Jump to content
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Так и делайте для типа блокировки domain блокировку по маске - *.grani.ru

А набор IP-шников, которые этой звездочке соответствует, и которые нужно перенаправлять на фильтр для применения более точных фильтров - его тоже по звездочке?

Share this post


Link to post
Share on other sites

Так и делайте для типа блокировки domain блокировку по маске - *.grani.ru

А набор IP-шников, которые этой звездочке соответствует, и которые нужно перенаправлять на фильтр для применения более точных фильтров - его тоже по звездочке?

Вы про https и прочие протоколы? Да, с этим всё очень грустно. Мы уже смотрим в сторону Ската.

Share this post


Link to post
Share on other sites

А набор IP-шников, которые этой звездочке соответствует, и которые нужно перенаправлять на фильтр для применения более точных фильтров - его тоже по звездочке?

"Рекомендации" изменены. Теперь принцип "определить набор IP и трафик с ними отправить на сервер фильтрации" уже не приветствуется.

Так что теперь просматривать весь трафик... Не можете по трафику - закрываете на уровне DNS запросов...

 

Заливайте весь DNS трафик на сервер фильтрации и фильтруйте...

Share this post


Link to post
Share on other sites

Кто нибудь уже фильтрует DNS запросы/ответы? Жалоб нет?

Share this post


Link to post
Share on other sites

А набор IP-шников, которые этой звездочке соответствует, и которые нужно перенаправлять на фильтр для применения более точных фильтров - его тоже по звездочке?

Вы про https и прочие протоколы? Да, с этим всё очень грустно. Мы уже смотрим в сторону Ската.

Да нет, в данном случае про обычный http. Вот есть сто штук зеркал граней - чтобы фильтрация работала, нужно все эти сто ip поймать.

Share this post


Link to post
Share on other sites

Да нет, в данном случае про обычный http. Вот есть сто штук зеркал граней - чтобы фильтрация работала, нужно все эти сто ip поймать.

Их не просто сто штук, они неуклонно меняются. Завтра их тоже будет сто штук, но некоторые изменят IP :)

 

А с Гуглом вообще интересно. Их привязка как-то завязана на последний октет адреса (младший). А это очень неудобно фильтровать. :)

Share this post


Link to post
Share on other sites

Кто нибудь уже фильтрует DNS запросы/ответы? Жалоб нет?

 

Нормально все.

Как показала практика, блочить точно по URL надо лишь ВК и Ютуб.

Все остальные сайты в реестре настолько никому не нужны, что за несколько лет блока по ДНС не было жалоб про их доступность.

Share this post


Link to post
Share on other sites

Кто нибудь уже фильтрует DNS запросы/ответы? Жалоб нет?

 

Нормально все.

Как показала практика, блочить точно по URL надо лишь ВК и Ютуб.

Все остальные сайты в реестре настолько никому не нужны, что за несколько лет блока по ДНС не было жалоб про их доступность.

 

Так бесполезно жаловаться.

Я пробовал это делать еще в 2013 году, получил отписку и забил.

Уже года 4 ssh туннель почти никогда не отключаю (отключаю только там где требуют российский IP).

Share this post


Link to post
Share on other sites

а чё за особое отношение к Ю-туб и ВК? Давайте их тоже блочьте, х-ли!

 

Тем более, что я на эту тему уже писал в РКН и получал ответ, что нет никаких "социально значимых ресурсов".

Share this post


Link to post
Share on other sites

Тем более, что я на эту тему уже писал в РКН и получал ответ, что нет никаких "социально значимых ресурсов".

Официально - да. По закону - да. Нет.

Но неофициально они очень осторожно вписывают записи относящиеся к ряду ресурсов. Особенно накануне выборов.

В т.ч. по ютубу нет ни одной https записи хотя ютуб глобально через hsts работает только по https и по http его фильтровать это как носить в решете воду.

Share this post


Link to post
Share on other sites
Но неофициально они очень осторожно вписывают записи относящиеся к ряду ресурсов. Особенно накануне выборов.
слабаки ! в наших тюрьмах полно мест! давайте уже исполнять тупые законы от и до, не надо как ГАИ взятки брать за знак 40 в городе - пусть стоит очередь из водятлов на 20 км, но ни одного НЕЛЬЗЯ ПРОПУСКАТЬ!

Share this post


Link to post
Share on other sites

А с постраничной блокировкой Ютуба вылезли грабли HSTS...

 

Если браузер идет на youtube.com/watch?v=***** то такое обращение происходит по http и нормально перехватывается ipfw (FreeBSD), запрос отправляется на squid и, в случае если URL из реестра, squid выводит страницу блокировки вместо страницы с роликом.

