Перейти к содержимому
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Привет, коллеги. А к кому-нибудь еще приходили из РКН со странной просьбой написать, какие ПО используется для взаимодействия с их чудесным реестром? Мне один из коллег в личку с такой болью постучался, я на всякий случай получил некую странную бумажку в Роспатенте на https://github.com/yegorov-p/python-zapret-info, если кому-то еще нужно - обращайтесь, я копии пришлю. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, yegorov-p сказал:

Привет, коллеги. А к кому-нибудь еще приходили из РКН со странной просьбой написать, какие ПО используется для взаимодействия с их чудесным реестром? Мне один из коллег в личку с такой болью постучался, я на всякий случай получил некую странную бумажку в Роспатенте на https://github.com/yegorov-p/python-zapret-info, если кому-то еще нужно - обращайтесь, я копии пришлю. 

 Не было такого письма, видимо устали реестры у себя вести, утомлённые местные. Кстати - вопрос для меня в 3Крублей, закупать ли новую ЭЦП на год, для того чтобы утешить незабирателей ? Если учесть, что фильтрация и незабор реестра - перпендикулярны, и что ободренная система фильтрации у нас внедрена, только они официальную, последнюю справку не дают. Я хочу официально, документированно, что я не должен забирать реестры, потому-что этим занимается купленный продукт официально. Все всё знают, и делают круглые глаза, как в краине -  а нас-то-защо... Задолбало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

24 минуты назад, YuryD сказал:

 Не было такого письма, видимо устали реестры у себя вести, утомлённые местные. 

Короче, если кому-то нужно: https://github.com/yegorov-p/python-zapret-info/blob/master/Certificate.jpg

Видимо, гербы, орлы и печати внушают в сердца Роскомнадзора трепет, потому что им этого хватает. Если что, описание там специально написано максимально обще, поэтому можете пользоваться бумажкой в любых целях ;)

Изменено пользователем yegorov-p

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@yegorov-p За бумажку респект, реально. Хороший способ поиметь систему - ею же самой. А то у нас или страдания на кухнях в форумах, или сразу на на площадь, на б`гоневик, прочитать пару законов, написать заявление и получить свой "мечЪ для воЙна" - это "мозгу нации" обычно неподсилу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В ‎14‎.‎09‎.‎2018 в 18:35, YuryD сказал:

Кстати - вопрос для меня в 3Крублей, закупать ли новую ЭЦП на год

вместо ЭЦП можно получить бесплатный логин/пароль либо отправить письмо, в котором указать кто за вас забирает (но этот вариант почему-то не во всех регионах прокатывает)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Счастье к нам приходит! Теперь Cloudflare будем по IP банить!

 

Цитата

Компания Cloudflare сообщила о реализации в своей сети доставки контента поддержки TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.

До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.

http://www.opennet.ru/opennews/art.shtml?num=49325

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, snvoronkov сказал:

Теперь Cloudflare будем по IP банить!

Можно подумать, что применение SNI мешало РКН блокировать подсети диапазонами /12 и более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, alibek сказал:

Можно подумать, что применение SNI мешало РКН блокировать подсети диапазонами /12 и более.

РКН не мешало. А вот на DPI таки мешало.

 

Есть, конечно, вариант с дропом/подменой запросов ESNI... Но будем пока посмотреть.

 

Upd: А фиг-то там.

 

Цитата

6.1.  Misconfiguration

   If DNS is misconfigured so that a client receives ESNI keys for a
   server which is not prepared to receive ESNI, then the server will
   ignore the "encrypted_server_name" extension, as required by
   [RFC8446]; Section 4.1.2.  If the servers does not require SNI, it
   will complete the handshake with its default certificate.  Most
   likely, this will cause a certificate name mismatch and thus
   handshake failure.  Clients SHOULD NOT fall back to cleartext SNI,
   because that allows a network attacker to disclose the SNI.  They MAY
   attempt to use another server from the DNS results, if one is
   provided.

Только бан по IP! Или бан внешних DNS-серверов (здравствуйте, Гугло/Яндексо-резолверы!) с фильтрацией "_esni.* IN TXT" в дупло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я имею ввиду, что для зарубежных сервисов нет никакого резона хоть как-то учитывать желания и просьбы РКН. Наоборот, от подобных действий они могут даже получить небольшой профит.

