Перейти к содержимому
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Абсолютно ничего не мешает сесть и на генерировать и подписать запросов на 1000 лет вперёд и брать от туда каждый день соответствующий дате.

Вот именно поэтому для доступа и надо было бы использовать нормальные клиентские сертификаты. Там контроль строка действия есть. И отозвать при необходимости его стандартными методами можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот именно поэтому для доступа и надо было бы использовать нормальные клиентские сертификаты. Там контроль строка действия есть. И отозвать при необходимости его стандартными методами можно.

 

Типа в используемом РКН нету срока действия? Или отозвать его через удостоверяющий центр нельзя?

 

(Кстати, по истечению срока действия сертификата проверка подписи не проходит.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Типа в используемом РКН нету срока действия? Или отозвать его через удостоверяющий центр нельзя?

Если я правильно помню, что происходит, то в конце концов выдается один токен/url, по которому список забрать можно. И где тут проверка действия оригинального сертификата? И как токен отзывается, если надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если я правильно помню, что происходит, то в конце концов выдается один токен/url, по которому список забрать можно. И где тут проверка действия оригинального сертификата? И как токен отзывается, если надо?

 

У него ограниченный по времени срок дествия. Потом опять надо подписанным запросом в РКН кидаться для получения нового.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Другими словами, чисто юридический путь - перекидывать http-обращения на закрытые ресурсы на страницу с уведомлением о запрете данного ресурса и кнопкой "Я осознаю свою ответственность по УК/ГК/КоАП и хочу продолжить открытие сайта", абсолютно по тому же принципу, что поступают ресурсы с контентом 18+. Иначе так и будет "...а мы крепчаем".

Было бы здорово, но шизики любят контроль.

 

Шизики кто, со стороны государства? Вот пусть с пользователей и спрашивают. Мы как провайдер не можем гарантировать, что пользователь будет использовать различные методы, способы и инструменты для обхода ограничения.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как там выше указано, можно наподписывать запросов на каждый день до окончания действия сертификата фирмы. Все эти запросы будут действительны. И какая процедура отзыва будет, если мы внезапно

узнали, что все эти запросы попали в чужие руки и теперь кто-то посторонний от нашего имени список берет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как там выше указано, можно наподписывать запросов на каждый день до окончания действия сертификата фирмы. Все эти запросы будут действительны. И какая процедура отзыва будет, если мы внезапно

узнали, что все эти запросы попали в чужие руки и теперь кто-то посторонний от нашего имени список берет?

 

Отзыв сертификата.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отзыв сертификата.

Фирмы? А не круто ли? Что произойдет со всеми документами, что были им подписаны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отзыв сертификата.

Фирмы? А не круто ли? Что произойдет со всеми документами, что были им подписаны?

 

Круто. В частности потому отдельный сертификат все от греха и берут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Итого у фирмы получается два полноценных действующих сертификата? А что произойдет, если один документ(заявку на конкурс какой-нибудь) подписать одним, а другой, противоположный по смыслу -- другим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перестали открываться ВСЕ сайты на хостинговом сервере - везде "заглушка" вместо сайтов.

212.ххх.ххх.61 - отдельный айпишник под заглушку?? Отличный от адреса где остальной шаредхостинг?

 

NameVirtualHost *

<VirtualHost *>
сайт 1
</VirtualHost>

<VirtualHost *>
сайт 2
</VirtualHost>

<VirtualHost 212.ххх.ххх.61>
   DocumentRoot /home/zapret-info/html
   ErrorLog /home/zapret-info/logs/error.log
   CustomLog /home/zapret-info/logs/access.log combined
</VirtualHost>

С этим разобрался.

<VirtualHost 212.ххх.ххх.61:80>.
   ServerAdmin     root@_______.ru
   DocumentRoot /srv/www/zapret-info
   ErrorLog /var/log/apache2/zapret-info.error.log
   CustomLog /var/log/apache2/zapret-info.access.log combined
   AssignUserID<------>www-data www-data
   <Directory /srv/www/zapret-info>
       Options Indexes Includes FollowSymLinks MultiViews
       AllowOverride All
       Order allow,deny
       Allow from all
   </Directory>
</VirtualHost>

В /srv/www/zapret-info соответственно лежит "заглушка".

