[IlyaKirilkin]

Товарищи операторы, может вы не будете заниматься самодеятельностью и будете блокировать в точности то, что в списке содержится, без расширенных

толкований "так же доступна по..".

Мы то решительно и всецело за. Да только не хочется нарваться на рьяного проверяющего, который будет твёрдо уверен, что это одна и та же сраничка.

 

lcgc

Мерси за ссылку. Мы сейчас и так дублируем записи (с www. и без), что, конечно, тоже спорно и не слишком хочется.

 

Остается открытым вопрос с https. Исходя из разъяснений, выданных надзором, блокировать можно любым из перечисленных способов. Правильно ли я понимаю, что для достижения их хотелки (недоступность такой-то страницы / сайта) мы обязанны использовать хоть все методы сразу (постраничная блокировка, днс, ip-адрес)? Или прокатит закрыть одним из сособов (заведомо неэффективно) и отмазываться "меры приняты, а оно вот так, увы"?

Пока придумалось такое извращение- для записей с https заводить в своём днсе зону, в качестве A-записи указывать тот ip, что указан в реестре и резать доступ к этому айпи по 443 порту. Изврат преследует такую цель- если у неугодного сайта и было много ип-адресов (пример - 2chru.net), то клиент о них и знать не будет, соответственно, будет ломиться на запрещённый адрес и указанная в реестре страничка доступна не будет. Извините за сумбур.

 

Если программист не повесится, завтра допилим и смогу поделиться.

[Sergey Gilfanov]

Мы то решительно и всецело за. Да только не хочется нарваться на рьяного проверяющего, который будет твёрдо уверен, что это одна и та же сраничка.

С тем же успехом вы можете нарваться на проверяющего-зануду, который будет считать, что это - разные странички.

И тогда отмазку придумать будет несколько сложнее.

[Den24is]

по РБК в новостях сообщили, что надзор пытается фейсбук блочить, верней дал им 3рое суток на устранение.

ни кто подробностей не знает ?

и ради доведения идеи до абсурда, что будет с надзором, если блочить фэйсбук по домену ?

Изменено 19 сентября, 2013 пользователем Den24is

[lcgc]

Тем более, что "...foo/" и "...foo" - это разные url.

ммм, а пруфлинки или цитаты из рфц - можно ?

что "разные"...

 

нет, я понимаю, что "блокировать надо в точности как в дампе"

вот только "есть ньюанс" (с) анекдот

 

и именно это мы тут и обсуждаем, эти самые "ньюансы"

 

Пока придумалось такое извращение

уже обсуждалось...

не всё так просто, увы...

Изменено 19 сентября, 2013 пользователем lcgc

[Sergey Gilfanov]

Сравниваем реакцию сервиса на

http://packages.debian.org/stable/'>http://packages.debian.org/stable/

и

http://packages.debian.org/stable

[lcgc]

Sergey Gilfanov

хотелось бы заметить, что в Вашем примере

".../stable/" - это "правильная ссылка" (url), которая приводит на искомую страничку

а вот

".../stable" - это НЕправильная ссылка, которая НЕ приводит на какую-либо страничку, а потому вызывает срабатывание некоего события (в данном случае - поискового скрипта)

[Rivia]

Пока придумалось такое извращение- для записей с https заводить в своём днсе зону, в качестве A-записи указывать тот ip, что указан в реестре и резать доступ к этому айпи по 443 порту. Изврат преследует такую цель- если у неугодного сайта и было много ип-адресов (пример - 2chru.net), то клиент о них и знать не будет, соответственно, будет ломиться на запрещённый адрес и указанная в реестре страничка доступна не будет. Извините за сумбур.

Вашего клиента что-то обязует использовать только ваши DNS?

[Sergey Gilfanov]

Что и говорит, что url-ы - разные.

По одному ресурс находится, по другому -- нет.

Именно про это я и говорил

Тем более, что "...foo/" и "...foo" - это разные url.

Если бы они были одинаковыми - тогда результат должен был бы быть тоже одинаковым.

 

Ну и из занудства

telnet packages.debian.org 80

Trying 2001:41c8:1000:21::21:3...

