Jump to content
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Да. Действительно.

 

Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ?

Share this post


Link to post
Share on other sites

Да. Действительно.

 

Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ?

+ регион= Архангельск. КТо ещё смог доказать?

Share this post


Link to post
Share on other sites

А никто не заметил, что размер zip-архива выгрузки уменьшился в размере в 4 раза примерно ?

Это ничего не значит, сам дамп размер не поменял.

Видимо алгоритм упаковки поменяли.

Share this post


Link to post
Share on other sites

в базе реестра, и материалах - http, а в скриншотах https

Strict-Transport-Security и HSTS срабатывают?

 

Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https? А логи о блокировании http имелись и по времени совпадали.

А когда приводят скриншоты экрана с другим протоколом, да еще и вместо домена 3-го уровня - с доменом 2-го....

Share this post


Link to post
Share on other sites

Да. Действительно.

 

Konstantin Klimchev, и как, получилось доказать что их ревизор не верно проверяет ?

 

А чего доказывать? В протоколе один url (вернее 4-е, но на один ресурс. в базе на этот ресурс - больше 10 url'ов). В скриншотах (в последнее время на скриншотах, как я понял, url рисуется) - другой (и протокол и домен не 3-го, а 2-го уровня). Т.е. скриншот (в даном конкретно случае) не является доказательством о неблокировании ресурсов. "Другой" url в базе отсутствует. Раньше, когда было чуть-чуть - звонили и говорили "ай-яй-яй". Мы разбирались, и устраняли (где-то кириллица некорректно или еще чего) или говорили - а у нас блокирует (типа как в этот раз)... Щас, наверое, поступила указивка - сразу административку оформлять...

 

Глючит походу Ревизор с последними изменениями. Связьнадзор - ему пришло указание - он его выполнил...

Edited by Konstantin Klimchev

Share this post


Link to post
Share on other sites

Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https?

Не должен (с HSTS).

Браузер сам откроет HTTPS-версию сайта, не обращаясь предварительно к серверу.

А если отпечаток сертификата сайта будет отличаться от отпечатка в локальной базе, то отобразит сообщение.

Share this post


Link to post
Share on other sites

насколько я понимаю

у РКН есть Методические рекомендации Проверки показаний Ревизора.

Вот кто сможет достать, выкладывайте сюда, пожалуйста...

Share this post


Link to post
Share on other sites

Я так понимаю, он сначала должен попасть на http сайт, чтоб "перескочить" на https?

Должен. Один раз, чтобы нужные заголовки для домена увидеть. А для ютуба - верятно, вообще не должен, в брузер прямо вбито.

Share this post


Link to post
Share on other sites

Из конференции

 

Роман, г.Пермь

Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ?

 

Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр.

 

т.е. короче, ебись как хочешь а ресурс заблочь

Share this post


Link to post
Share on other sites

П.С. по факту получается что при открытии url мы должны сами определять его адрес, какой протокол используется на самом деле http или htpps, редиректы, парсить многоязычные урлы и так далее

Share this post


Link to post
Share on other sites

П.С. по факту получается что при открытии url мы должны сами определять его адрес, какой протокол используется на самом деле http или htpps, редиректы, парсить многоязычные урлы и так далее

Этот адрес не видно же. Оно работает так:

1) Браузеру нужно обратится на http://example.com

2) Он лезет в свои внутренние таблицы и видит, что сайт хочет, чтобы к нему ходили на https

3) И сразу идет на https://example.com

 

И 'на ютубе на самом деле используется https' - а дальше что? Кроме как заблокировать весь ютуб - никак. Даже MitM сделать скорее всего не получится - Гугл с хромом сильно (сильнее чем обычно) обидятся.

Share this post


Link to post
Share on other sites

Из конференции

 

Роман, г.Пермь

Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ?

 

Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр.

 

т.е. короче, ебись как хочешь а ресурс заблочь

Интересно, а с какими НПА согласуется данный ответ? Т.е. оператор при построении блокирующих правил должен, вне зависимости от того какой IP указан в реестре, обратиться к DNS за резольвингом, при этом учесть, что IP может быть несколько и уже потом блокировать?

Share this post


Link to post
Share on other sites

Помогите разобраться, нафига резолвить.

Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать.

Edited by nphs

Share this post


Link to post
Share on other sites

Помогите разобраться, нафига резолвить.

Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать.

L7 инспекция пакета ресурсоемкая операция, поэтому аппаратные DPI и стоят не дешево. Многие используют другие варианты блокировки.

Share this post


Link to post
Share on other sites

Из конференции

 

Роман, г.Пермь

Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ?

 

Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр.

 

т.е. короче, ебись как хочешь а ресурс заблочь

Интересно, а с какими НПА согласуется данный ответ? Т.е. оператор при построении блокирующих правил должен, вне зависимости от того какой IP указан в реестре, обратиться к DNS за резольвингом, при этом учесть, что IP может быть несколько и уже потом блокировать?

Тех. инфо - это не НПА В НПА установлена обязанность: п.5 ст. 46 ФзоС.

Формально есть реестр. Обязаны блокировать все его содержимое.

+ есть Рекомендации от 7.7.16 но это не НПА.