Если абонент просто пытается открыть стартовую страницу сайта, домен которого занесен в "расстрельный список", то открывается "заглушка". А если url, содержащий такой домен, то появляется страница с "Internal Server Error". А как и в этом случае показать заглушку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Итого у фирмы получается два полноценных действующих сертификата? А что произойдет, если один документ(заявку на конкурс какой-нибудь) подписать одним, а другой, противоположный по смыслу -- другим?

Сертификат ЭЦП ОДНОГО вида (квалифицированный, в данном случае) на одну фирму (ИНН/ОГРН/КПП) и одного владельца (как правило, руководителя) Удостоверяющий центр не выдаст. Причина отклонения формы запроса -- "такой действующий сертификат уже выдан" (наша контора, как Сервисный Центр одного из УЦ как раз этим и занимается).

 

Можно получить другой сертификат на доверенное лицо (та же организация, разные владельцы). Указанная Вами выше коллизия подписанных документов (оба ведь юридически значимы) наверное будет разрешаться в судебном порядке. Но не вижу здесь особой разницы, как если бы они были подписаны РЕАЛЬНЫМИ ПОДПИСЯМИ ВРУЧНУЮ -- руководителя и доверенного лица. И, например, дубликат печати... а и одну печать могли хлопнуть в разное время -- на бумаге же можно, время её постановки не сохраняется. Дальше только юристы рассудят.

 

Еще вероятна схема получить сертификат с теми же реквизитами в ДРУГОМ Удостоверяющем Центре. Вот тут настаивать не буду, может быть и прокатит -- даже на одного и того же человека. Формально препятствий не вижу, почему бы и нет? Разве что УЦ друг у друга проверяют... а зачем им это?

И потом подписать два противоположных по смыслу документа этими разными ЭЦП.

Процедура разрешения коллизии наверное та же, судебная. Почему бы самому руководителю не сделать два таких взаимоисключающих документа своей личной авторучкой и мокрой печатью? Как тогда? В дурдом?

 

То есть это конечно проблема -- но IMHO к ЭЦП и сертификатам она относится лишь косвенно.

 

А вот касательно нагенерить запросов с разными датами на 1000 лет вперед -- смысла никакого. При отзыве подписывающего сертификата все эти запросы разом "протухнут". РКН походу проверяет ТЕКУЩУЮ валидность сертификата, а НЕ дату внутри текста запроса. Сам сертификат, вместе с хэшем подписываемого документа, находится в подписи. В КАЖДОЙ.

 

Дату МОМЕНТА подписывания тоже можно проверить. Но переводить часы компьютера вперед на сутки в процессе генерации каждого очередного запроса бесполезно -- собственно, ключи ЭЦП работоспособны всегда (пара закрытый-открытый), однако сертификат этой ЭЦП в Удостоверяющем Центре успешно пройдет проверку только в период от выдачи до окончания/отзыва. И эти сроки/услуги УЦ получателю ЭЦП уже не подконтрольны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если абонент просто пытается открыть стартовую страницу сайта, домен которого занесен в "расстрельный список", то открывается "заглушка". А если url, содержащий такой домен, то появляется страница с "Internal Server Error". А как и в этом случае показать заглушку?

Вобщем все оказалось достаточно просто:

<VirtualHost 212.ххх.ххх.61:80>.
   ServerAdmin     root@_______.ru
   DocumentRoot /srv/www/zapret-info
   ErrorLog /var/log/apache2/zapret-info.error.log
   CustomLog /var/log/apache2/zapret-info.access.log combined
   AssignUserID<------>www-data www-data
   <Directory /srv/www/zapret-info>
       Options Indexes Includes FollowSymLinks MultiViews
       AllowOverride All
       Order allow,deny
       Allow from all
   </Directory>
   Alias /errors   /srv/www/zapret-info
   ErrorDocument 401 /errors/index.html
   ErrorDocument 403 /errors/index.html
   ErrorDocument 404 /errors/index.html
   ErrorDocument 500 /errors/index.html
</VirtualHost>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно получить другой сертификат на доверенное лицо (та же организация, разные владельцы).