Trying 5.153.231.3...

Connected to packages.debian.org.

Escape character is '^]'.

GET / HTTP/1.1

Host: packages.debian.org

 

HTTP/1.1 302 Found

<SKIP>

Считать ли коды 3** признаком неправильности url-а - совершенно неясно.

[lcgc]

Считать ли коды 3**

3xx: Redirection (перенаправление)

непростой вопрос, согласен

однако в данном случае - формально - у нас НЕ "идентификатор ресурса" (или как там точно в законе сказано)

а просто "какая-то ссылка куда-то туда"

 

отсюда возникает логичный вопрос: если за НЕблокировку провайдера ожидают "законные плюшки от РКН/РСН", то что ожидает его же за "случайную блокироку соседнего ресурса" ?

[Dyr]

По закону нужно блокировать весь сайт.

Неправда.

 

Давайте, наконец, прочитаем, что же там в 149-ФЗ написано про блокировку сайтов силами интернет-провайдеров:

 

Статья 15.1. Единый реестр доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено

 

10. В течение суток с момента включения в реестр сетевого адреса, позволяющего идентифицировать сайт в сети "Интернет", содержащий информацию, распространение которой в Российской Федерации запрещено, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому сайту в сети "Интернет".

 

 

Статья 15.2. Порядок ограничения доступа к информации, распространяемой с нарушением исключительных прав на фильмы, в том числе кинофильмы, телефильмы

 

7. В течение суток с момента получения по системе взаимодействия сведений об информационном ресурсе, содержащем фильмы, в том числе кинофильмы, телефильмы, или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей, которые распространяются без разрешения правообладателя или иного законного основания, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому информационному ресурсу, в том числе к сайту в сети "Интернет", или к странице сайта.

А я вот не понимаю, а где определение того, что такое ограничение доступа? Вот я скорость, например, зарежу на этот ресурс - это, по определению, тоже будет являтся ограничением. Не задавался ли кто-нибудь этим вопросом?

[Tem]

Социальная сеть Facebook внесена в реестр сайтов с запрещенной информацией. Об этом 19 сентября сообщил ИТАР-ТАСС со ссылкой на пресс-секретаря Роскомнадзора Владимира Пикова.

http://lenta.ru/news/2013/09/19/facebook/

[lcgc]

Проверить появление рекламы запрещенного продукта в Facebook вызвалась Федеральная антимонопольная служба.

вот и скажите мне, почему не РКН/РСН или ФСКН ???

Изменено 19 сентября, 2013 пользователем lcgc

[NN----NN]

Facebook удалил информацию, которая попала в реестр запрещенных сайтов

http://rkn.gov.ru/news/rsoc/news21910.htm

[IlyaKirilkin]

Вашего клиента что-то обязует использовать только ваши DNS?

dhcp выдаёт клиенту наши днс.

 

отсюда возникает логичный вопрос: если за НЕблокировку провайдера ожидают "законные плюшки от РКН/РСН", то что ожидает его же за "случайную блокироку соседнего ресурса" ?

Есть мнение, ничего не ожидает. Для выполнения требования законодательства по блокировке неугодного ресурса, единственным решением в конкретном случае было заблокировать вот так. В реестре же есть ip-адрес, по которому можно закрывать.

[lcgc]

В реестре же есть ip-адрес, по которому можно закрывать.

а если заблокированный ресурс сменил адрес (что мы и видим на практике) ?

любая "проверка" тут же выявит НЕблокировку (и не объяснишь ведь "проверяльщикам", что блочишь строго тот ip, что указан в дампе), с соответствующими последствиями...

 

отсюда получается, что раз за "излишнее рвение" наказания не будет - то "лучше перебдеть, чем недобдеть" ?

 

кстати, прошу обратить внимание - во всей этой "инетно-газетной" шумихе указываются вовсе не ip-адреса ресурсов...

[Dyr]

Кажется, у кого-то просто не хватает яиц, чтобы послать "проверяльщиков" в суд...

[Rivia]

Кажется, у кого-то просто не хватает яиц, чтобы послать "проверяльщиков" в суд...

А может быть у вас есть опыт и вы с нами им поделитесь?

