Jump to content
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

2 часа назад, ayf сказал:

https://www.bbc.com/russian/features-45368220

 

Ощущение, что новость пересылали почтой России.

Это там по ссылке ваще что за набор слов и объедков фраз? Это вот реально в такую галиматью попытка вместить максимум информации в минимум фраз выплывает?

Share this post


Link to post
Share on other sites

Привет, коллеги. А к кому-нибудь еще приходили из РКН со странной просьбой написать, какие ПО используется для взаимодействия с их чудесным реестром? Мне один из коллег в личку с такой болью постучался, я на всякий случай получил некую странную бумажку в Роспатенте на https://github.com/yegorov-p/python-zapret-info, если кому-то еще нужно - обращайтесь, я копии пришлю. 

Share this post


Link to post
Share on other sites
2 часа назад, yegorov-p сказал:

Привет, коллеги. А к кому-нибудь еще приходили из РКН со странной просьбой написать, какие ПО используется для взаимодействия с их чудесным реестром? Мне один из коллег в личку с такой болью постучался, я на всякий случай получил некую странную бумажку в Роспатенте на https://github.com/yegorov-p/python-zapret-info, если кому-то еще нужно - обращайтесь, я копии пришлю. 

 Не было такого письма, видимо устали реестры у себя вести, утомлённые местные. Кстати - вопрос для меня в 3Крублей, закупать ли новую ЭЦП на год, для того чтобы утешить незабирателей ? Если учесть, что фильтрация и незабор реестра - перпендикулярны, и что ободренная система фильтрации у нас внедрена, только они официальную, последнюю справку не дают. Я хочу официально, документированно, что я не должен забирать реестры, потому-что этим занимается купленный продукт официально. Все всё знают, и делают круглые глаза, как в краине -  а нас-то-защо... Задолбало.

Share this post


Link to post
Share on other sites
24 минуты назад, YuryD сказал:

 Не было такого письма, видимо устали реестры у себя вести, утомлённые местные. 

Короче, если кому-то нужно: https://github.com/yegorov-p/python-zapret-info/blob/master/Certificate.jpg

Видимо, гербы, орлы и печати внушают в сердца Роскомнадзора трепет, потому что им этого хватает. Если что, описание там специально написано максимально обще, поэтому можете пользоваться бумажкой в любых целях ;)

Edited by yegorov-p

Share this post


Link to post
Share on other sites

@yegorov-p За бумажку респект, реально. Хороший способ поиметь систему - ею же самой. А то у нас или страдания на кухнях в форумах, или сразу на на площадь, на б`гоневик, прочитать пару законов, написать заявление и получить свой "мечЪ для воЙна" - это "мозгу нации" обычно неподсилу.

Share this post


Link to post
Share on other sites
В ‎14‎.‎09‎.‎2018 в 18:35, YuryD сказал:

Кстати - вопрос для меня в 3Крублей, закупать ли новую ЭЦП на год

вместо ЭЦП можно получить бесплатный логин/пароль либо отправить письмо, в котором указать кто за вас забирает (но этот вариант почему-то не во всех регионах прокатывает)

Share this post


Link to post
Share on other sites

Счастье к нам приходит! Теперь Cloudflare будем по IP банить!

 

Цитата

Компания Cloudflare сообщила о реализации в своей сети доставки контента поддержки TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.

До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.

http://www.opennet.ru/opennews/art.shtml?num=49325

Share this post


Link to post
Share on other sites
3 минуты назад, snvoronkov сказал:

Теперь Cloudflare будем по IP банить!

Можно подумать, что применение SNI мешало РКН блокировать подсети диапазонами /12 и более.

Share this post


Link to post
Share on other sites
6 минут назад, alibek сказал:

Можно подумать, что применение SNI мешало РКН блокировать подсети диапазонами /12 и более.

РКН не мешало. А вот на DPI таки мешало.

 

Есть, конечно, вариант с дропом/подменой запросов ESNI... Но будем пока посмотреть.

 

Upd: А фиг-то там.

 

Цитата

6.1.  Misconfiguration

   If DNS is misconfigured so that a client receives ESNI keys for a
   server which is not prepared to receive ESNI, then the server will
   ignore the "encrypted_server_name" extension, as required by
   [RFC8446]; Section 4.1.2.  If the servers does not require SNI, it
   will complete the handshake with its default certificate.  Most
   likely, this will cause a certificate name mismatch and thus
   handshake failure.  Clients SHOULD NOT fall back to cleartext SNI,
   because that allows a network attacker to disclose the SNI.  They MAY
   attempt to use another server from the DNS results, if one is
   provided.

Только бан по IP! Или бан внешних DNS-серверов (здравствуйте, Гугло/Яндексо-резолверы!) с фильтрацией "_esni.* IN TXT" в дупло.

Share this post


Link to post
Share on other sites

Я имею ввиду, что для зарубежных сервисов нет никакого резона хоть как-то учитывать желания и просьбы РКН. Наоборот, от подобных действий они могут даже получить небольшой профит.