Собственно, меня озадачивает, что вот тут п.2 я никакого 'владельца' в виде 'доверенное лицо' не вижу. А вижу просто сертификат организации. Или я неправильно понимаю и там где-то конкретное лицо все-таки записано?

 

А вот касательно нагенерить запросов с разными датами на 1000 лет вперед -- смысла никакого.

Смысл - утащить и потом таскать список от имени оператора.

 

При отзыве подписывающего сертификата все эти запросы разом "протухнут". РКН походу проверяет ТЕКУЩУЮ валидность сертификата, а НЕ дату внутри текста запроса. Сам сертификат, вместе с хэшем подписываемого документа, находится в подписи. В КАЖДОЙ.

Понятно, что протухнут. Если РНК в списки отзыва смотрит. Что неочевидно. Но если мое (весьма возможно неправильное) понимание, верно и сертификат организации - он один, то это должно создать проблемы с другими местами использования. Те в существующей схеме отозвать только право 'может получать список блокировки' - нельзя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Те в существующей схеме отозвать только право 'может получать список блокировки' - нельзя.

Вот поэтому для получения списка лучше использовать отдельную ЭЦП.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно получить другой сертификат на доверенное лицо (та же организация, разные владельцы).
Собственно, меня озадачивает, что вот тут п.2 я никакого 'владельца' в виде 'доверенное лицо' не вижу. А вижу просто сертификат организации. Или я неправильно понимаю и там где-то конкретное лицо все-таки записано?

Да, в квалифицированном сертификате кроме реквизитов организации (название, ИНН-КПП-ОГРН, адрес) обязательно содержатся и данные владельца -- ФИО, должность, номер СНИЛС (пенсионный), электронная почта. ЭЦП -- это же аналог ПЕЧАТИ ОРГАНИЗАЦИИ И ПОДПИСИ ее ДОЛЖНОСТНОГО ЛИЦА. Откройте сертификат в Винде (поле Субъект) или прогоните свой запрос (любой подписанный файл) на ГосУслугах (как указано в регламенте РКН) -- там покажут реквизиты из сертификата.

 

А вот касательно нагенерить запросов с разными датами на 1000 лет вперед -- смысла никакого.
Смысл - утащить и потом таскать список от имени оператора.

1000 лет -- нет смысла. Срок действия сертификата -- 3 месяца, 1 год, 15 месяцев.

Если на каждую дату этого года... ну, если только РКН не будет проверять фактическую дату момента подписывания и чтоб не брать лишний раз защищенный носитель с ЭЦП у руководителя. Но это же равносильно ограничению доверенности одним днем... зачем? Можно же зафиксировать срок действия доверенности более длительным -- месяц или год или до окончания/отзыва сертификата ЭЦП, как фактически сейчас и получается?

 

При отзыве подписывающего сертификата все эти запросы разом "протухнут". РКН походу проверяет ТЕКУЩУЮ валидность сертификата, а НЕ дату внутри текста запроса. Сам сертификат, вместе с хэшем подписываемого документа, находится в подписи. В КАЖДОЙ.
Понятно, что протухнут. Если РНК в списки отзыва смотрит. Что неочевидно.

К сожалению, смотрит :( Как только наша бухгалтерия заменила сертифкат ЭЦП (по сторонней причине, сразу не сообщили, а момент отзыва сертифката Удостоверяющим Центром неочевиден и пришелся на предпраздничные-выходные) -- у нас сразу же случился "технический дефолт" по запретам (запрос не приняли, дамп не выдали, РКН выписал протокол нарушения), пока не получили в руки обновленный ключик и не переподписали им запрос.

 

Но если мое (весьма возможно неправильное) понимание, верно и сертификат организации - он один, то это должно создать проблемы с другими местами использования. Те в существующей схеме отозвать только право 'может получать список блокировки' - нельзя.