Share this post


Link to post
Share on other sites

Из конференции

 

Роман, г.Пермь

Должен ли блокировать оператор доменные имена и (или) указатели страниц сайтов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации запрещено, если их сетевой адрес отличается от сетевого адреса, указанного для данного доменного имени и (или) указателя страниц сайтов в "Едином реестре доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено" ?

 

Пальцин Денис Анатольевич, начальник Управления контроля и надзора в сфере связи Роскомнадзора Оператор связи обязан блокировать доступ к тем запрещенным ресурсам, которые включены в Реестр.

 

т.е. короче, ебись как хочешь а ресурс заблочь

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

Share this post


Link to post
Share on other sites

Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать.

Может и не быть.

~$telnet <host> 80

GET / HTTP/1.0

 

HTTP/1.1 200 OK

Server: nginx/1.10.1

Date: Wed, 01 Feb 2017 11:56:33 GMT

Content-Type: text/html

Content-Length: 612

Last-Modified: Mon, 15 Aug 2016 05:29:20 GMT

Connection: close

ETag: "57b15330-264"

Accept-Ranges: bytes

 

<!DOCTYPE html>

....

И где тут имя сайта?

Нет, понятно, что в реальной жизни HTTP/1.0 уже почти не бывает. Но ради того, чтобы пробиться через блокировку - сделают.

Share this post


Link to post
Share on other sites

Из конференции

 

....

 

т.е. короче, ебись как хочешь а ресурс заблочь

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

 

Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам.

Share this post


Link to post
Share on other sites

Из конференции

 

....

 

т.е. короче, ебись как хочешь а ресурс заблочь

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

 

Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам.

 

Посмотрите тред выше, IP адреса в выгрузке не обновляються.

Share this post


Link to post
Share on other sites

У меня вопрос - а этот Ревизор как-нибудь патчится автоматически, включая саму ОС или нет? Если не патчится - то как быстро кто-нибудь сумеет все эти железки затроянить? Софт же гарантированно одинаковый.

Share this post


Link to post
Share on other sites

Из конференции

 

....

 

т.е. короче, ебись как хочешь а ресурс заблочь

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

 

Ну если на то пошло, то обычный Оператор как раз не имеет оборудования, использующего для фильтрации трафика доменные имена и указатели страниц. Все оборудование Оператора заточено на работу с IP адресами. Оно(оборудование) разрабатывается для обработки гигантских потоков трафика по IP адресам.

 

Посмотрите тред выше, IP адреса в выгрузке не обновляються.

 

Там и указатели страниц не обновляются. Только занесли и забыли. Так что это проблема все-таки шерифа.

Share this post


Link to post
Share on other sites

Ведь в пакете содержиться имя сайта, которое можно увидеть и заблокировать.

Для https это не совсем так.

Share this post


Link to post
Share on other sites

У меня вопрос - а этот Ревизор как-нибудь патчится автоматически, включая саму ОС или нет?

Было бы глупо не сделать это, учитывая архитектуру системы и наличие зашифрованного канала управления.

 

Для https это не совсем так.

Для HTTPS имя домена содержится в серверном сертификате.

Share this post


Link to post
Share on other sites

Пускай уберут из реестра IP, практического смысла в них никакого. Оператор не может использовать эти данные для фильтрации. Даже там где блокировка по IP обычно все равно фигрурирует домен минимум

К сожалению, закон обязывает РКН в реестре обязательно указывать сетевые адреса.

В принципе с т.з. исполнения реестра оператор не обязан фильтровать данные для других сетевых адресов и его никто не сможет привлечь по этому закону за отсутствие фильтрации по прочим IP. Но в этом случае привлекают за неисполнение непосредственно решений суда (на основании которых добавлена запись в реестр) а в этом решении как раз IP обычно и нет - только доменные имена и адреса страниц. Реестр это пятое колесо в телеге. Но необходимое, иначе каждому оператору придется иметь человека который следит за решениями всех судов РФ.

 

В системе контроля есть только один неприятный момент. Проверка в т.ч. стучится по перечню IP заранее известных и поэтому метод блокировки на DNS сервере в т.ч. даже фильтрация всех DNS запросов оказывается неэффективной. Это усложняет фильтрацию HTTPS доменов. До наступления 2017 года их можно было фильтровать на DNS. А теперь - нет. :( Им осталось только сломать еще один механизм (не буду им подсказывать какой) и фильтация HTTPS протокола останется возможной только по IP адресу с очень большими побочными эффектами (например серьезно задевает AS гугла, в котором хостяться некоторые блоги)

Share this post


Link to post
Share on other sites

Для HTTPS имя домена содержится в серверном сертификате.

Только вот я еще не видел решений по фильтрации на основании данных серверного сертификата. Он вообще может быть выдан на пачку доменов по маске.

 

И я точно не знаю, но наверное получение данных сертификата сервера происходит уже после инициации шифрования. Именно поэтому данные именно сертификата не раскопать. Максимум что удается выцепить нешифрованного - это запрос на сертификат и то не всегда. Иногда инициация сессии идет без указания запрашиваемого домена.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now