[UglyAdmin]

В чём ваш кровный интерес?

За свободу радеет. :)

[dang]

Посмотрите, может что найдете

Делал всё по этой инструкции. Подписываю так же, как там написано.

 

Так это у вас подпись протухла, получается?

А сколько должен жить provider.pem, выдернутый из сертификата?

Изменено 12 декабря, 2012 пользователем dang

[Rivia]

Дело в том, что хомячкам наплевать на то, что вы выполняете все в рамках закона. Их интересует доступность сайта по соседству и они начинают негодовать в случае отсутствия оной. :)

Изменено 12 декабря, 2012 пользователем Rivia

[bitbucket]

Дело в том, что хомячкам наплевать на то, что вы выполняете все в рамках закона. Их интересует доступность сайта по соседству и они начинают негодовать в случае отсутствия оной. :)

И что ? Если хосетр забил на абузы, он так же легко может забить на железо и бекапы. Считайте, что в тачке лег винт, кулер или что-то еще. Разница только в том, что в случае блокировки показывается причина, а в случае умирания тачки - нет. timeout и все.

[Антон Богатов]

побежал добавлять в фильтр сайт.

Низзя! В фильтр добавляется не сайт, а белый кролик, причем именно белый, а не черный, зеленый, серобуромалиновый или еще какой. Вот в чем цимес-то!

Вот! А вы, Антон, предлагаете добавить в фильтр ВСЕХ кроликов, живущих на этой ферме (на этом ip-адресе), а не излолировать одного - заразного.

Я предлагаю тупо исполнять тупой закон, которым установлено, что фильтрации подлежат кролики, только в разных частях закона кролики определяются различным образом.

С таким же успехом можно блокировать бумажную почту в адрес террориста Ушата Помоева по почтовому индексу города, в котором он живет. Ага, только декс дура сед лекс.

Андрей, следуя Вашей логике ничего фильтровать вообще нельзя (и это правильно, ИМХО), потому что невозможно, в принципе невозможно легально определить объект, содержащий недопустимую информацию. URL? Вот только страница, на которую указывает URL, содержит не только бяку, но и вполне себе белопушистые сведения. Зачем же их блочить? Получается, URL-то неправильный, не до конца детализированный. Бред, скажете? Ага, бред. Бред, потому что закон пытается регулировать отношения, которые вообще не поддаются правовому регулированию.

По существу, законодатель пытается решить педагогическую задачу путем внедрения DPI на сетях связи.

Увы, оно так не работает. Сколько "пи" не округляй - длина окружности не изменится.

 

Недовольные хомячки пусть топают на выборы.

[Andrei]

Вот! А вы, Антон, предлагаете добавить в фильтр ВСЕХ кроликов, живущих на этой ферме (на этом ip-адресе), а не излолировать одного - заразного.

Заразный заразил всю ферму - на карантин.

Не понимаю я вас, Антон же говорит что можно обойтись грубым дешёвым и гарантированным способом исполнить закон, а вам хочется дорогого и не надёжного.

В чём ваш кровный интерес?

"Заразный заразил всю ферму" - в отношении контента на хостинге аналогия неудачная.

Моего кровного интереса - ноль. Хотется лишь минимальными усилиями выпилить достаточный минимум контента, чтобы и закон соблюсти, и юзверей сильно не огорчать, фильтруя по ip хостинг с десятком тысяч сайтов. Как? Я уже упоминал в этой ветке.

[Andrei]

Я предлагаю тупо исполнять тупой закон

Если только с целью его дискридитации, тогда соглашусь.

[Антон Богатов]

Есть гораздо более простой и эффективный способ.

В случае блокировки у юзера должно открываться окно, в котором написано следующее:

 

"Уважаемый пользователь,

 

Доступ к запрошенной Вами информации заблокирован по решению (указать орган из реестра) №___ от _____ (тоже из реестра).

Оператор связи обязан исполнить вышеуказанное решение под угрозой прекращения лицензии.

 

В случае несогласия с блокировкой обращайтесь непосредственно в (орган из реестра) на имя руководителя (фИО) из гов.ру

емыл с сайта гов.ру (ссылка)

телефон приемной руководителя (оттуда же)

Вы также можете отправить жалобу на установления блокировки в указанный федеральный орган исполнительной власти через госуслуги.ру."

 

И пущай хомячки троллят, спамят и флеймят госслужбу. Всяко лучше, чем троллить саппорт оператора. :)

Да, и чем больше вы так заблочите - тем быстрей задымится жопа у аффтаров закончега.

[s.lobanov]

Сегодня опять google добавили в реестр(https://encrypted-tbn1.gstatic.com/images?q=tbn:ANd9GcRHuLTiQROLnbTvzhwS7eHrYIaJJzh8b2igLJexLpbWFEW9lBN4 ) и буквально сразу удалили.

[dang]

Экспортировал новый сертификат с токена в p12.pfx, перевёл в .pem, руками написал request.xml, перевёл его в ср-1251, подписал:

/gost-ssl/bin/openssl smime -sign -in request.xml -out request.bin -signer provider.pem -outform DER

 

Не проходит проверку на госуслугах. Ругается на "Неправильное значение хеша".

 

В чём может быть проблема?

[Andrei]

Есть гораздо более простой и эффективный способ.