Хоть сотрудничай с ним, хоть игнорируй, а тупые исполнители, едва осилившие whois, все равно будут вносить в реестр большие подсети, даже не пытаясь вникнуть и детализовать блокируемый сервис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

 

Изменяется формат файла выгрузки на версию 2.4 – добавляются теги для представления ip-адресов в формате IPv6:

тег ipv6 – для одиночного ip-адреса в формате IPv6;

тег ipv6Subnet – для подсетей в формате IPv6.

Операторам связи необходимо доработать системы обработки файла выгрузки. Формирование выгрузки с описанными изменениями в формате 2.4 будет производиться, начиная с 01.11.2018 12:00 МСК.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 minutes ago, Связной (С) said:

 

Это забавно. Даже если у меня IPv6 в принципе не работает, выгрузку все равно изволь обрабатывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если они с в4 делали кучу ошибок, представляю, что будет в адресах в6

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.09.2018 в 19:42, ayf сказал:

Если они с в4 делали кучу ошибок, представляю, что будет в адресах в6

Интересно, как они будут в урлах ipv6 писать? В "[]" или как получится? Интересен в принципе факт определения того что указано после последнего ":" № порта или последняя часть адреса. Добавили они защиту от дураков хотя бы примитивную или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPv6 разумеется будет блокироваться подсетями, думаю /64 и выше. Смысла в блокировке одиночного адреса никакого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 минут назад, alibek сказал:

IPv6 разумеется будет блокироваться подсетями, думаю /64 и выше. Смысла в блокировке одиночного адреса никакого.

Они заблокируют через один и запретят операторам блокировку подсетей:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

42 минуты назад, ayf сказал:

Они заблокируют через один и запретят операторам блокировку подсетей:)

"Нет придела человеческому гению в решении сложных проблем. Но ещё больше гениальности в создании этих самых проблем." (с)

;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, snik_1900 сказал:

Интересно, как они будут в урлах ipv6 писать? В "[]" или как получится? Интересен в принципе факт определения того что указано после последнего ":" № порта или последняя часть адреса. Добавили они защиту от дураков хотя бы примитивную или нет?

Весь предшествующий опыт показывает, что РКН в целом не очень осознает тот факт, что выгружаемые дампы разбираются автоматически, без участия человека. Поэтому можно ожидать абсолютно что угодно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, alibek сказал:

IPv6 разумеется будет блокироваться подсетями, думаю /64 и выше. Смысла в блокировке одиночного адреса никакого.

Я не думаю что хоcтеры будут выделять IP на свои сервера сетями. Зачем одному серверу пачка IP?  Ну разве только развести разные сайты по разным IP. Но и в таком случае банить надо будет конкретный IP сайта. А не IP соседних сайтов.

А вот проблема с баном облаков - т.е. живущих в них сайтов и сервисов это будет большая головная боль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Tosha сказал:

Я не думаю что хоcтеры будут выделять IP на свои сервера сетями.

В IPv6 другой подход к распределению адресного пространства.

Нет необходимости экономить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Tosha сказал:

Я не думаю что хоcтеры будут выделять IP на свои сервера сетями. Зачем одному серверу пачка IP?  Ну разве только развести разные сайты по разным IP.

Именно так. Серверу на интерфейс - /64. Каждый сайт, который с этого интерфейса виден - на своем IPv6. Если немного странного захотеть - то даже каждому браузеру, идущему на сайт, можно свой адрес сервера предложить.

 

1 час назад, Tosha сказал:

Но и в таком случае банить надо будет конкретный IP сайта. А не IP соседних сайтов.

А в этом случае заблокированный сайт моментально перебежит на другой, свободный IP из этой же /64.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С 19.10.2018 не можем загрузить результаты тестирования. Это только мы такие счастливчики или есть кто-то ещё? Страница со списком выгрузок тормозит. Новые заявки висят не отработанными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

41 минуту назад, snik_1900 сказал:

С 19.10.2018 не можем загрузить результаты тестирования.

Это у всех. Стандартная картина - сломалось в пятницу, к обеду понедельника Москва проснётся и починят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, это у всех. Однако понедельник и почти обед, но пока не починили...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, vim сказал:

но пока не починили

Вы чо, не видите, у меня обед

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

))) Ну да, а после обеда уже и конец рабочего дня не за горами)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.