IlyaKirilkin Опубликовано 19 сентября, 2013 · Жалоба Товарищи операторы, может вы не будете заниматься самодеятельностью и будете блокировать в точности то, что в списке содержится, без расширенных толкований "так же доступна по..". Мы то решительно и всецело за. Да только не хочется нарваться на рьяного проверяющего, который будет твёрдо уверен, что это одна и та же сраничка. lcgc Мерси за ссылку. Мы сейчас и так дублируем записи (с www. и без), что, конечно, тоже спорно и не слишком хочется. Остается открытым вопрос с https. Исходя из разъяснений, выданных надзором, блокировать можно любым из перечисленных способов. Правильно ли я понимаю, что для достижения их хотелки (недоступность такой-то страницы / сайта) мы обязанны использовать хоть все методы сразу (постраничная блокировка, днс, ip-адрес)? Или прокатит закрыть одним из сособов (заведомо неэффективно) и отмазываться "меры приняты, а оно вот так, увы"? Пока придумалось такое извращение- для записей с https заводить в своём днсе зону, в качестве A-записи указывать тот ip, что указан в реестре и резать доступ к этому айпи по 443 порту. Изврат преследует такую цель- если у неугодного сайта и было много ип-адресов (пример - 2chru.net), то клиент о них и знать не будет, соответственно, будет ломиться на запрещённый адрес и указанная в реестре страничка доступна не будет. Извините за сумбур. Если программист не повесится, завтра допилим и смогу поделиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 19 сентября, 2013 · Жалоба Мы то решительно и всецело за. Да только не хочется нарваться на рьяного проверяющего, который будет твёрдо уверен, что это одна и та же сраничка. С тем же успехом вы можете нарваться на проверяющего-зануду, который будет считать, что это - разные странички. И тогда отмазку придумать будет несколько сложнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Den24is Опубликовано 19 сентября, 2013 (изменено) · Жалоба по РБК в новостях сообщили, что надзор пытается фейсбук блочить, верней дал им 3рое суток на устранение. ни кто подробностей не знает ? и ради доведения идеи до абсурда, что будет с надзором, если блочить фэйсбук по домену ? Изменено 19 сентября, 2013 пользователем Den24is Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 19 сентября, 2013 (изменено) · Жалоба Тем более, что "...foo/" и "...foo" - это разные url. ммм, а пруфлинки или цитаты из рфц - можно ? что "разные"... нет, я понимаю, что "блокировать надо в точности как в дампе" вот только "есть ньюанс" (с) анекдот и именно это мы тут и обсуждаем, эти самые "ньюансы" Пока придумалось такое извращение уже обсуждалось... не всё так просто, увы... Изменено 19 сентября, 2013 пользователем lcgc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 19 сентября, 2013 · Жалоба Сравниваем реакцию сервиса на http://packages.debian.org/stable/'>http://packages.debian.org/stable/ и http://packages.debian.org/stable Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 19 сентября, 2013 · Жалоба Sergey Gilfanov хотелось бы заметить, что в Вашем примере ".../stable/" - это "правильная ссылка" (url), которая приводит на искомую страничку а вот ".../stable" - это НЕправильная ссылка, которая НЕ приводит на какую-либо страничку, а потому вызывает срабатывание некоего события (в данном случае - поискового скрипта) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 19 сентября, 2013 · Жалоба Пока придумалось такое извращение- для записей с https заводить в своём днсе зону, в качестве A-записи указывать тот ip, что указан в реестре и резать доступ к этому айпи по 443 порту. Изврат преследует такую цель- если у неугодного сайта и было много ип-адресов (пример - 2chru.net), то клиент о них и знать не будет, соответственно, будет ломиться на запрещённый адрес и указанная в реестре страничка доступна не будет. Извините за сумбур. Вашего клиента что-то обязует использовать только ваши DNS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 19 сентября, 2013 · Жалоба Что и говорит, что url-ы - разные. По одному ресурс находится, по другому -- нет. Именно про это я и говорил Тем более, что "...foo/" и "...foo" - это разные url. Если бы они были одинаковыми - тогда результат должен был бы быть тоже одинаковым. Ну и из занудства telnet packages.debian.org 80 Trying 2001:41c8:1000:21::21:3... Trying 5.153.231.3... Connected to packages.debian.org. Escape character is '^]'. GET / HTTP/1.1 Host: packages.debian.org HTTP/1.1 302 Found <SKIP> Считать ли коды 3** признаком неправильности url-а - совершенно неясно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 19 сентября, 2013 · Жалоба Считать ли коды 3** 3xx: Redirection (перенаправление) непростой вопрос, согласен однако в данном случае - формально - у нас НЕ "идентификатор ресурса" (или как там точно в законе сказано) а просто "какая-то ссылка куда-то туда" отсюда возникает логичный вопрос: если за НЕблокировку провайдера ожидают "законные плюшки от РКН/РСН", то что ожидает его же за "случайную блокироку соседнего ресурса" ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 19 сентября, 2013 · Жалоба По закону нужно блокировать весь сайт. Неправда. Давайте, наконец, прочитаем, что же там в 149-ФЗ написано про блокировку сайтов силами интернет-провайдеров: Статья 15.1. Единый реестр доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено 10. В течение суток с момента включения в реестр сетевого адреса, позволяющего идентифицировать сайт в сети "Интернет", содержащий информацию, распространение которой в Российской Федерации запрещено, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому сайту в сети "Интернет". Статья 15.2. Порядок ограничения доступа к информации, распространяемой с нарушением исключительных прав на фильмы, в том числе кинофильмы, телефильмы 7. В течение суток с момента получения по системе взаимодействия сведений об информационном ресурсе, содержащем фильмы, в том числе кинофильмы, телефильмы, или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей, которые распространяются без разрешения правообладателя или иного законного основания, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому информационному ресурсу, в том числе к сайту в сети "Интернет", или к странице сайта. А я вот не понимаю, а где определение того, что такое ограничение доступа? Вот я скорость, например, зарежу на этот ресурс - это, по определению, тоже будет являтся ограничением. Не задавался ли кто-нибудь этим вопросом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 19 сентября, 2013 · Жалоба Социальная сеть Facebook внесена в реестр сайтов с запрещенной информацией. Об этом 19 сентября сообщил ИТАР-ТАСС со ссылкой на пресс-секретаря Роскомнадзора Владимира Пикова. http://lenta.ru/news/2013/09/19/facebook/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 19 сентября, 2013 (изменено) · Жалоба Проверить появление рекламы запрещенного продукта в Facebook вызвалась Федеральная антимонопольная служба. вот и скажите мне, почему не РКН/РСН или ФСКН ??? Изменено 19 сентября, 2013 пользователем lcgc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NN----NN Опубликовано 19 сентября, 2013 · Жалоба Facebook удалил информацию, которая попала в реестр запрещенных сайтов http://rkn.gov.ru/news/rsoc/news21910.htm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 20 сентября, 2013 · Жалоба Вашего клиента что-то обязует использовать только ваши DNS? dhcp выдаёт клиенту наши днс. отсюда возникает логичный вопрос: если за НЕблокировку провайдера ожидают "законные плюшки от РКН/РСН", то что ожидает его же за "случайную блокироку соседнего ресурса" ? Есть мнение, ничего не ожидает. Для выполнения требования законодательства по блокировке неугодного ресурса, единственным решением в конкретном случае было заблокировать вот так. В реестре же есть ip-адрес, по которому можно закрывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 20 сентября, 2013 · Жалоба В реестре же есть ip-адрес, по которому можно закрывать. а если заблокированный ресурс сменил адрес (что мы и видим на практике) ? любая "проверка" тут же выявит НЕблокировку (и не объяснишь ведь "проверяльщикам", что блочишь строго тот ip, что указан в дампе), с соответствующими последствиями... отсюда получается, что раз за "излишнее рвение" наказания не будет - то "лучше перебдеть, чем недобдеть" ? кстати, прошу обратить внимание - во всей этой "инетно-газетной" шумихе указываются вовсе не ip-адреса ресурсов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 20 сентября, 2013 · Жалоба Кажется, у кого-то просто не хватает яиц, чтобы послать "проверяльщиков" в суд... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 20 сентября, 2013 · Жалоба Кажется, у кого-то просто не хватает яиц, чтобы послать "проверяльщиков" в суд... А может быть у вас есть опыт и вы с нами им поделитесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 20 сентября, 2013 · Жалоба У нас этот реестр вообще ещё не сделан. И ничего, пока живые. