[straus]

http://www.rsoc.ru/news/rsoc/news17163.htm

По прошествии первых суток работы ресурса zapret-info.gov.ru поступило более 5000 обращений, что превысило планируемый ежемесячный объем заявок.

Намана! Через недельку-другую они вообще вешаться начнут.

[drdaeman]

Лицензия на КриптоПро не нужна, все прекрасно работает с OpenSSL 1.1.

 

Как правило, ГОСТовые шифрсьюты из коробки не подключены, и, чтобы OpenSSL понял сертификат нужно указать engine, прописав в /etc/openssl.conf:

 

openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/libgost.so
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet

(Для разных систем путь в dynamic_path будет разным, `locate libgost.so` в помощь.)

Подробности описаны в README.gost (http://cvs.openssl.org/fileview?f=openssl/engines/ccgost/README.gost) и config(5).

 

Проверяем: openssl ciphers | grep -Fq GOST && echo "OK"

 

После чего берем сертификат в PKCS#12 и формируем подпись:

openssl smime -sign -in request.xml -out request.bin -signer index-situm-prohibitorum.pem -outform DER -nodetach

 

Проверено и работает.

[ohfsgcscft]

Намана! Через недельку-другую они вообще вешаться начнут.

Сделать поиск в гугле-яндексе, проверить выдачу и вперед запрос на блокировку. Можно за вечер несколько сотен сайтов нарыть. Кто все это оценивать будет? Хотя, мотод борьбы с безработицей найден!

[Rivia]

Я так подозреваю, что в базу они попадают сразу. А показываются в выгрузке для ISP по статусу "блокировка". А первые 3 дня оно должно быть с другими статусами.. Посему да, в реестр внесли. Но пока не для блокировки.

Интересен такой момент, если сейчас список URL не поступает (типа до провайдера дело еще не дошло), то не будет ли нам приходить список без URLов из одних только "сетевых адресов"? %) С этих станется.

[kapa]

Намана! Через недельку-другую они вообще вешаться начнут.

Сделать поиск в гугле-яндексе, проверить выдачу и вперед запрос на блокировку. Можно за вечер несколько сотен сайтов нарыть. Кто все это оценивать будет? Хотя, мотод борьбы с безработицей найден!

Только среди этих людей через небольшое время станет самый большой процент педофилов.

[yegorov-p]

Коллеги, а через wdsl кто-нибудь смог архивчик получить?

Что-то я под конец рабочей недели туплю, но через вебморду запросить и получить искомое получается, а через wsdl - ругается на неверный формат ЭП.

[ohfsgcscft]

Только среди этих людей через небольшое время станет самый большой процент педофилов.

 

Ну, там в первую очередь нужно проверять тех кто "случайно находит" ссылки на дп. Большинству они почему-то не попадаются, значит на заявителей нужно обратить внимание.

 

А насчет проф. выгорания:

зоофилам - поручить выявлять дп,

педофилам - пропаганду наркотиков и суицида (они же типа любят детей)

в общем работа найдется всем.

Изменено 2 ноября, 2012 пользователем ohfsgcscft

[straus]

Ну, там в первую очередь нужно проверять тех кто "случайно находит" ссылки на дп. Большинству они почему-то не попадаются, значит на заявителей нужно обратить внимание.

Уже. IP тех, кто присылает обращение, сохраняется.

И если в браузере запретишь cookies и refers - отослать обращение не получится.

[xxxupg]

Есть у кого список того что надо заблокировать? =) киньте список на файлообменник...

[Дятел]

Есть у кого список того что надо заблокировать? =) киньте список на файлообменник...

Тема для того, чтобы читать...но чукча, судя по всему, писатель...

[s.lobanov]

Ну, там в первую очередь нужно проверять тех кто "случайно находит" ссылки на дп. Большинству они почему-то не попадаются, значит на заявителей нужно обратить внимание.

Уже. IP тех, кто присылает обращение, сохраняется.

И если в браузере запретишь cookies и refers - отослать обращение не получится.

