AdmSasha Опубликовано 1 февраля, 2017 · Жалоба Да. Действительно. Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 1 февраля, 2017 · Жалоба Да. Действительно. Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ? + регион= Архангельск. КТо ещё смог доказать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 1 февраля, 2017 · Жалоба А никто не заметил, что размер zip-архива выгрузки уменьшился в размере в 4 раза примерно ? Это ничего не значит, сам дамп размер не поменял. Видимо алгоритм упаковки поменяли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 1 февраля, 2017 · Жалоба в базе реестра, и материалах - http, а в скриншотах https Strict-Transport-Security и HSTS срабатывают? Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https? А логи о блокировании http имелись и по времени совпадали. А когда приводят скриншоты экрана с другим протоколом, да еще и вместо домена 3-го уровня - с доменом 2-го.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 1 февраля, 2017 (изменено) · Жалоба Да. Действительно. Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ? А чего доказывать? В протоколе один url (вернее 4-е, но на один ресурс. в базе на этот ресурс - больше 10 url'ов). В скриншотах (в последнее время на скриншотах, как я понял, url рисуется) - другой (и протокол и домен не 3-го, а 2-го уровня). Т.е. скриншот (в даном конкретно случае) не является доказательством о неблокировании ресурсов. "Другой" url в базе отсутствует. Раньше, когда было чуть-чуть - звонили и говорили "ай-яй-яй". Мы разбирались, и устраняли (где-то кириллица некорректно или еще чего) или говорили - а у нас блокирует (типа как в этот раз)... Щас, наверое, поступила указивка - сразу административку оформлять... Глючит походу Ревизор с последними изменениями. Связьнадзор - ему пришло указание - он его выполнил... Изменено 1 февраля, 2017 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 1 февраля, 2017 · Жалоба Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https? Не должен (с HSTS). Браузер сам откроет HTTPS-версию сайта, не обращаясь предварительно к серверу. А если отпечаток сертификата сайта будет отличаться от отпечатка в локальной базе, то отобразит сообщение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 1 февраля, 2017 · Жалоба насколько я понимаю у РКН есть Методические рекомендации Проверки показаний Ревизора. Вот кто сможет достать, выкладывайте сюда, пожалуйста... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 1 февраля, 2017 · Жалоба Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https? Должен. Один раз, чтобы нужные заголовки для домена увидеть. А для ютуба - верятно, вообще не должен, в брузер прямо вбито. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 1 февраля, 2017 · Жалоба Из конференции Роман, г.Пермь Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ? Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр. т.е. короче, как хочешь а ресурс заблочь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 1 февраля, 2017 · Жалоба П.С. по факту получается что при открытии url мы должны сами определять его адрес, какой протокол используется на самом деле http или htpps, редиректы, парсить многоязычные урлы и так далее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 1 февраля, 2017 · Жалоба П.С. по факту получается что при открытии url мы должны сами определять его адрес, какой протокол используется на самом деле http или htpps, редиректы, парсить многоязычные урлы и так далее Этот адрес не видно же. Оно работает так: 1) Браузеру нужно обратится на http://example.com 2) Он лезет в свои внутренние таблицы и видит, что сайт хочет, чтобы к нему ходили на https 3) И сразу идет на https://example.com И 'на ютубе на самом деле используется https' - а дальше что? Кроме как заблокировать весь ютуб - никак. Даже MitM сделать скорее всего не получится - Гугл с хромом сильно (сильнее чем обычно) обидятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 1 февраля, 2017 · Жалоба Из конференции Роман, г.Пермь Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ? Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр. т.е. короче, ебись как хочешь а ресурс заблочь Интересно, а с какими НПА согласуется данный ответ? Т.е. оператор при построении блокирующих правил должен, вне зависимости от того какой IP указан в реестре, обратиться к DNS за резольвингом, при этом учесть, что IP может быть несколько и уже потом блокировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nphs Опубликовано 1 февраля, 2017 (изменено) · Жалоба Помогите разобраться, нафига резолвить. Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать. Изменено 1 февраля, 2017 пользователем nphs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 1 февраля, 2017 · Жалоба Помогите разобраться, нафига резолвить. Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать. L7 инспекция пакета ресурсоемкая операция, поэтому аппаратные DPI и стоят не дешево. Многие используют другие варианты блокировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Галушко Дмитрий Опубликовано 1 февраля, 2017 · Жалоба Из конференции Роман, г.