[Sergeylo]

рабочий сервер отдаёт в явном виде версию 2.1 ?

Не отдаёт при запросе 2.1 вообще ничего. Ждём 10 марта.

Вот нет, чтоб регекспы сразу запилить.

*

[snvoronkov]

Вот нет, чтоб регекспы сразу запилить.

*

 

Ну, или wildcard (*,?)

[Ansy]

Замечательно :)

dumpFormatVersion

Версия формата, в котором запрашивается выгрузка.

Актуальное значение должно быть «2.0» или «2.1». Даже при указании значения «2.0» выгрузка будет выдаваться в обновленном формате «2.1», так как изменения

несущественные.

В случае отсутствия на входе данного параметра выгрузка будет также выдаваться в формате «2.1»

Ну вот а чего ж при переходе от первого формата ко второму такое умолчание не сделали?

Не пришлось бы даже код приложения менять (zapret_checker.py и zapretinfo.py, долгих лет его создателю)... только URL временно другой подставить на время тестирования.

 

И все же, кому без вариантов по IP -- что принципиально менять в механизме собственно блокировки?

[yegorov-p]

Коллеги, а есть ли сейчас привязка с IP адресу сервака, который API РКН дергает? Вроде как была инфа о том, что РКН сурово ддосят и они провайдерам письма рассылали, дабы вайтлист составить7

[StSphinx]

Вполне возможно, что привязка есть. Пару месяцев назад у нас не работала выгрузка, обратились в саппорт. Те попросили озвучить IP с которого уходят запросы. После этого все заработало. Ну и после этого, через какое-то время, местный РКН спрашивал адрес с которого запрашиваем реестр.

[Sergeylo]

Привязки не замечали, но быть вполне может. Да, они запрашивали подсети, с которых мы можем делать запросы. Нет, никто их не досит, да и система у них вполне устойчива к раздражителям (на обычный ab с нескольких источников ему плевать).

[yegorov-p]

Идея просто в чем: с каждым очередным апдейтом процедуры мне начинают писать коллеги, с просьбой пропатчить питонячий скрипт, который реестр выкачивает. При этом уровень их экспертизы находится в широком диапазоне от тех, кто шарит, но кому лень разбираться, до тех, кто вообще к связи отношение отдаленное имеет, но лицензию они таки имеют. У меня родилась идея сделать буквально вот простейший сервис, на который можно было бы единожды залить подписанный файлик, а сервис бы сам следил за сроком действия подписи, выкачивал бы реестры и, возможно, отдавал бы реестр в человеческом виде. Это решило бы проблемы с настройкой всех этих скриптов, ну и облегчили бы конечную задачу. Взлетит ли?

[alibek]

Вообще-то никто обязанность самолично забирать реестр (со своей ЭЦП) не снимет. И попытка сослаться на то, что реестр где-то какой-то сервис забирает успешной не будет.

А если уж реестр все-равно забирать самому, то обработать его - это пустяки.

Так что не взлетит.

[Sergey Gilfanov]

Не надо такого сервиса. Если у провайдера нет ни спецов, что могут скрипты поправить, ни желания время от времени таких нанять за деньги, то ему просто показана порка в виде штрафов. Чтобы перестал экономить, где не надо. Что, рублей по 500 скинуться трудно раз в несколько месяцев?

[ayf]

Вообще-то никто обязанность самолично забирать реестр (со своей ЭЦП) не снимет. И попытка сослаться на то, что реестр где-то какой-то сервис забирает успешной не будет.

А если уж реестр все-равно забирать самому, то обработать его - это пустяки.

Так что не взлетит.

 

 

Так автор и пишет, что там будет залит ваш файл запроса, подписанный вашей ЭЦП. И забирать - так я думаю, что сервис сможет высылать на электронную почту, которую мы все проверяем чаще, чем необходимость новой "срочной" выгрузки.

Так что остается только вопрос цены такого сервиса. А введут "белые списки" IP и что? Я вот дал список адресов в РКН, а потом срочно свалил на неделю в командировку. И в интернет выходил уже с других IP. Можно, конечно, сказать, что надо быть умным, делать VPN до своей сети или заходить Тимвьювером и скачивать. Но всего не предусмотришь. Однажды, выйдя из дома на день, я вернулся через три недели из больницы. За это время на фирму успели бы и штрафов накидать, и лицензии лишить.