НО если браузер идет на www.youtube.com/watch?v=***** то видимо срабатывает HSTS, Ютуб начинает работать по https и уже ничего не перехватывается и не блочится, в браузере открывается https://www.youtube.com/watch?v=***** и показывается ролик.

 

Проблема в том, что в реестре ссылки указаны именно как www.youtube.com/watch?v=***** т.е. Проверяющий откроет ролик при проверке,

а при проверке Ревизором тот в отчетах пишет что страницы Ютуба доступны, а адрес показывает как http://www.yоutube.com/watch?v=*****

 

Кто-нибудь решил эту проблему как-нибудь?

Хочется даже при заходе на www.youtube.com не иметь проблем с HSTS, а нормально обрабатывать http

 

На DNSе экспериментировал, отправляя www.youtube.com на тот же IP на котором живет youtube.com и всеравно при вводе в браузере www.youtube.com срабатывает HSTS и открывается https://www.yоutube.com/watch?v=*****

Share this post


Link to post
Share on other sites

А вы видели какая красота творится на УНИВЕРСАЛЬНЫЙ СЕРВИС проверки ограничения доступа к сайтам и (или) страницам сайтов

сети «Интернет»?

http://blocklist.rkn.gov.ru

 

Проверяем, не содержится ли ролик в Реестре используя страницу РКН как мы бы делали это при споре с Проверкой или в Суде.

далее сама ссылка на ролик чуть изменена, чтобы не давать тут ссылку на запрещенный ресурс, но суть от этого не меняется

важное, на мой взгляд, выделил жирным

 

ищем

www.yоutube.com/watch?v=c305xNG7ev1

результат

Искомый адрес: www.yоutube.com/watch?v=c305xNG7ev1 Всего найдено записей: 1

 

ищем

http://www.yоutube.com/watch?v=c305xNG7ev1

результат

Искомый адрес: http://www.yоutube.com/watch?v=c305xNG7ev1 Всего найдено записей: 1

 

ищем

https://www.yоutube.com/watch?v=c305xNG7ev1

результат

Искомый адрес: https://www.yоutube.com/watch?v=c305xNG7ev1 Всего найдено записей: 1

 

А это значит что не получится уйти от претензий методом "Трщ майор (или Суд), взгляните же на браузер (или скриншот), у вас httpS в ссылке, а в реестре написано http"...

Share this post


Link to post
Share on other sites

Кто-нибудь решил эту проблему как-нибудь?

Хочется даже при заходе на www.youtube.com не иметь проблем с HSTS, а нормально обрабатывать http

HSTS как бы и был придуман, чтобы подобные проблемы для желающих заглянуть или фильтровать были. Причем если смотреть в хроме (на служебном адресе chrome://net-internals/#hsts)

static_sts_domain: youtube.com

static_upgrade_mode: OPPORTUNISTIC

static_sts_include_subdomains: true

Я так понимаю, то что оно static* - означает, что переход на https прямо в браузер вшит, независимо от HSTS заголовков, приходящих от сервера.

Share this post


Link to post
Share on other sites

Кто-нибудь решил эту проблему как-нибудь?

Хочется даже при заходе на www.youtube.com не иметь проблем с HSTS, а нормально обрабатывать http

Думали в начале лета спросить мнения РКН по этому вопросу но передумали спрашивать. Ответят 100% отпиской. Зато вот "рекомендации" они изменили. Не к добру...

Share this post


Link to post
Share on other sites

В рееcтр попал сайт, который резолвится на ip 95.213.11.132 (один из ip VK). Тоже самое с lenta.ru. В зависимости от выбранного алгоритма блокировок, некоторые провайдеры блокируют незаблокированные сайты.

 

Виновник dvosch.ga

 

Name: dvosch.ga

Address: 81.19.72.32

Name: dvosch.ga

Address: 81.19.72.33

Name: dvosch.ga

Address: 81.19.72.34

Name: dvosch.ga

Address: 81.19.72.35

Name: dvosch.ga

Address: 87.240.165.83

Name: dvosch.ga

Address: 87.240.165.84

Name: dvosch.ga

Address: 91.227.34.40

Name: dvosch.ga

Address: 93.93.91.170

Name: dvosch.ga

Address: 95.213.11.132

Name: dvosch.ga

Address: 107.181.174.210

Name: dvosch.ga

Address: 163.172.11.143

Name: dvosch.ga

Address: 163.172.11.149

Name: dvosch.ga

Address: 163.172.146.48

Name: dvosch.ga

Address: 163.172.178.202

Name: dvosch.ga

Address: 172.217.21.142

Name: dvosch.ga

Address: 185.17.170.202

Name: dvosch.ga

Address: 185.17.171.114

Name: dvosch.ga

Address: 194.54.14.132

Name: dvosch.ga

Address: 194.54.14.159

Name: dvosch.ga

Address: 195.154.163.43

Name: dvosch.ga

Address: 212.47.229.232

Name: dvosch.ga

Address: 212.47.235.66

Name: dvosch.ga

Address: 212.193.148.134

Name: dvosch.ga

Address: 37.220.161.170

Name: dvosch.ga

Address: 46.235.184.91

Name: dvosch.ga

Address: 46.235.184.228

Name: dvosch.ga

Address: 62.210.107.223

Name: dvosch.ga

Address: 62.210.110.21

Edited by alexdirty

Share this post


Link to post
Share on other sites

Судя по кешу поисковиков он был создан с непосредственной целью внесения его в реестр.