В случае блокировки у юзера должно открываться окно, в котором написано следующее:

Подход понятен и имеет право на жизнь. Но вспоминается "пока толстый сохнет, худой сдохнет". Понятно о чем я? :)

 

В чём может быть проблема?

Выше правильно посоветовали - "Так это у вас подпись протухла, получается? "

Проверьте срок действия.

[kapa]

Вот! А вы, Антон, предлагаете добавить в фильтр ВСЕХ кроликов, живущих на этой ферме (на этом ip-адресе), а не излолировать одного - заразного.

Заразный заразил всю ферму - на карантин.

Не понимаю я вас, Антон же говорит что можно обойтись грубым дешёвым и гарантированным способом исполнить закон, а вам хочется дорогого и не надёжного.

В чём ваш кровный интерес?

Мой кровный интерес поиметь абонентов от того, кто обойдётся "грубым дешёвым и гарантированным способом исполнить закон".

[Антон Богатов]

Подход понятен и имеет право на жизнь. Но вспоминается "пока толстый сохнет, худой сдохнет". Понятно о чем я? :)

Андрей, у Вас нет выбора: магистралы будут блочить по IP. Никаких планов введения DPI в глобальном масштабе не существует.

Ну и какой смысл оператору доступа городить всю эту дипиайную цветомузыку, если ресурсы зафильтрованы на магистрали? Абоненту пофиг - магистраль, не магистраль, абонент негодуэ.

 

Мое шведское начальство, мягко говоря, недовольно всей этой фильтрацией, поэтому я смогу побороться за отмену блэклиста при оказании услуг по пропуску трафика. Не более того, да и это с очень туманной перспективой, ибо политика есть быть. Но российские магистралы не станут делить клиентов по принципу "оператор-не оператор" и реконфигурировать сеть в глобальном масштабе. Поэтому мочить будут все подряд по IP, а к нам Вы вряд-ли сумеете присоединиться по географическим причинам.

[visir]

Но российские магистралы не станут делить клиентов по принципу "оператор-не оператор" и реконфигурировать сеть в глобальном масштабе.

Не факт.

[Антон Богатов]

Но российские магистралы не станут делить клиентов по принципу "оператор-не оператор" и реконфигурировать сеть в глобальном масштабе.

Не факт.

Окромя Ретна - факт. Насчет Ретна не знаю, но его купят в обозримой перспективе, ибо китайская модель рулит.

[Bushi]

Но российские магистралы не станут делить клиентов по принципу "оператор-не оператор" и реконфигурировать сеть в глобальном масштабе.

ТТК не фильтрует для операторов. Того же самого от Вымпелкома не можем добиться.

[Wingman]

Ретн тоже обещается ипы прибивать

[Антон Богатов]

ТТК не фильтрует для операторов.

А другие говорят, что фильтруют. И надзор требует фильтровать.

 

Ретн тоже обещается ипы прибивать

На межоператорских стыках?

[kapa]

Ретн тоже обещается ипы прибивать

когда успел?

[fon_yurgen]

Экспортировал новый сертификат с токена в p12.pfx, перевёл в .pem, руками написал request.xml, перевёл его в ср-1251, подписал:

/gost-ssl/bin/openssl smime -sign -in request.xml -out request.bin -signer provider.pem -outform DER

 

Не проходит проверку на госуслугах. Ругается на "Неправильное значение хеша".

 

В чём может быть проблема?

Приветствую!

То же самое сообщение на госуслугах, причем подпись, созданная тут же из-под КриптоАРМ проходит нормально...

Последовательность действий такова:

1. С рутокена экспортирую ключевую пару CSP в контейнер PKCS#12 (слова списал из мануала к P12FromGostCSP). Делаю это на винде

2. Переношу при помощи SCP файл, полученный на предыдущем шаге, на линуксовую машину;

3. далее делаю все по мануалу, описанному здесь

 

И ещё один момент, возможно упустил, пока читал весь тред: после установки openssl из ветки testing (1.0.1c-4) - сломался ssh

kernel: [9554566.777806] sshd[15090]: segfault at b77a69c0 ip b72ecb7f sp bfb9ceec error 7 in libgost.so[b72e1000+14000]

прослеживается явная связь с библиотекой, которую притащил openssl

[Wingman]

На межоператорских стыках?

когда успел?

 

Общались с их менеджером (рассматривали как аплинка), интересовал этот вопрос, спросили...

Ответ был "мы блокируем на магистральном оборудовании в РФ запрещенные IP адреса."

[kapa]

Общались с их менеджером (рассматривали как аплинка), интересовал этот вопрос, спросили...

Ответ был "мы блокируем на магистральном оборудовании в РФ запрещенные IP адреса."

Это он испугался контрольной закупки :)

[Soltik]

А одинаковые записи в реестре - это теперь тоже будет нормально?

id=198 и id=786 отличаются только слешем в конце урла, приняты одной конторой в один день под разными номерами документов )))

[visir]

Но российские магистралы не станут делить клиентов по принципу "оператор-не оператор" и реконфигурировать сеть в глобальном масштабе.

Не факт.

Окромя Ретна - факт. Насчет Ретна не знаю, но его купят в обозримой перспективе, ибо китайская модель рулит.

Я про будущее. В будущем позиция регулятора может измениться, к закону могут поправки принять, итп.

[GateKeeper]

Если хостер не отвечает на абузы - это плохой хостер и его надо менять. Так что все правильно.

Да вся проблема-то всего-то в "была ли обуза?"