Реестр это пятое колесо в телеге. Но необходимое, иначе каждому оператору придется иметь человека который следит за решениями всех судов РФ.

 

В системе контроля есть только один неприятный момент. Проверка в т.ч. стучится по перечню IP заранее известных и поэтому метод блокировки на DNS сервере в т.ч. даже фильтрация всех DNS запросов оказывается неэффективной. Это усложняет фильтрацию HTTPS доменов. До наступления 2017 года их можно было фильтровать на DNS. А теперь - нет. :( Им осталось только сломать еще один механизм (не буду им подсказывать какой) и фильтация HTTPS протокола останется возможной только по IP адресу с очень большими побочными эффектами (например серьезно задевает AS гугла, в котором хостяться некоторые блоги)

[Tosha]

Для HTTPS имя домена содержится в серверном сертификате.

Только вот я еще не видел решений по фильтрации на основании данных серверного сертификата. Он вообще может быть выдан на пачку доменов по маске.

 

И я точно не знаю, но наверное получение данных сертификата сервера происходит уже после инициации шифрования. Именно поэтому данные именно сертификата не раскопать. Максимум что удается выцепить нешифрованного - это запрос на сертификат и то не всегда. Иногда инициация сессии идет без указания запрашиваемого домена.