[IlyaKirilkin]

AlexanderBr

дейсвтительно, рекомендация такая есть. В ответ можно порекомендовать рекомендателям:

1) разрезолвить gramrc.com из реестра

2) создать и распространить по системе маршрутизации сети доступа оператора связи специальный маршрут для сетевого адреса, определенного на предыдущем шаге

:)

Моё мнение- что в реестре указали, то и блочить. Или пусть выпустят рекомендацию как не угробить сеть такими вот резолвами.

[Lucky SB]

Скоро год, хорошее время проверить срок действия ключа, которым подписан запрос ;)

 

Я год назад подписал в крипто-про запрос, так его и отправлял, не меняя.

А тут звонит надзор и материться, что мы уже два дня не забираем реестр.

Эххх. попали под раздачу, теперь вот надзор требует, чтобы не только по ip адресу блочили,

но и по названию сайта.

 

Им наконец-то прислали утилиту, которая проверяет доступ.

Там идет три проверки - доступ к адресу, доступ к сайту и доступ к конкретным страницам.

 

Если хоть по одной странице возвращается код 200 - надзор тут же возбуждается.

Так же в выводе этого скрипта есть поле Текст страницы - там первые 500 русских букв со страницы...

[Dyr]

Вот же суки, а!

 

Отправьте ответ надзору "нет технической возможности, укажите, чем регламентируется ограничение доступа по названию сайта. В настоящий момент у нас применяется ограничение доступа по DNS, чего считаем достаточным.".

 

 

 

 

 

 

 

Очень, ОЧЕНЬ не хватает правоприменительной практики. Боятся провайдеры в суды идти, а зря, зря.

Изменено 20 сентября, 2013 пользователем Dyr

[adnull]

Вы с ума сошли? Какой резолв? А я завтра в домен, к которому есть управление IP маршрутизаторов MSK-IX докину и что? Весело будет? Нам тоже было весело, когда домен по списку минюста показал на наш сервер. Не майтесь фигней.

[lcgc]

домен по списку минюста показал на наш сервер

эээ, простите, это как следует понимать в техническом плане ?

что домен или имя хоста разрезолвилось в некий "левый" адрес (в частности, вашего сервера, никакого отношения к указанному домену не имеющего) ?

[ayf]

Скоро год, хорошее время проверить срок действия ключа, которым подписан запрос ;)

 

Я год назад подписал в крипто-про запрос, так его и отправлял, не меняя.

А тут звонит надзор и материться, что мы уже два дня не забираем реестр.

Эххх. попали под раздачу, теперь вот надзор требует, чтобы не только по ip адресу блочили,

но и по названию сайта.

 

Им наконец-то прислали утилиту, которая проверяет доступ.

Там идет три проверки - доступ к адресу, доступ к сайту и доступ к конкретным страницам.

 

Если хоть по одной странице возвращается код 200 - надзор тут же возбуждается.

Так же в выводе этого скрипта есть поле Текст страницы - там первые 500 русских букв со страницы...

 

В общем вынуждают ставить DPI, как я понимаю.

[alexeypp]

В общем вынуждают ставить DPI, как я понимаю.

Почему же сразу DPI?

Видимо прежде всего проверяют доступность по IP.

Если доступно по IP то проверяется доступ по доменному имени.

Если сайт доступен и по имени то проверяется доступность конкретных страниц.

По-моему вполне логично все, хоть в одном из этих трех тестов должна случиться блокировка.

[Sergey Gilfanov]

Так. Я так понимаю, заблокированность чего не надо данная утилита не проверяет. Верно?

[lcgc]

Sergey Gilfanov

думаете, они будут проверять "доступность всея интернету" ?

%-)

 

Почему же сразу DPI?

httpS один хрен никакому DPI не по зубам

а там ещё и ipv6 (с интегрёным ipsec-ом) маячит

[Sergey Gilfanov]

думаете, они будут проверять "доступность всея интернету" ?

Зачем всего? Базовые ошибки фильтрации.

Доступность страничек на том же ip и из того же домена. список страничек составляется заранее с сгружается в прогу в виде конфига.

если есть url, "http://...abcf" то проверять рекацию на "http://...abcdf" (те кривое соответствие по подстроке)

проверять доступность другого домена, живущего на том же ip. Если таких нет штатно, можно сделать какой-нибудь свой 4-го уровня

 

Ни и так далее.

[lcgc]

Доступность страничек на том же ip и из того же домена.

не думаю, что их заботит доступность чьих-то там ресурсов

особенно если за это нельзя содрать денег

[Sergey Gilfanov]

Должен быть хотя бы интерес в сборе статистики. Хотя бы чтобы узнать о тех операторах, кто сумел DPI внедрить.