 

я специально находил с помощью гуглопоиска "травка курнуть site:XXX"(и подобные) на сайте, который хотел отправить в бан, ФИО и д.р. оставил реальные, IP не скрывал

 

Интерсно, много народа подали жалобу на это как на признаки детской порнографии?

[s.lobanov]

Неправда. Они же не только валидность проверяют. Они же на наличие/действительность лицензии тоже смотрят. Те как минимум табличка 'id сертификата' -> 'выдавать/не выдавать данные' там тоже есть. C тем же успехом можно и открытые ключи хранить. Не такие они большие.

 

Валидность легко проверяется путём онлайн-запроса к сертификационному центру(вы это можете увидеть и в быту - браузеры так умеют(гуглохром например)). Про табличку 'id сертификата' -> 'выдавать/не выдавать данные' дайти пруф.

 

Вообще этот вопрос абсолютно не приниципиален. Вот скажите, какая разница - делать HTTP GET-запрос с константным url(как вы предлагаете) или какой-либо другой запрос? Да нет никакой разницы, особенно для скриптов, которые всё это будут обрабатывать.

[Sergey Gilfanov]

Валидность легко проверяется путём онлайн-запроса к сертификационному центру(вы это можете увидеть и в быту - браузеры так умеют(гуглохром например)). Про табличку 'id сертификата' -> 'выдавать/не выдавать данные' дайти пруф.

Каюсь, был неправ, они свою базу операторов используют.

... по БД лицензий на оказание услуг связи проверяется наличие у данной организации действующих лицензий, при этом используются

ИНН и ОГРН, указанные в квалифицированном сертификате ключа ЭП, с использованием которого производилось подписание

запроса ...

 

Вообще этот вопрос абсолютно не приниципиален. Вот скажите, какая разница - делать HTTP GET-запрос с константным url(как вы предлагаете) или какой-либо другой запрос? Да нет никакой разницы, особенно для скриптов, которые всё это будут обрабатывать.

Рызницы никакой. Просто генерирование (и хранение в базе) временных кодов доступа мои эстетические чувства задевает. Вместо крона-скрипта, который вытаскивает и подписывает список в статический файл, нагородили сложную динамику.

[zoro]

Кстати- по этой базе и проверятся какой оператор выполняет требования... а какой нет :)

Если Оператор Мегафон- проверяет- ок хороший мальчик... а ООО ВаняТелеком не проверяет- можно значит приехать к вам :)

[yegorov-p]

Забавно, вчера при помощи триального криптоарма сгенерил подпись, смог слить вожделенный архивчик. Сегодня утром уже говорит что Ошибка! Файл подписи не является подписью в формате PKCS#7

UPD Спустя полчаса ВНЕЗАПНО все заработало. Феерично

Кстати, там первый канал радостно сообщил о десятке запрещенных сайтов, и таки где они? =)

Изменено 3 ноября, 2012 пользователем yegorov-p

[pppoetest]

Сайт реестра запрещенных сайтов попал в реестр запрещенных сайтов, т.к. содержит запрещенную информацию о запрещенных сайтах

[KotikBSd]

В общем, имеем у буха систему АСТРАЛ отчет. вытянуть с компа ключики для подписи не получилось, так что единственный выход подписывать самой системой астрал отчета, для этого можно запрячь бухгалтера каждое утро подписывать файлик ))) ну либо заплатить ещё денег и получить ключики на флешке :) и каждый год ещё платить...

 

5 минут назад получили список с помощью подписи из астрала, список только пустой к сожалению :(

[Stimpy]

http://m.forbes.ru/article.php?id=194198

[Барагоз]

Кстати- по этой базе и проверятся какой оператор выполняет требования... а какой нет :)

Если Оператор Мегафон- проверяет- ок хороший мальчик... а ООО ВаняТелеком не проверяет- можно значит приехать к вам :)

Это ваше предположение или достоверная информация? Вот что мне вчера написали знакомые ребята из доверенного УЦ:

там список в xml

я те открою тайну

там достаточно квалифицированной подписи

даже на физ лицо

(...)

в общем не вопрос могу давать список

там не светиться кто его сгенерировал

 

И вообще, если я с аплинками договорился, и они всё сами порежут?