Поэтому я за такой сервис.

 

Сергею Гилфанову: Вся беда в том, что в обычном операторе может не быть программиста. А нанимать - надо найти адекватного человека, который честно скажет - да, там пустяки, вопрос бутылки коньяка... Ну, грубо говоря. А не начнет гнуть пальцы, расписывая, что такой скрипт потянет на 50к рублей, ибо очень сложно и т.п. Либо получаешь более простой ответ: Да там фигня, напиши скрипт на пайтоне и всего делов, это легко. Как будто писать скрипты учат всех в обязательном порядке.

[Ansy]

Идея сделать буквально вот простейший сервис, на который можно было бы единожды залить подписанный файлик, а сервис бы сам следил за сроком действия подписи, выкачивал бы реестры и, возможно, отдавал бы реестр в человеческом виде.

Получать реестр -- и даже регулярно, и даже в любом человеческом виде -- не проблема.

Но сам по себе он нафинг никому никуда не впился... если бы РКН за этими получениями не следил.

 

Вы фактически предлагаете сервис, который вместо оператора будет за него каждый день "ходить на работу" (выполнять выгрузку реестра), отмечать там свой пропуск (подписанный сертификатом ЭЦП запрос) в табеле РКН (мониторинге учета выгрузок)...

 

Неее, оно в целом канеш приятно... но чтоб официально и легально -- не катит. Для доступа к сервису тоже какие-то особые сертификаты, ЭЦП и процедуры потребуете?

Потому что содержимое реестра -- "как бы" закрытая информация, и потому получать её каждого оператор обязали "лично, с поклоном, под роспись в журнале".

 

А вы этим сервисом узурпировали бы столь важную полицейскую роль незаменимых доблестных чиновников ;)

 

_{P.S. Чтобы не городить огород, кстати, тут же выше в ветке и предлагались варианты.}

_{Например, регулярная рассылка операторам реестра емылом в зашифрованном ЭЦП получателя виде. Даже в любом человеческом формате (хотя XML и так IMHO человечнее многих).}

_{Это быстрее, и проще, и удобнее... но сами понимаете, такой механизм не предусматривает "поклона органам" и строгой отчетности, гарантии что оператор таки забирает реестр (чтоб юридически иметь право настучать по тыковке, если не).}

_{И по большому счету всем глубоко пофиг, кто и что фактически блокирует (ибо сквозняком через аплинков оно уже многократно), что НЕ блокирует (потому что DNS-резолвы в IP протухли еще до внесения, потому что CDN, потому что рандомные зеркала 3-го уровня), и по самому большому счету пофиг даже на защиту детей от веществ и саму суть повода внедрения механизма (никто не предъявил тут еще статистику срабатывания фильтров по делу? Они вообще кому-то в России нужны, эти реестровые URL-ы?)}

_{Но зато исключительно важно отчитаться: властям перед законодателями -- о работе механизма оперативной цензуры, операторам перед властями -- что операторы таки получают указивки, что именно "не пущать".}

_{И в общем-то все довольны :) Не китайский же фаервол. Российский, как обычно.}

[Sergey Gilfanov]

Сергею Гилфанову: Вся беда в том, что в обычном операторе может не быть программиста. А нанимать - надо найти адекватного человека, который честно скажет - да, там пустяки, вопрос бутылки коньяка... Ну, грубо говоря. А не начнет гнуть пальцы, расписывая, что такой скрипт потянет на 50к рублей, ибо очень сложно и т.п. Либо получаешь более простой ответ: Да там фигня, напиши скрипт на пайтоне и всего делов, это легко. Как будто писать скрипты учат всех в обязательном порядке.

У оператора основное средство зарабатывания денег, кроме самой сети - всякие информационные системы, которые поверх этой сети сделаны. Которые кто-то там пишет и пилит. Т.е. выход на программистов у оператора просто обязан быть. Если они такие, что такой скрипт за умеренные деньги не могут сделать - то я клиентам этого оператора не завидую. Ибо эти информационные системы и соответствующие услуги тоже будут несколько кривыми.