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 20 сентября, 2013 · Жалоба Кажется, у кого-то просто не хватает яиц, чтобы послать "проверяльщиков" в суд... И будет суд это решать по своему внутреннему мнению о том, как это должно работать. Те кто кого уболтает. У провайдеров коллективно не хватает желания и умения вытрясти со всех нужных организаций методику проверки корректности блокирования. А закон уже давно работает. Мне начинает хотеться, чтобы эти миллионные штрафы за неправильную блокировку приняли бы. И применили парочку раз. Раз уж без палки этот вопрос решить не могут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 20 сентября, 2013 · Жалоба Сергей, +100. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexanderBr Опубликовано 20 сентября, 2013 · Жалоба сегодня в отчетах скрипта увидел случайно, что какой то из доменов недавно резолвился как 8.8.8.8 ) так могут и атаки делать на любые ресурсы, зная, что многие не могут блочить по урл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 20 сентября, 2013 (изменено) · Жалоба а если заблокированный ресурс сменил адрес (что мы и видим на практике) ? любая "проверка" тут же выявит НЕблокировку (и не объяснишь ведь "проверяльщикам", что блочишь строго тот ip, что указан в дампе), с соответствующими последствиями... В конкретно нашем случае (dpi в наличии), для http всё просто- как урл написали, так и режем и низкий уровень не интересен. Для хттпс ситуация более печальная: разнюхать, что там такое, дпи не может, через это ко всему домену хттпс приходится резать. А так A-запись у домена вполне может поменяться, что никак не освобождает нас от обязательства зарезать домен, нужно жестко биндить доменное имя к известному ip-адресу, благо он (адрес) любезно предоставляется. отсюда получается, что раз за "излишнее рвение" наказания не будет - то "лучше перебдеть, чем недобдеть" ? да, задача "не пустить вот сюда", а средства достижения не принципиальны, хоть аплинки из бордера выдёргивай. AlexanderBr вы резолвите полученные из реестра адреса? А зачем? Там и 127.0.0.1 встречается. з.ы. Спасибо, Костя! :) Изменено 20 сентября, 2013 пользователем IlyaKirilkin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexeypp Опубликовано 20 сентября, 2013 · Жалоба Если вынести "за скобки" "точную блокировку" по URL, то почему столь массово блочат по IP? Почему не популярен блок по доменному имени? Ведь сразу снимаются вопросы и с портами и с резолвом адресов... У меня, на основе реестра, на локальном ДНС создаются зоны блокируемых доменных имен с IP-адресом страницы-заглушки в них. Абонент, конечно, может обойти это, прописав себе гугловский ДНС. Но, во-первых, это можно пресечь блокировкой выхода на "чужие ДНС", а во-вторых подобное можно признать "активными действиями абонента" из той же серии что и использовние им проксей или VPN т.е. не бороться с этим никак. Какие "подводные камни" могут случиться при блоке по доменному имени? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 20 сентября, 2013 · Жалоба alexeypp столь массово блочат по ip, подозреваю, из-за простоты и дешевизны реализации. Если абонент прописал левый днс, вписал в hosts нужную запись, поставил tor, прицепился впном к серверу в Зимбабве, продал душу дьяволу или предпринял любые другие действия для обхода того, что вы даёте ему дефолтом- это самые настоящие активные действия абонента, которые побеждать, вроде как, нас никто и не принуждает, главным образом в виду абсолютной бесполезности (поди запрети впн :) ). Подводные камни, кроме полной недоступности сайта, вроде и не наблюдаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexanderBr Опубликовано 20 сентября, 2013 · Жалоба вы резолвите полученные из реестра адреса? А зачем? Там и 127.0.0.1 встречается. ну скрипт, который я нашел это делал. на роутеры заливаю то, что в реестре. а так вроде в рекомендациях было, про резолв, но по моему так же как про закрытие урла, только рекомендация. а так, пока все эт оу меня работает, замечаю, что ип адерса относительно тех, что в реестре, меняются в день штук по 5-10, даже если нет обновлений в самом реестре, именно старые записи. на всякий сохраняю реестр в архив, что бы если что, были данные, по которым действовали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...