Пермь Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ? Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр. т.е. короче, ебись как хочешь а ресурс заблочь Интересно, а с какими НПА согласуется данный ответ? Т.е. оператор при построении блокирующих правил должен, вне зависимости от того какой IP указан в реестре, обратиться к DNS за резольвингом, при этом учесть, что IP может быть несколько и уже потом блокировать? Тех. инфо - это не НПА В НПА установлена обязанность: п.5 ст. 46 ФзоС. Формально есть реестр. Обязаны блокировать все его содержимое. + есть Рекомендации от 7.7.16 но это не НПА. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SLon26 Опубликовано 1 февраля, 2017 · Жалоба Из конференции Роман, г.Пермь Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ? Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр. т.е. короче, ебись как хочешь а ресурс заблочь Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 1 февраля, 2017 · Жалоба Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать. Может и не быть. ~$telnet <host> 80 GET / HTTP/1.0 HTTP/1.1 200 OK Server: nginx/1.10.1 Date: Wed, 01 Feb 2017 11:56:33 GMT Content-Type: text/html Content-Length: 612 Last-Modified: Mon, 15 Aug 2016 05:29:20 GMT Connection: close ETag: "57b15330-264" Accept-Ranges: bytes <!DOCTYPE html> .... И где тут имя сайта? Нет, понятно, что в реальной жизни HTTP/1.0 уже почти не бывает. Но ради того, чтобы пробиться через блокировку - сделают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S.Sannikov Опубликовано 1 февраля, 2017 · Жалоба Из конференции .... т.е. короче, ебись как хочешь а ресурс заблочь Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SLon26 Опубликовано 1 февраля, 2017 · Жалоба Из конференции .... т.е. короче, ебись как хочешь а ресурс заблочь Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам. Посмотрите тред выше, IP адреса в выгрузке не обновляються. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 1 февраля, 2017 · Жалоба У меня вопрос - а этот Ревизор как-нибудь патчится автоматически, включая саму ОС или нет? Если не патчится - то как быстро кто-нибудь сумеет все эти железки затроянить? Софт же гарантированно одинаковый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S.Sannikov Опубликовано 2 февраля, 2017 · Жалоба Из конференции .... т.е. короче, ебись как хочешь а ресурс заблочь Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам. Посмотрите тред выше, IP адреса в выгрузке не обновляються. Там и указатели страниц не обновляются. Только занесли и забыли. Так что это проблема все-таки шерифа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 2 февраля, 2017 · Жалоба Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать. Для https это не совсем так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 2 февраля, 2017 · Жалоба У меня вопрос - а этот Ревизор как-нибудь патчится автоматически, включая саму ОС или нет? Было бы глупо не сделать это, учитывая архитектуру системы и наличие зашифрованного канала управления. Для https это не совсем так. Для HTTPS имя домена содержится в серверном сертификате. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 2 февраля, 2017 · Жалоба Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум К сожалению, закон обязывает РКН в реестре обязательно указывать сетевые адреса. В принципе с т.з. исполнения реестра оператор не обязан фильтровать данные для других сетевых адресов и его никто не сможет привлечь по этому закону за отсутствие фильтрации по прочим IP. Но в этом случае привлекают за неисполнение непосредственно решений суда (на основании которых добавлена запись в реестр) а в этом решении как раз IP обычно и нет - только доменные имена и адреса страниц. Реестр это пятое колесо в телеге. Но необходимое, иначе каждому оператору придется иметь человека который следит за решениями всех судов РФ. В системе контроля есть только один неприятный момент. Проверка в т.ч. стучится по перечню IP заранее известных и поэтому метод блокировки на DNS сервере в т.ч. даже фильтрация всех DNS запросов оказывается неэффективной. Это усложняет фильтрацию HTTPS доменов. До наступления 2017 года их можно было фильтровать на DNS. А теперь - нет. :( Им осталось только сломать еще один механизм (не буду им подсказывать какой) и фильтация HTTPS протокола останется возможной только по IP адресу с очень большими побочными эффектами (например серьезно задевает AS гугла, в котором хостяться некоторые блоги) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 2 февраля, 2017 · Жалоба Для HTTPS имя домена содержится в серверном сертификате. Только вот я еще не видел решений по фильтрации на основании данных серверного сертификата. Он вообще может быть выдан на пачку доменов по маске. И я точно не знаю, но наверное получение данных сертификата сервера происходит уже после инициации шифрования. Именно поэтому данные именно сертификата не раскопать. Максимум что удается выцепить нешифрованного - это запрос на сертификат и то не всегда. Иногда инициация сессии идет без указания запрашиваемого домена. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...