 

P.S. Чтобы не городить огород, кстати, тут же выше в ветке и предлагались варианты.

Например, регулярная рассылка операторам реестра емылом в зашифрованном ЭЦП получателя виде. Даже в любом человеческом формате (хотя XML и так IMHO человечнее многих).

Это быстрее, и проще, и удобнее... но сами понимаете, такой механизм не предусматривает "поклона органам" и строгой отчетности, гарантии что оператор таки забирает реестр (чтоб юридически иметь право настучать по тыковке, если не).

Уже не в первый раз говорю, что самый и прямой способ - это праздновать этот список тупо по https с проверкой клиентского сертификата. Которые сам надзор и выдает тому, кому реестр можно забирать. А тот механизм, что используется - он откровенно странный.

[alibek]

Так автор и пишет, что там будет залит ваш файл запроса, подписанный вашей ЭЦП.

Кто ж даст свою ЭЦП?

Мне даже карбоновский софт этим не нравится — в нем нужно на локально установленный софт дать закрытый ключ и софт будет с помощью этого ключа формировать запросы.

А уж отдавать ЭЦП на сторону — это вообще ненормально.

[Ansy]

с каждым очередным апдейтом процедуры мне начинают писать коллеги, с просьбой пропатчить питонячий скрипт, который реестр выкачивает. При этом уровень их экспертизы находится в широком диапазоне от тех, кто шарит, но кому лень разбираться, до тех, кто вообще к связи отношение отдаленное имеет, но лицензию они таки имеют.

Собственно, апдейт вашего замечательного питонячего скрипта (в виде diff) замечательно бы и прямо здесь поместился, благо он копеечного размера. Даж руками поправить нетрудно, зная где и что.

А учитывая смену поведения сервиса выгрузок в плане дефолтного формата -- можно вообще пока забить, используя ПЕРВУЮ версию (которая БЕЗ указания версии формата).

 

Вот уже РАЗБОР полученного дааа... у кого не по IP -- будут подвижки. Но это ведь уже ДРУГАЯ задача, и она не так оперативно ПРОВЕРЯЕТСЯ, как регулярность выгрузки?

И подождет... и механизм блокировки у каждого оператора все равно индивидуален, далее каждый более сам за себя.

[yegorov-p]

Вообще-то никто обязанность самолично забирать реестр (со своей ЭЦП) не снимет. И попытка сослаться на то, что реестр где-то какой-то сервис забирает успешной не будет.

А если уж реестр все-равно забирать самому, то обработать его - это пустяки.

Так что не взлетит.

Вообще-то не так. При каждом скачивании реестра где-то у РКН загорается лампочка, что провайдер с таким-то ИНН только что получил свою выгрузку реестра. Получил, разумеется, на основании файлика, подписанного своей лично подписью. У РКН нет данных о том, кто именно это сделал - сам провайдер или кто-то от его имени.

 

Не надо такого сервиса. Если у провайдера нет ни спецов, что могут скрипты поправить, ни желания время от времени таких нанять за деньги, то ему просто показана порка в виде штрафов. Чтобы перестал экономить, где не надо. Что, рублей по 500 скинуться трудно раз в несколько месяцев?

Сергей, когда я написал этот скриптик и ко мне стали обращаться коллеги, внезапно оказалось, что есть весьма значительное число людей, которые к связи вообще отношение имеют крайне отдаленное, но при этом у них таки лицензия есть.

[alibek]

Получил, разумеется, на основании файлика, подписанного своей лично подписью.

То есть предлагается передать в сторонний сервис свой закрытый ключ?

Не-не-не, Дэвид Блэйн.

[Sergey Gilfanov]

Не надо такого сервиса. Если у провайдера нет ни спецов, что могут скрипты поправить, ни желания время от времени таких нанять за деньги, то ему просто показана порка в виде штрафов. Чтобы перестал экономить, где не надо. Что, рублей по 500 скинуться трудно раз в несколько месяцев?

Сергей, когда я написал этот скриптик и ко мне стали обращаться коллеги, внезапно оказалось, что есть весьма значительное число людей, которые к связи вообще отношение имеют крайне отдаленное, но при этом у них таки лицензия есть.