Ну почему же... подписанный запрос можно же тупо стереть -- вот и нет больше "доверенности" на это "право" :)

 

Проблемы с другими местами использования лишь те же, что и проблемы работать с защищенным носителем в нескольких разных местах несколькими сотрудниками. Обычная схема -- есть штатные процедуры сопровождения нескольких рабочих мест, создания копий сертифкатов ЭЦП на дублирующие защищенные носители. Конечно, это связано с материально-финансовыми затратами и организационно-юридическими заморочками... но не более (а даже и менее), чем с ОБЫЧНЫМ применением ЭЦП в обычных для них сферах и областях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Те в существующей схеме отозвать только право 'может получать список блокировки' - нельзя.
Вот поэтому для получения списка лучше использовать отдельную ЭЦП.

В существующей схеме лучше оставить все как есть.

 

Отдельная ЭЦП стОит отдельных (немаленьких) денег, отдельного гимора с предоставлением/получением документов и защищенных носителей в Удостоверяющем Центре, и что более опасно -- дает также серьезные такие и совершенно ЛИШНИЕ в данном случае полномочия владельцу ЭЦП (доверенному лицу организации) сделать с этой самой организацией юридически значимые и возможно фатальные для нее действия.

 

Потому что ОТДЕЛЬНЫХ ЭЦП именно и только для "запретов" пока в прайсах Удостоверяющих Центров нету. Есть квалифицированные ЭЦП для электронных торгов и для электронного документооборота с налоговой, различными ведомствами и фондами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...дает также серьезные такие и совершенно ЛИШНИЕ в данном случае полномочия владельцу ЭЦП (доверенному лицу организации) сделать с этой самой организацией юридически значимые и возможно фатальные для нее действия.

Поясните.

Допустим имеется квалифицированный сертификат, выданный на Петрова, который является рядовым работником тех.отдела и отвечает за реестр.

Как уже говорилось выше, квалифицированная ЭЦП это фактически печать организации и личная подпись сотрудника.

С какой стати к электронным торгам будет допущен некий Петров, если он не предоставит доверенность на участие в торгах?

Ведь Петров не сможет, к примеру, и договор заключить с собою в качестве представителя, даже если где-то достанет печать организации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто знает, что за софт у Надзора для проверки списка ? Как оно работает ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...дает также серьезные такие и совершенно ЛИШНИЕ в данном случае полномочия владельцу ЭЦП (доверенному лицу организации) сделать с этой самой организацией юридически значимые и возможно фатальные для нее действия.
Поясните.

Допустим имеется квалифицированный сертификат, выданный на Петрова, который является рядовым работником тех.отдела и отвечает за реестр.

Как уже говорилось выше, квалифицированная ЭЦП это фактически печать организации и личная подпись сотрудника.

С какой стати к электронным торгам будет допущен некий Петров, если он не предоставит доверенность на участие в торгах?

Ведь Петров не сможет, к примеру, и договор заключить с собою в качестве представителя, даже если где-то достанет печать организации.

А он ее и предоставит, эту доверенность. Ещё на этапе получения сертификата ЭЦП.

Потому что ЭЦП в прайсе УЦ только для определенных целей (торгов, СМЭВ, документооборота). И регламент УЦ для получения ЭЦП на доверенное лицо требует предоставления бумажной доверенности на совершение соответствующих действий.

Иначе ЭЦП не выдадут.

Изменено пользователем Ansy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отдельная ЭЦП стОит отдельных (немаленьких) денег, отдельного гимора с предоставлением/получением документов и защищенных носителей в Удостоверяющем Центре, и что более опасно -- дает также серьезные такие и совершенно ЛИШНИЕ в данном случае полномочия владельцу ЭЦП (доверенному лицу организации) сделать с этой самой организацией юридически значимые и возможно фатальные для нее действия.

Мы сделали ЭЦП только для выгрузки реестра. Обошлось это примерно в 5 тысяч.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто знает, что за софт у Надзора для проверки списка ? Как оно работает ?

Списка чего?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

различными ведомствами

а это разве не "наш случай" ???

 

Мы сделали ЭЦП только для выгрузки реестра

а можно более подробно ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Списка чего?

Реестра, конечно.

Они ставят софт, причем как меня уверяют не только у себя, но и у нескольких клиентов, для мониторинга блокировки, меня вот и интересует, как оно работает

Изменено пользователем Tem

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.