[Rivia]

https://geektimes.ru/post/287368/

Не дай Б-г они еще сами будут вкорячивать урлы и айпишники.

Изменено 28 марта, 2017 пользователем Rivia

[Галушко Дмитрий]

https://geektimes.ru/post/287368/

Не дай Б-г они еще сами будут вкорячивать урлы и айпишники.

Кстати, РКН письмо родил,

что показания прогр. Агентов нельзя использовать для Протоколов по административке, разместил www.ordercom.ru/reg.htm

[Rivia]

https://geektimes.ru/post/287418/

Тема актуальная. На прошлой неделе получили 32 нарушения в один из дней, после общения с РЧЦ выяснилось что актуальных только 2, но эти 2 как раз попали в список по указанной причине - мы якобы должны блокировать по IP из реестра, хотя они не соответствуют тому что отдают все днсы для данных URL записей. На IP данных url не существует, но вы все равно блокируйте. Ну вот что за бедлам...

Изменено 29 марта, 2017 пользователем Rivia

[TRIada]

https://geektimes.ru/post/287418/

Тема актуальная. На прошлой неделе получили 32 нарушения в один из дней, после общения с РЧЦ выяснилось что актуальных только 2, но эти 2 как раз попали в список по указанной причине - мы якобы должны блокировать по IP из реестра, хотя они не соответствуют тому что отдают все днсы для данных URL записей. На IP данных url не существует, но вы все равно блокируйте. Ну вот что за бедлам...

завернуть весь https трафик ревизора на фильтрующий сервер и нет проблем с динамическими адресами cdn, там ведь https были наверное?

[Rivia]

https://geektimes.ru/post/287418/

Тема актуальная. На прошлой неделе получили 32 нарушения в один из дней, после общения с РЧЦ выяснилось что актуальных только 2, но эти 2 как раз попали в список по указанной причине - мы якобы должны блокировать по IP из реестра, хотя они не соответствуют тому что отдают все днсы для данных URL записей. На IP данных url не существует, но вы все равно блокируйте. Ну вот что за бедлам...

завернуть весь https трафик ревизора на фильтрующий сервер и нет проблем с динамическими адресами cdn, там ведь https были наверное?

У нас и так весь трафик заворачивается. Прочитайте еще раз - с нас требуют блокировать по IP записи, для которых blockType указан url. И более того, требуют блокировать и IP, получаемый от dns, и IP, стоящий в реестре (они отличаются).

Изменено 30 марта, 2017 пользователем Rivia

[st_re]

наверное всетаки от вас требуют блокировать не по IP а запрос урла с любого IP, не в вдаваясь в способы реализации? Врядли Вас нагибают запрос не того урла, который есть в списке... другой вопрос, что если там HTTPS то особо и деваться некуда. или умный DPI умеющий по SNI определять хотя бы домен или тупо по tcp://ip:443.

 

ps По всей видимости сервис "заблокируй конкурента" скоро войдет в моду. Всего то, затащи https ресурс в базу и указывай в dnsе IP терпилы. На наших IP уже тренировались пару раз, но у нас там пока http, не сильно помешало, но отдельные "пострадавшие" были. с HTTPS, я так понимаю будет швах. Главное не совсем понятно, как быстро детектировать, особенно если еще и сам не оператор и списка нет. По факту, бац - трафик пропал ?

[Rivia]

наверное всетаки от вас требуют блокировать не по IP а запрос урла с любого IP, не в вдаваясь в способы реализации? Врядли Вас нагибают запрос не того урла, который есть в списке... другой вопрос, что если там HTTPS то особо и деваться некуда. или умный DPI умеющий по SNI определять хотя бы домен или тупо по tcp://ip:443.

 

ps По всей видимости сервис "заблокируй конкурента" скоро войдет в моду. Всего то, затащи https ресурс в базу и указывай в dnsе IP терпилы. На наших IP уже тренировались пару раз, но у нас там пока http, не сильно помешало, но отдельные "пострадавшие" были. с HTTPS, я так понимаю будет швах. Главное не совсем понятно, как быстро детектировать, особенно если еще и сам не оператор и списка нет. По факту, бац - трафик пропал ?

Так по той ссылке на гиктаймс посмотрите ответ РКН:

 

 

Черным по белому вроде написано что производится проверка статически указанных в реестре вместе с теми что отдают DNS и производится блокировка ип-адресов, а не урл. Ровно это же мне сообщил и представитель РЧЦ, более того он даже согласился что с его личной точки зрения это нелогично, но типо оно вот так как есть.