[Dyr]

У нас этот реестр вообще ещё не сделан. И ничего, пока живые.

[Sergey Gilfanov]

Кажется, у кого-то просто не хватает яиц, чтобы послать "проверяльщиков" в суд...

И будет суд это решать по своему внутреннему мнению о том, как это должно работать. Те кто кого уболтает.

У провайдеров коллективно не хватает желания и умения вытрясти со всех нужных организаций методику проверки корректности блокирования.

А закон уже давно работает.

Мне начинает хотеться, чтобы эти миллионные штрафы за неправильную блокировку приняли бы. И применили парочку раз.

Раз уж без палки этот вопрос решить не могут.

[Dyr]

Сергей, +100.

[AlexanderBr]

сегодня в отчетах скрипта увидел случайно, что какой то из доменов недавно резолвился как 8.8.8.8 ) так могут и атаки делать на любые ресурсы, зная, что многие не могут блочить по урл.

[IlyaKirilkin]

а если заблокированный ресурс сменил адрес (что мы и видим на практике) ?

любая "проверка" тут же выявит НЕблокировку (и не объяснишь ведь "проверяльщикам", что блочишь строго тот ip, что указан в дампе), с соответствующими последствиями...

В конкретно нашем случае (dpi в наличии), для http всё просто- как урл написали, так и режем и низкий уровень не интересен. Для хттпс ситуация более печальная: разнюхать, что там такое, дпи не может, через это ко всему домену хттпс приходится резать. А так A-запись у домена вполне может поменяться, что никак не освобождает нас от обязательства зарезать домен, нужно жестко биндить доменное имя к известному ip-адресу, благо он (адрес) любезно предоставляется.

 

отсюда получается, что раз за "излишнее рвение" наказания не будет - то "лучше перебдеть, чем недобдеть" ?

да, задача "не пустить вот сюда", а средства достижения не принципиальны, хоть аплинки из бордера выдёргивай.

 

AlexanderBr

вы резолвите полученные из реестра адреса? А зачем? Там и 127.0.0.1 встречается.

 

з.ы. Спасибо, Костя! :)

Изменено 20 сентября, 2013 пользователем IlyaKirilkin

[alexeypp]

Если вынести "за скобки" "точную блокировку" по URL, то почему столь массово блочат по IP?

Почему не популярен блок по доменному имени? Ведь сразу снимаются вопросы и с портами и с резолвом адресов...

У меня, на основе реестра, на локальном ДНС создаются зоны блокируемых доменных имен с IP-адресом страницы-заглушки в них.

Абонент, конечно, может обойти это, прописав себе гугловский ДНС. Но, во-первых, это можно пресечь блокировкой выхода на "чужие ДНС", а во-вторых подобное можно признать "активными действиями абонента" из той же серии что и использовние им проксей или VPN т.е. не бороться с этим никак.

Какие "подводные камни" могут случиться при блоке по доменному имени?

[IlyaKirilkin]

alexeypp

столь массово блочат по ip, подозреваю, из-за простоты и дешевизны реализации.

Если абонент прописал левый днс, вписал в hosts нужную запись, поставил tor, прицепился впном к серверу в Зимбабве, продал душу дьяволу или предпринял любые другие действия для обхода того, что вы даёте ему дефолтом- это самые настоящие активные действия абонента, которые побеждать, вроде как, нас никто и не принуждает, главным образом в виду абсолютной бесполезности (поди запрети впн :) ).

Подводные камни, кроме полной недоступности сайта, вроде и не наблюдаются.

[AlexanderBr]

вы резолвите полученные из реестра адреса? А зачем? Там и 127.0.0.1 встречается.

ну скрипт, который я нашел это делал. на роутеры заливаю то, что в реестре. а так вроде в рекомендациях было, про резолв, но по моему так же как про закрытие урла, только рекомендация.

а так, пока все эт оу меня работает, замечаю, что ип адерса относительно тех, что в реестре, меняются в день штук по 5-10, даже если нет обновлений в самом реестре, именно старые записи. на всякий сохраняю реестр в архив, что бы если что, были данные, по которым действовали.