[alibek]

Я так понимаю что единственное решение - это блокировать по Ip адресу, но это "из пушки по воробьям"...

Но именно так и придется делать.

Другое решение — заставлять абонентов устанавливать себе самодельный корневой сертификат и подменять сертификаты на сайтах.

Хотя это идеологически неправильно и возможно незаконно.

[Sergey Gilfanov]

Самое веселое начнется потом. Когда те, кого из за https по ip заблокировали начнут свою зону на разные чувствительные сайты указывать.

[Rivia]

Самое веселое начнется потом. Когда те, кого из за https по ip заблокировали начнут свою зону на разные чувствительные сайты указывать.

С учетом того как быстро РКН меняет записи в своем реестре - не заметим

[alibek]

Самое веселое начнется потом.

Не нужно переоценивать обиженных.

Даже если авансом способности и возможности обиженных завышать, то обиженные всего лишь дождутся повсеместного введения DNSSEC и изъятия доменного имени.

[Sergey Gilfanov]

Даже если авансом способности и возможности обиженных завышать, то обиженные всего лишь дождутся повсеместного введения DNSSEC и изъятия доменного имени.

Не понял аргумента. Что помешает какому-нибудь www.rusdosug.nu резолвится в IP сайта API госуслуг? И DNSSEC как раз помешает провайдеру перехватить DNS запрос и фильтрацию по доменному имени устроить.

[snvoronkov]

Сегодняшний идиотизм:

 

$ host -t A www.kupi-diplom.com
www.kupi-diplom.com is an alias for kupi-diplom.com.
kupi-diplom.com has address 127.0.0.1

[alibek]

Что помешает какому-нибудь www.rusdosug.nu резолвится в IP сайта API госуслуг?

Административные и технические меры.

[Sergey Gilfanov]

<полез искать утекший список>

Там есть некоторое количество доменов, что https://*.ua/ С административными мерами могут быть проблемы. А пока технические меры применять - некоторое время пройдет. В процессе шума довольно много может быть. И вообще, потребовалось всего пару 'приколистов', чтобы github заблокировали. Тут тоже рано или поздно найдутся.

[snvoronkov]

Что помешает какому-нибудь www.rusdosug.nu резолвится в IP сайта API госуслуг?

Административные и технические меры.

 

Меня вот вопрос по этим "... мерам" уже давно один интересует:

 

А список ВСЕХ социально-значимых/системообразующих IP где-то есть?

 

Чисто чтобы "Сбербанк" какой-нить или kremlin.ru не положить.

[Sergey Gilfanov]

И опубликовать его. Чтобы было понятно, что DDoS-ить.

[taf_321]

Сегодняшний идиотизм:

Кто резолвит ip из доменного имени в списке, тот сем себе буратина.

[snvoronkov]

Кто резолвит ip из доменного имени в списке, тот сем себе буратина.

 

РКН в своей программке. А что? ;-)))

 

Отчет по нам сегодняшний видел. И интересно стало.

[bike]

Всем пришло?

"В связи с чем просим Вас в срок до 17.00 10.12.2014 предоставить в адрес Управления информацию об используемом Вами IP-адресе, с которого осуществляется доступ к выгрузке из ЕАИС."

[alibek]

Всем пришло?

Нет.

Скорее всего местная инициатива.

Глобально наверняка просто начнут проверять дату/время запроса и ЭЦП.

[snvoronkov]

Нам тоже пришло. Так-что вряд-ли местечковая.

[Tem]

Видать от ддоса хотят так защититься ?)

[stas_k]

И вообще, потребовалось всего пару 'приколистов', чтобы github заблокировали.

Это ОНИ еще не знают, что на github домашнее порно фото и видео встречается. :)

[taf_321]

РКН в своей программке. А что? ;-)))

 

Что-то не нашел в списке 127.0.0.1. Но, опять же. Буде оно появится, то да, на транзитный трафик будет поставлена блокировка для 127.0.0.1. И даже если в списке будет стоять блокировка адреса от kremlin.ru блок тоже будет повешен. Единственно, чего никогда не будет, так это адреса, полученного через резолвинг имени на месте.