Ну так пускай оплачивают модификацию скрипта. Я же именно против сервиса "будет тянуть реестр вместо вас" возражаю. Тем более, что все равно им дальше с этим реестром что-то делать надо и в свою систему его скармливать.

[yegorov-p]

Получать реестр -- и даже регулярно, и даже в любом человеческом виде -- не проблема.

Внезапно оказалось, что проблема.

 

Вы фактически предлагаете сервис, который вместо оператора будет за него каждый день "ходить на работу" (выполнять выгрузку реестра), отмечать там свой пропуск (подписанный сертификатом ЭЦП запрос) в табеле РКН (мониторинге учета выгрузок)...

Именно.

 

Неее, оно в целом канеш приятно... но чтоб официально и легально -- не катит. Для доступа к сервису тоже какие-то особые сертификаты, ЭЦП и процедуры потребуете?

Зачем? Если конкретный пользователь сервиса в состоянии дать XML с данными о себе и подписать ее своей подписью (и при этом по этим двум файликам таки получится получить реестр) - welcome.

 

Получил, разумеется, на основании файлика, подписанного своей лично подписью.

То есть предлагается передать в сторонний сервис свой закрытый ключ?

Не-не-не, Дэвид Блэйн.

Так. Может у меня проблемы с логикой после двух суток без сна - но что плохого можно сделать с подписанной XMLкой? Вы же не сможете на основании данных этой подписанной XMLки подписывать подписью оператора любые другие документы, не?

[yegorov-p]

Собственно, апдейт вашего замечательного питонячего скрипта (в виде diff) замечательно бы и прямо здесь поместился, благо он копеечного размера. Даж руками поправить нетрудно, зная где и что.

https://github.com/yegorov-p/python-zapret-info

[alibek]

но что плохого можно сделать с подписанной XMLкой?

Ничего.

Но чтобы подписать XML-запрос, нужен закрытый ключ ЭЦП.

А если будет закрытый ключ ЭЦП (а это квалифицированная ЭЦП), то ей много чего можно подписать.

[yegorov-p]

У сервиса не будет закрытого ключа. У сервиса будет подписанная XMLка и всё.

[alibek]

Если конкретный пользователь сервиса в состоянии дать XML с данными о себе и подписать ее своей подписью

В XML указывается дата и время запроса.

XML-запрос нужно формировать перед получением реестра, подписывать его и потом отправлять на сервис.

Или предлагается колхоз с использованием однажды сформированного и подписанного запроса? И что делать, когда РКН начнет проверять дату и время, указанные в запросе?

 

У сервиса не будет закрытого ключа. У сервиса будет подписанная XMLка и всё.

Это мертворожденная идея.

Она живет только в расчете на то, что РКН не будет проверять содержимое XML-запроса.

Но даже если он сейчас не проверяет, потом начнет.

[ayf]

Ключевая фраза: зная где и что. :(

 

Все идет к тому, что каждый оператор должен будет выделить человека, который будет заниматься только этим

[yegorov-p]

Или предлагается колхоз с использованием однажды сформированного и подписанного запроса?

Этот колхоз, по субъективной оценке, используется подавляющей частью всех провайдеров. Кроме того, этот колхоз нисколько не противоречит требованиям РКН.

 

И что делать, когда РКН начнет проверять дату и время, указанные в запросе?

Очевидно, что ничего. При этом в текущий момент мне кажется маловероятным наступление подобной ситуации. Есть ощущение, что РКН в целом малоинтересно происходящее с реестром, иначе они бы давно нашли тех, кто реестр сливает на гитхаб и пиратам.

[alibek]

Этот колхоз, по субъективной оценке, используется подавляющей частью всех провайдеров.

Это проблемы тех, кто такой подход использует.

 

Кроме того, этот колхоз нисколько не противоречит требованиям РКН.

Это противоречит здравому смыслу.

Если в теле запроса фигурирует дата и время запроса, то очевидно, что эти данные должны быть актуальными.

 

При этом в текущий момент мне кажется маловероятным наступление подобной ситуации.

Что рассказывать тем пользователям, которые перейдут на использование онлайн-сервиса и в один прекрасный момент сервис перестанет работать?

«Нас предали, мы не виноваты»?