IlyaKirilkin Опубликовано 20 сентября, 2013 · Жалоба AlexanderBr дейсвтительно, рекомендация такая есть. В ответ можно порекомендовать рекомендателям: 1) разрезолвить gramrc.com из реестра 2) создать и распространить по системе маршрутизации сети доступа оператора связи специальный маршрут для сетевого адреса, определенного на предыдущем шаге :) Моё мнение- что в реестре указали, то и блочить. Или пусть выпустят рекомендацию как не угробить сеть такими вот резолвами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lucky SB Опубликовано 20 сентября, 2013 · Жалоба Скоро год, хорошее время проверить срок действия ключа, которым подписан запрос ;) Я год назад подписал в крипто-про запрос, так его и отправлял, не меняя. А тут звонит надзор и материться, что мы уже два дня не забираем реестр. Эххх. попали под раздачу, теперь вот надзор требует, чтобы не только по ip адресу блочили, но и по названию сайта. Им наконец-то прислали утилиту, которая проверяет доступ. Там идет три проверки - доступ к адресу, доступ к сайту и доступ к конкретным страницам. Если хоть по одной странице возвращается код 200 - надзор тут же возбуждается. Так же в выводе этого скрипта есть поле Текст страницы - там первые 500 русских букв со страницы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 20 сентября, 2013 (изменено) · Жалоба Вот же суки, а! Отправьте ответ надзору "нет технической возможности, укажите, чем регламентируется ограничение доступа по названию сайта. В настоящий момент у нас применяется ограничение доступа по DNS, чего считаем достаточным.". Очень, ОЧЕНЬ не хватает правоприменительной практики. Боятся провайдеры в суды идти, а зря, зря. Изменено 20 сентября, 2013 пользователем Dyr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 20 сентября, 2013 · Жалоба Вы с ума сошли? Какой резолв? А я завтра в домен, к которому есть управление IP маршрутизаторов MSK-IX докину и что? Весело будет? Нам тоже было весело, когда домен по списку минюста показал на наш сервер. Не майтесь фигней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 20 сентября, 2013 · Жалоба домен по списку минюста показал на наш сервер эээ, простите, это как следует понимать в техническом плане ? что домен или имя хоста разрезолвилось в некий "левый" адрес (в частности, вашего сервера, никакого отношения к указанному домену не имеющего) ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 20 сентября, 2013 · Жалоба Скоро год, хорошее время проверить срок действия ключа, которым подписан запрос ;) Я год назад подписал в крипто-про запрос, так его и отправлял, не меняя. А тут звонит надзор и материться, что мы уже два дня не забираем реестр. Эххх. попали под раздачу, теперь вот надзор требует, чтобы не только по ip адресу блочили, но и по названию сайта. Им наконец-то прислали утилиту, которая проверяет доступ. Там идет три проверки - доступ к адресу, доступ к сайту и доступ к конкретным страницам. Если хоть по одной странице возвращается код 200 - надзор тут же возбуждается. Так же в выводе этого скрипта есть поле Текст страницы - там первые 500 русских букв со страницы... В общем вынуждают ставить DPI, как я понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexeypp Опубликовано 20 сентября, 2013 · Жалоба В общем вынуждают ставить DPI, как я понимаю. Почему же сразу DPI? Видимо прежде всего проверяют доступность по IP. Если доступно по IP то проверяется доступ по доменному имени. Если сайт доступен и по имени то проверяется доступность конкретных страниц. По-моему вполне логично все, хоть в одном из этих трех тестов должна случиться блокировка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 20 сентября, 2013 · Жалоба Так. Я так понимаю, заблокированность чего не надо данная утилита не проверяет. Верно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 20 сентября, 2013 · Жалоба Sergey Gilfanov думаете, они будут проверять "доступность всея интернету" ? %-) Почему же сразу DPI? httpS один хрен никакому DPI не по зубам а там ещё и ipv6 (с интегрёным ipsec-ом) маячит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 20 сентября, 2013 · Жалоба думаете, они будут проверять "доступность всея интернету" ? Зачем всего? Базовые ошибки фильтрации. Доступность страничек на том же ip и из того же домена. список страничек составляется заранее с сгружается в прогу в виде конфига. если есть url, "http://...abcf" то проверять рекацию на "http://...abcdf" (те кривое соответствие по подстроке) проверять доступность другого домена, живущего на том же ip. Если таких нет штатно, можно сделать какой-нибудь свой 4-го уровня Ни и так далее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 20 сентября, 2013 · Жалоба Доступность страничек на том же ip и из того же домена. не думаю, что их заботит доступность чьих-то там ресурсов особенно если за это нельзя содрать денег Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 20 сентября, 2013 · Жалоба Должен быть хотя бы интерес в сборе статистики. Хотя бы чтобы узнать о тех операторах, кто сумел DPI внедрить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bigmazy Опубликовано 20 сентября, 2013 · Жалоба Sergey Gilfanov думаете, они будут проверять "доступность всея интернету" ? %-) Почему же сразу DPI? httpS один хрен никакому DPI не по зубам а там ещё и ipv6 (с интегрёным ipsec-ом) маячит Не совсем так, при наличии корневого сертификата можно и его анализировать, но у РФ его нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 20 сентября, 2013 · Жалоба Сайт по https заблочить легко. Но надо ли рассказывать как? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 20 сентября, 2013 · Жалоба Как можно это всё сдать РКН чёхом? https://www.youtube.com/results?search_query=многоженство+в+исламе и https://www.youtube.com/results?search_query=кяфир Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bigmazy Опубликовано 20 сентября, 2013 · Жалоба Сайт по https заблочить легко. Но надо ли рассказывать как? :) Просвяти, будет полезно для всех. Что делать с переадресацией? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bigmazy Опубликовано 20 сентября, 2013 · Жалоба Как можно это всё сдать РКН чёхом? https://www.youtube.com/results?search_query=многоженство+в+исламе и https://www.youtube.com/results?search_query=кяфир Отправят в полицию заявление писать, IMHO РКН этой темой не занимается это список Минюста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 21 сентября, 2013 · Жалоба при наличии корневого сертификата какого именно ? сколько контор выдают сертификаты ? под сотню ? больше ? и у каждой - свой "корневой" серт... а если я себе самоподписанный сделаю ? %-( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 21 сентября, 2013 · Жалоба Просвяти, будет полезно для всех. Что делать с переадресацией? Большинство ПО при TLS handshake отправляет в самом первом пакете, в extensions - SNI. Берем IP который указывает на заблоченный сайт, проверяем все пакеты на наличие SNI. Нет SNI - блочим (better safe, than sorry). Есть SNI - сверяем. Если совпадает - блочим. SNI не зашифрован. Можете натравить на TLS сессию ngrep и увидите всплывающее при коннекте имя сайта. http://en.wikipedia.org/wiki/Server_Name_Indication Тут можно увидеть, что из большого сегмента тут только XP с IE, это конечно существенно, но лучше чем блочить весь сайт для всех юзеров. С переадресацией почти никак. Можно ее выдавать с самоподписанным сертификатом - но у юзера будет злобный варнинг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 21 сентября, 2013 · Жалоба С переадресацией почти никак. Можно ее выдавать с самоподписанным сертификатом - но у юзера будет злобный варнинг. Это вообще имхо на грани закона. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 21 сентября, 2013 · Жалоба Просвяти, будет полезно для всех. Что делать с переадресацией? Большинство ПО при TLS handshake отправляет в самом первом пакете, в extensions - SNI. Берем IP который указывает на заблоченный сайт, проверяем все пакеты на наличие SNI. Нет SNI - блочим (better safe, than sorry). Есть SNI - сверяем. Если совпадает - блочим. SNI не зашифрован. Можете натравить на TLS сессию ngrep и увидите всплывающее при коннекте имя сайта. http://en.wikipedia.org/wiki/Server_Name_Indication Тут можно увидеть, что из большого сегмента тут только XP с IE, это конечно существенно, но лучше чем блочить весь сайт для всех юзеров. С переадресацией почти никак. Можно ее выдавать с самоподписанным сертификатом - но у юзера будет злобный варнинг. По закону надо не переадресовывать, а блокировать. Переадресация заблокированного http URL/site делается оператором для снижения нагрузки на службу поддержки. Что касается блокировки SSL/TLS based трафика, то SNI действительно помогает заблокировать сайт целиком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 21 сентября, 2013 · Жалоба решения суда выполняются дословно, а если в решении написано технически безграмотно - то решение не может быть выполнено Именно поэтому я в своей парсилке списка минюста выдирал только правильные URL (без пробелов и т.п.), т.к. кто я такой, чтобы изменить хотя бы букву в решении суда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 21 сентября, 2013 · Жалоба По закону надо не переадресовывать, а блокировать. по закону надо "ограничить доступ" читаем ст.5 п.3 149-ФЗ Информация в зависимости от порядка ее предоставления или распространения подразделяется на: ... 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается. т.е. явно указано два способа Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 21 сентября, 2013 · Жалоба Страница с книжкой Гитлера запрещена. А вот Интерны не запрещены, ограничивается страница с контрафактом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 22 сентября, 2013 · Жалоба Видеоматериалы, размещенные на Интернет-ресурсе http://vkontakte.ru/id4907281 - грохать контакт? :) Или я должен ухитриться на страничке данного индивидуума заблокировать видео? Тогда каким образом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...