[zoro]

Ладно народ- ну получили мы этот файлик... и что делать будем :)? будет там 24 тысячи записей... чем фаерволить будем?

[Bushi]

Ладно народ- ну получили мы этот файлик... и что делать будем :)? будет там 24 тысячи записей... чем фаерволить будем?

Ничем, закрывайте бизнес, останется только РТ и еще парочка полугосударственных компаний. У них есть ресурсы, они отфильтруют.

[korvatsky]

Подумали мы тут, почитали и решили провести бесплатный вэбинар на тему: "Работа с Квалифицированной ЭП на портале www.zapret-info.gov.ru/ ".

 

Компания ЗАО Национальныйудостоверяющий центр www.nucrf.ru, совместно с НациональнойАссоциацией домовых информационно-коммуникационных сетей НАДИКС www.nadiks.ru проводят бесплатный вебинар, посвященный порядку получения квалифицированной Электронно-ЦифровойПодписи (ЭЦП) и применению ее на портале www.zapret-info.gov.ru

 

На основании ПостановленияПравительства РФ от 26 октября 2012 г. № 1101

 

http://xn--80aealotw.../results/21278/

 

или

 

http://www.garant.ru...federal/426606/

 

все операторы связи, интернет-провайдерыISP,провайдеры хостинга обязаны с 01 ноября 2012 года ограничивать доступ к сайтам, находящимся в ЕАИС Реестре(пункт 13 Постановления), в течение суток, с момента размещения адресов всоответствующем разделе Портала http://www.zapret-in...ru/toproviders/ - Провайдерам хостинга,

 

или http://www.zapret-in...ru/tooperators/ -Операторам связи

 

Получить доступ к информации,находящейся в ЕАИС реестре, операторы связи смогут только с помощью квалифицированной электронной подписи.(пункт 16 Вр.П)

 

Так же, квалифицированнаяэлектронная подпись необходима провайдерам хостинга,для размещения своих актуальных контактных данных в Базе данных Роскомнадзора.

 

 

 

Вебинарпроводится во вторник, 06.11.2012 г. в 14-00 на сайте http://firmbook.ru/

 

http://firmbook.ru/E...GHUW73furyrKD2w

 

Для участия в вебинаре, необходимовыслать список адресов e-mail на адрес: informer@nucrf.ru,

 

06.11.12 в ответном письме Выполучите ссылку для участия.

 

Оргкомитет

03 ноября 2012 года

 

Можно прям щас региться вот тут: http://firmbook.ru/Event/Index/Fi2a_W4GHUW73furyrKD2w

 

 

 

Изменено 3 ноября, 2012 пользователем korvatsky

[s.lobanov]

Ладно народ- ну получили мы этот файлик... и что делать будем :)? будет там 24 тысячи записей... чем фаерволить будем?

 

Если блочить по IP, то заливаете на ваш asbr 24 тысячи маршртутов /32 в NULL0. Линукс-роутеры fv спокойно в себя заливают, а тут всего 24К префиксов будет. за вами остаётся только выбор - blackhole или unreachable (сразу браузер напишет connection refused или будет тупить, пока ваш asbr дропает трафик)

[yegorov-p]

Кто через wsdl файлик получил, что вы в параметрах sendRequest шлете?

[drdaeman]

Ладно народ- ну получили мы этот файлик... и что делать будем :)? будет там 24 тысячи записей... чем фаерволить будем?

Если это записи с IPv4-адресами, то, если я не путаю, в среднем, 15 сравнений на пакет, если правила запихать в хорошо сбалансированное бинарное дерево. На, скажем, 100kpps на 3GHz это (я взял «с потолка» 300 тактов на сравнение) дополнительные 150 миллисекунд процессорного времени каждую секунду. Т.е., грубо, +15% CPU load, для сферического роутера в вакууме. В реальности, разумеется, все будет значительно хуже и печальнее.

 

Но там будут DNS-записи, а у DNS QPS намного ниже. Засунуть данные, скажем, в memcached (ключ=домен, выборка за O(1)), написать минимально-тривиальный бэкенд к PowerDNS, и не вижу причин, почему все это не будет спокойно летать.