Изменено 30 марта, 2017 пользователем Rivia

[st_re]

Это же уже обсасывали тут. Проверка IP это не пинг же. И даже не TCP CONNECT. проверка IP, значит они на IP соединяются на указанный в URL порт (ну 80 или 443 если не указан) и делают туда GET указанного в базе URL с указанным в URL доменом в заголовке Host:. В ответе должно быть

а - ваша заглушка, как они ее там детектят

b - 301 или 302 на вашу заглушку

с - сброс соединения

все остальное, включая 404 или 301 не на заглушку - ресурс не блокирован.

 

и вот это они делают как на все IP из базы, так и на все текущие IP из DNSа.

 

В случае с http все более менее понятно, в случае с https вы можете детектить только host если в запросе есть SNI или вообще блочить 443 порт если там нет СНИ или блокировщик его не умеет детектить.

 

 

А любые другие URLы c указанного IP (при таком типе записи) блокировать никто не требует.

[Rivia]

Это же уже обсасывали тут. Проверка IP это не пинг же. И даже не TCP CONNECT. проверка IP, значит они на IP соединяются на указанный в URL порт (ну 80 или 443 если не указан) и делают туда GET указанного в базе URL с указанным в URL доменом в заголовке Host:. В ответе должно быть

а - ваша заглушка, как они ее там детектят

b - 301 или 302 на вашу заглушку

с - сброс соединения

все остальное, включая 404 или 301 не на заглушку - ресурс не блокирован.

 

и вот это они делают как на все IP из базы, так и на все текущие IP из DNSа.

 

В случае с http все более менее понятно, в случае с https вы можете детектить только host если в запросе есть SNI или вообще блочить 443 порт если там нет СНИ или блокировщик его не умеет детектить.

 

 

А любые другие URLы c указанного IP (при таком типе записи) блокировать никто не требует.

Это понятно, хотя в тексте так не указано, но не суть. Зачем проверять IP из реестра, который не соответствует отданным днсами? Там урла такого уже не существует, зачем его-то проверять?

[sw29]

Зачем проверять IP из реестра, который не соответствует отданным днсами? Там урла такого уже не существует, зачем его-то проверять?

От РЧЦ получили устное, но официальное объяснение (версию). Идея такова: в РФ достаточное количество тормознутых ДНС (имеются в виду не очень высокого уровня) c периодом обновления до недели. Именно поэтому было принято решение чекать не только свежие дестинейшены, полученные от ДНС, но и старые - полученные из реестра. В ответ мы указали на то, тчо теория о недельном обновлении не очень сочетается с практикой чекания адресов двухгодичной давности. Нас точно услышали и с большой вероятностью учтут в каком-то будущем. Вопрос в том, что им придется прикручивать изменения, а это - как минимум время. Поэтому пока что это просто нужно все иметь в виду и заворачивать на фильтра все, что просят.

[AlexBT]

у меня 25го только 1 пропуск: http://josspic.net/image-calvin-calvin-s-mom-calvin-and-hobbes-hobbes-pandoras-box/rule34-data-003.paheal.net*_images*0172d83e660aa3849cce7d6ce4f438d2*157%20-%20Calvin%20Calvin's_Mom%20Calvin_and_Hobbes%20Hobbes%20Pandoras_Box.jpg.html

 

Не фильтруется на сети Ростелекома на текущий момент.

Похоже, что звездочки гасят фильтрацию - не опознается урл...

[AlexBT]

По договору присоединения о фильтрации и речи быть не может. Хотите фильтрацию - допсоглашение+деньги+ответственность.Кстати, у магистралов - ваша любая хотелка - это длинный путь и сумма.

Ну это да - Юпитеру все, быкам - ярмо.

Более 56% процентов заблокированных ресурсов находятся на заграничных серверах.

Закон предписывает чистить.

И чего бы его на точках присоединения не отфильтровать?

Потому что когда потребуется - отфильтруют все, включая ВПН, идущий за бугор.

Или просто отрубят трафик забугор...

Все это от лукавого. Потому что и договор присоединения на трафик Интернет - одно лукавство.

Типа - мы Вас в порт воткнули - на этом наши обязательства и закончились. Все что на той стороне - Ваши проблемы!