 

Не бегите впереди паровоза, устанете и упадете ему под колеса. Если нет DPI, чтобы перехватывать URL в запросах, то не крутите костыли вокруг локального резолва. Потом, когда заботливо подложенные вами самими грабли прилетят вам в лоб, не удивляйтесь.

[YuryD]

Всем пришло?

Нет.

Скорее всего местная инициатива.

Глобально наверняка просто начнут проверять дату/время запроса и ЭЦП.

 

Не местная, нам тоже пришло. А выгрузки и так проверяют.

[alibek]

А выгрузки и так проверяют.

Проверяют факт получения выгрузок.

Но не проверяют содержимое запроса, поэтому проходят запросы с давно просроченным requestTime — делают запрос, подписывают его и используют в течении года.

А организационно правильно будет проверять дату и время запроса (например, чтобы файл-запрос действовал не более суток).

[snvoronkov]

Если нет DPI, чтобы перехватывать URL в запросах...

 

Кто такое сказал?

 

Специально для Вас разжую:

РКН осуществляет периодические проверки блокировок. Их программки пишут списки ДОСТУПНЫХ (с точки зрения программки) сайтов через конкретного провайдера, которые должны быть заблокированными. Во вчерашнем списке был ОДИН такой - тот, что я написал. Мне стало интересно, и я его РУКАМИ отрезолвил.

 

Собственно, я про этот бред как раз и написал в плане того, что внесеный в реестр URL со временем имеет свойство резолвится во что угодно. Хоть в лупбэк, хоть в сайт выгрузок (и то, и то уже было и не раз).

 

А организационно правильно будет проверять дату и время запроса (например, чтобы файл-запрос действовал не более суток).

 

Угу. И если запрос подписывают руками в каком-нить "КриптоПро", то чел. с подписью будет бегать на работу без выходных и отпусков.

 

Логично, чё...

[Sergey Gilfanov]

А организационно правильно будет проверять дату и время запроса (например, чтобы файл-запрос действовал не более суток).

Ограничение ради ограничения. Какая разница, когда запрос подписан? Это будет примером бюрократической глупости. Которой вообще в этой процедуре получения списка как-то слишком много.

 

Организационно правильно было бы раздавать этот список по https с проверкой клиентского сертификата. А сертификаты просто раздать тем, кому можно этот список получать.

[alibek]

РКН осуществляет периодические проверки блокировок.

Как РКН осуществляет блокировки — это его забота и инициатива.

Случаи, когда их программа-тестер неправильно определяет доступность/недоступность ресурсов, редкие и легко разрешаются одним телефонным звонком.

Например тот скрипт, который видел я, не ресолвил домены, а пытался просто загрузить ресурсы по списку. Если содержимое открывалось (код 200), то в лог вносился адрес и отдельно сохранялась загруженная страница. Если была ошибка (4xx, 3xx) или таймаут, то открывался следующий адрес.

 

И если запрос подписывают руками в каком-нить "КриптоПро", то чел. с подписью будет бегать на работу без выходных и отпусков.

Да без проблем.

Лично я не подписываю руками, у меня этим занимается скрипт.

 

Какая разница, когда запрос подписан?

А какая разница, кем он подписан и подписан ли вообще?

 

Организационно правильно было бы раздавать этот список по https с проверкой клиентского сертификата. А сертификаты просто раздать тем, кому можно этот список получать.

Да, так было бы правильнее. Но сделано по другому.

[snvoronkov]

Лично я не подписываю руками, у меня этим занимается скрипт.

Для этого надо иметь выгружаемый ключ как минимум. Насколько я понял из треда, далеко не у всех он таковым является.

[alibek]

Для этого надо иметь выгружаемый ключ как минимум. Насколько я понял из треда, далеко не у всех он таковым является.

Это вопрос выбора УЦ и информирования при заказе ключа.

Я когда заказывал ключ, специально сказал, что мне нужен экспортируемый.

По умолчанию он не экспортируется, но по запросу делают (бесплатно).