Share this post


Link to post
Share on other sites

Скат по http нормально блочит, жалоб от юзеров на недоступность других ресурсов нету.

По https - браузер орёт про недействительный сертификат, но если согласиться - то открывается life.ru

Share this post


Link to post
Share on other sites

VK стал сам блокировать страницы из реестра ФНС

https://vk.com/wall-60500123 >>> https://vk.com/blank.php?rkn=60500123

 

Данный материал заблокирован на основании решения ФНС от 27.06.2016 № 2-6-27 2016-06-24-93-АИ

Edited by alexdirty

Share this post


Link to post
Share on other sites

Что тут удивительного ? Любой гражданин может на запретинфо пожаловаться на ссылку, и готово. А у фнс ресурсов побольше, например суд выиграть и запретить по судебному решению. Хотя тут что-то не ладно.. Но это к юристам.

Share this post


Link to post
Share on other sites

По https - браузер орёт про недействительный сертификат, но если согласиться - то открывается life.ru

А в строке браузера что при этом стоит? И чей сертификат получается? Не самих ли life.ru? Если все так - то на самом деле блокировки попросту нет. Хотя и того контента, что там заблокировать пытались - нет тоже. Но Реестр же говорит блокировать не контент, а адрес.

Share this post


Link to post
Share on other sites

А в строке браузера что при этом стоит? И чей сертификат получается? Не самих ли life.ru? Если все так - то на самом деле блокировки попросту нет. Хотя и того контента, что там заблокировать пытались - нет тоже. Но Реестр же говорит блокировать не контент, а адрес.

 

Проверил у себя. При попытке перейти по https браузер вопит на

O = Internet Widgits Pty Ltd

S = Some-State

C = AU

CN в сертификате нет. Если добавить исключение - идет редирект на страницу блокировки моего оператора. Т.е. оператор MitM балуется. Что, впрочем, давно уже известно. Вот интересно, когда товарищи осмелеют и поставят, наконец, IP гугла/ютуба? Те проверяют прямо в своем браузере, тот ли сертификат, что надо, получен. И если не тот - стучит в Гугл для разбирательств.

Share this post


Link to post
Share on other sites

Есть идиотская юридическая норма, называть эти высеры законами язык не поворачивается, оператор вынужден ее исполнять под угорозой санкций.

Ну законы не идиотские. Цензура это вполне традиционный и устоявшийся веками метод.

В любой стране есть запреты на то что может быть публично напечатано.

Ну то есть напечатать то можно все, но некоторое только один раз :)

Например, в США Вы испытаете массу проблем при попытке что-то плохое сообщить о гм... людях другого цвета...

 

Но с другой стороны правильно воспитанные люди устойчивы к, например, призывам джихада.

Мое мнение - надо лучше воспитывать и тогда можно обойтись без особой цензуры.

 

Я вот не могу определиться я за цензуру или против... :(

 

Скорее всего надо не блокировкой заморачиваться а наказанием организаторов распространения. Очень многое что нельзя у нас нельзя и в странах где расположены "хостинги". Грамотное обращение к полиции того государства решит все проблемы.

 

И таки да - оператор совсем не всесилен и на уровне пакетов все закрыть не может. Этого законодатель не понимает. И люди этого не понимают. Тут плохо работает Роскомнадзор. Это он должен объяснить депутатам и Президенту что технически исполнимо а что нет.

Президенту говорили, даже в рамках выигранного президентского гранта

http://www.sova-center.ru/racism-xenophobia/publications/2016/06/d34913/

Что касается «Реестра Лугового» (немедленная блокировка по требованию прокуратуры экстремистских материалов), то тут несуразностей и произвола еще больше. В большинстве случаев вообще непонятно, зачем нужна была именно внесудебная (то есть срочная) блокировка материалов (например, разнообразной мусульманской литературы), уже много лет свободно находящихся в интернете.

В этот реестр попали страницы, блокировки которых были продиктована текущей политической ситуацией, – например, сообщения об оппозиционных акциях разного рода ...однако Вся информация в интернете о местах сбора до потенциальных адресатов доходила практически мгновенно. А огромное количество страниц, идентичных или почти идентичных заблокированным, до сих пор остается в свободном доступе.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now