[Галушко Дмитрий]

По договору присоединения о фильтрации и речи быть не может. Хотите фильтрацию - допсоглашение+деньги+ответственность.Кстати, у магистралов - ваша любая хотелка - это длинный путь и сумма.

Ну это да - Юпитеру все, быкам - ярмо.

Более 56% процентов заблокированных ресурсов находятся на заграничных серверах.

Закон предписывает чистить.

И чего бы его на точках присоединения не отфильтровать?

Потому что когда потребуется - отфильтруют все, включая ВПН, идущий за бугор.

Или просто отрубят трафик забугор...

Все это от лукавого. Потому что и договор присоединения на трафик Интернет - одно лукавство.

Типа - мы Вас в порт воткнули - на этом наши обязательства и закончились. Все что на той стороне - Ваши проблемы!

но если в договоре есть про фильтрацию: регрес штрафа по ГК.

[SergoINFOLAN]

но если в договоре есть про фильтрацию: регрес штрафа по ГК.

а что можно подключится БЕЗ фильтрации? почему так физики/юрики не могут брать инет у своего прова (без фильтрации) ? чем вообще отличается пров от физика/юрика (кроме ЛИШНЕЙ лицензии) ?

[alibek]

чем вообще отличается пров от физика/юрика

Между ними ничего общего.

ФЛ или ЮЛ получают услуги по договору на услуги связи.

Операторы организуют межсетевое взаимодействие по договору присоединения.

 

подключится

Оператор не подключается. Оператор присоединяется.

[SergoINFOLAN]

ок, принял

[AdmSasha]

Судя по отчету по реестру, похоже иногда SCE2020 пропускает/не блокирует некоторые URL. Сама SCE в это время не загружена. У кого то подобное случается ? Может кто может предположить, что такое может быть. Глюк SCE или ревизор обманывает ?

[alibek]

А скриншоты в отчете есть?

Если скриншоты есть, значит пропускает.

Пропускать может, если URL слишком длинный или если SCE не смогла корректно собрать пакет.

[AdmSasha]

alibek, в личном кабинете оператора скриншетов нет. Суда пока тоже нет. Только письменные предупреждения.

[Urs_ak]

Может кто может предположить, что такое может быть. Глюк SCE или ревизор обманывает ?

СКАТовцы недавно гнобили SCE в своём блоге http://blog.vasexperts.ru/?p=828

там список причин почему SCE может пропускать

[remos]

"писюк" наше все...

[Tosha]

но если в договоре есть про фильтрацию: регрес штрафа по ГК.

Это в каком виде? Штраф - это не убытки, это наказание. Если Вас оштрафовали, значит - именно Вы виноваты и никто иной.

Я просто копал тему фильтрации информации для школ - там так про штрафы говорили.

И если это так - переложить штраф ни на кого не выйдет. Надо бороться чтобы не признали виновным - т.е. на этапе первичного рассмотрения протокола судом или на апелляциях.

 

И даже если выйдет - скорее всего вернут не более суммы абонплаты по этой услуге за этот месяц. А это я думаю сильно меньше штрафа.

[alibek]

Скорее всего регресс имеется в переносном смысле.

То есть в договоре аплинк обязуется обеспечивать фильтрацию трафика и несет финансовую ответственность в случае пропусков.

Но это нужно еще найти аплинка, который согласится такое закрепить в договоре.

И даже если закрепит, где гарантии того, что пропуск произошел по вине аплинка, а не потому что провайдер что-то неправильно настроил?

[Галушко Дмитрий]

но если в договоре есть про фильтрацию: регрес штрафа по ГК.

Это в каком виде? Штраф - это не убытки, это наказание. Если Вас оштрафовали, значит - именно Вы виноваты и никто иной.

Я просто копал тему фильтрации информации для школ - там так про штрафы говорили.

И если это так - переложить штраф ни на кого не выйдет. Надо бороться чтобы не признали виновным - т.е. на этапе первичного рассмотрения протокола судом или на апелляциях.

 

И даже если выйдет - скорее всего вернут не более суммы абонплаты по этой услуге за этот месяц. А это я думаю сильно меньше штрафа.

Регресс в рамках гражданско-правового договора, по которому Аплинк подписался под фильтрацией.

Азы Права знать надо!

Вы кстати, юрист?

[Vinto]

Скоро маразматики все уничтожат

 

https://rkn.gov.ru/news/rsoc/news43955.htm