Хоть сотрудничай с ним, хоть игнорируй, а тупые исполнители, едва осилившие whois, все равно будут вносить в реестр большие подсети, даже не пытаясь вникнуть и детализовать блокируемый сервис.

Share this post


Link to post
Share on other sites
Цитата

 

Изменяется формат файла выгрузки на версию 2.4 – добавляются теги для представления ip-адресов в формате IPv6:

тег ipv6 – для одиночного ip-адреса в формате IPv6;

тег ipv6Subnet – для подсетей в формате IPv6.

Операторам связи необходимо доработать системы обработки файла выгрузки. Формирование выгрузки с описанными изменениями в формате 2.4 будет производиться, начиная с 01.11.2018 12:00 МСК.

 

 

Share this post


Link to post
Share on other sites
9 minutes ago, Связной (С) said:

 

Это забавно. Даже если у меня IPv6 в принципе не работает, выгрузку все равно изволь обрабатывать.

Share this post


Link to post
Share on other sites

Если они с в4 делали кучу ошибок, представляю, что будет в адресах в6

Share this post


Link to post
Share on other sites
В 25.09.2018 в 19:42, ayf сказал:

Если они с в4 делали кучу ошибок, представляю, что будет в адресах в6

Интересно, как они будут в урлах ipv6 писать? В "[]" или как получится? Интересен в принципе факт определения того что указано после последнего ":" № порта или последняя часть адреса. Добавили они защиту от дураков хотя бы примитивную или нет?

Share this post


Link to post
Share on other sites

IPv6 разумеется будет блокироваться подсетями, думаю /64 и выше. Смысла в блокировке одиночного адреса никакого.

Share this post


Link to post
Share on other sites
13 минут назад, alibek сказал:

IPv6 разумеется будет блокироваться подсетями, думаю /64 и выше. Смысла в блокировке одиночного адреса никакого.

Они заблокируют через один и запретят операторам блокировку подсетей:)

Share this post


Link to post
Share on other sites
42 минуты назад, ayf сказал:

Они заблокируют через один и запретят операторам блокировку подсетей:)

"Нет придела человеческому гению в решении сложных проблем. Но ещё больше гениальности в создании этих самых проблем." (с)

;)

Share this post


Link to post
Share on other sites
1 час назад, snik_1900 сказал:

Интересно, как они будут в урлах ipv6 писать? В "[]" или как получится? Интересен в принципе факт определения того что указано после последнего ":" № порта или последняя часть адреса. Добавили они защиту от дураков хотя бы примитивную или нет?

Весь предшествующий опыт показывает, что РКН в целом не очень осознает тот факт, что выгружаемые дампы разбираются автоматически, без участия человека. Поэтому можно ожидать абсолютно что угодно.

Share this post


Link to post
Share on other sites
5 часов назад, alibek сказал:

IPv6 разумеется будет блокироваться подсетями, думаю /64 и выше. Смысла в блокировке одиночного адреса никакого.

Я не думаю что хоcтеры будут выделять IP на свои сервера сетями. Зачем одному серверу пачка IP?  Ну разве только развести разные сайты по разным IP. Но и в таком случае банить надо будет конкретный IP сайта. А не IP соседних сайтов.

А вот проблема с баном облаков - т.е. живущих в них сайтов и сервисов это будет большая головная боль.

Share this post


Link to post
Share on other sites
1 минуту назад, Tosha сказал:

Я не думаю что хоcтеры будут выделять IP на свои сервера сетями.

В IPv6 другой подход к распределению адресного пространства.

Нет необходимости экономить.

Share this post


Link to post
Share on other sites
1 час назад, Tosha сказал:

Я не думаю что хоcтеры будут выделять IP на свои сервера сетями. Зачем одному серверу пачка IP?  Ну разве только развести разные сайты по разным IP.

Именно так. Серверу на интерфейс - /64. Каждый сайт, который с этого интерфейса виден - на своем IPv6. Если немного странного захотеть - то даже каждому браузеру, идущему на сайт, можно свой адрес сервера предложить.

 

1 час назад, Tosha сказал:

Но и в таком случае банить надо будет конкретный IP сайта. А не IP соседних сайтов.

А в этом случае заблокированный сайт моментально перебежит на другой, свободный IP из этой же /64.

Share this post


Link to post
Share on other sites

С 19.10.2018 не можем загрузить результаты тестирования. Это только мы такие счастливчики или есть кто-то ещё? Страница со списком выгрузок тормозит. Новые заявки висят не отработанными.

Share this post


Link to post
Share on other sites
41 минуту назад, snik_1900 сказал:

С 19.10.2018 не можем загрузить результаты тестирования.

Это у всех. Стандартная картина - сломалось в пятницу, к обеду понедельника Москва проснётся и починят.

Share this post


Link to post
Share on other sites

Да, это у всех. Однако понедельник и почти обед, но пока не починили...

Share this post


Link to post
Share on other sites
1 минуту назад, vim сказал:

но пока не починили

Вы чо, не видите, у меня обед

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now