[Bigmazy]

Sergey Gilfanov

думаете, они будут проверять "доступность всея интернету" ?

%-)

 

Почему же сразу DPI?

httpS один хрен никакому DPI не по зубам

а там ещё и ipv6 (с интегрёным ipsec-ом) маячит

Не совсем так, при наличии корневого сертификата можно и его анализировать, но у РФ его нет.

[nuclearcat]

Сайт по https заблочить легко. Но надо ли рассказывать как? :)

[vIv]

Как можно это всё сдать РКН чёхом? https://www.youtube.com/results?search_query=многоженство+в+исламе и https://www.youtube.com/results?search_query=кяфир

[Bigmazy]

Сайт по https заблочить легко. Но надо ли рассказывать как? :)

Просвяти, будет полезно для всех. Что делать с переадресацией?

[Bigmazy]

Как можно это всё сдать РКН чёхом? https://www.youtube.com/results?search_query=многоженство+в+исламе и https://www.youtube.com/results?search_query=кяфир

Отправят в полицию заявление писать, IMHO РКН этой темой не занимается это список Минюста.

[lcgc]

при наличии корневого сертификата

какого именно ?

сколько контор выдают сертификаты ?

под сотню ? больше ? и у каждой - свой "корневой" серт...

а если я себе самоподписанный сделаю ?

%-(

[nuclearcat]

Просвяти, будет полезно для всех. Что делать с переадресацией?

Большинство ПО при TLS handshake отправляет в самом первом пакете, в extensions - SNI.

Берем IP который указывает на заблоченный сайт, проверяем все пакеты на наличие SNI.

Нет SNI - блочим (better safe, than sorry). Есть SNI - сверяем. Если совпадает - блочим.

SNI не зашифрован. Можете натравить на TLS сессию ngrep и увидите всплывающее при коннекте имя сайта.

http://en.wikipedia.org/wiki/Server_Name_Indication

Тут можно увидеть, что из большого сегмента тут только XP с IE, это конечно существенно, но лучше чем блочить весь сайт для всех юзеров.

 

С переадресацией почти никак. Можно ее выдавать с самоподписанным сертификатом - но у юзера будет злобный варнинг.

[Rivia]

С переадресацией почти никак. Можно ее выдавать с самоподписанным сертификатом - но у юзера будет злобный варнинг.

Это вообще имхо на грани закона.

[pers123]

Просвяти, будет полезно для всех. Что делать с переадресацией?

Большинство ПО при TLS handshake отправляет в самом первом пакете, в extensions - SNI.

Берем IP который указывает на заблоченный сайт, проверяем все пакеты на наличие SNI.

Нет SNI - блочим (better safe, than sorry). Есть SNI - сверяем. Если совпадает - блочим.

SNI не зашифрован. Можете натравить на TLS сессию ngrep и увидите всплывающее при коннекте имя сайта.

http://en.wikipedia.org/wiki/Server_Name_Indication

Тут можно увидеть, что из большого сегмента тут только XP с IE, это конечно существенно, но лучше чем блочить весь сайт для всех юзеров.

 

С переадресацией почти никак. Можно ее выдавать с самоподписанным сертификатом - но у юзера будет злобный варнинг.

По закону надо не переадресовывать, а блокировать. Переадресация заблокированного http URL/site делается оператором для снижения нагрузки

на службу поддержки.

Что касается блокировки SSL/TLS based трафика, то SNI действительно помогает заблокировать сайт целиком.

[snark]

решения суда выполняются дословно, а если в решении написано технически безграмотно - то решение не может быть выполнено

 

Именно поэтому я в своей парсилке списка минюста выдирал только правильные URL (без пробелов и т.п.), т.к. кто я такой, чтобы изменить хотя бы букву в решении суда.

[lcgc]

По закону надо не переадресовывать, а блокировать.

по закону надо "ограничить доступ"

читаем ст.5 п.3 149-ФЗ

Информация в зависимости от порядка ее предоставления или

распространения подразделяется на:

...

4) информацию, распространение которой в Российской Федерации

ограничивается или запрещается.

т.е. явно указано два способа

[Дятел]

Страница с книжкой Гитлера запрещена. А вот Интерны не запрещены, ограничивается страница с контрафактом.

[ayf]

Видеоматериалы, размещенные на Интернет-ресурсе http://vkontakte.ru/id4907281 - грохать контакт? :) Или я должен ухитриться на страничке данного индивидуума заблокировать видео? Тогда каким образом?