myth Опубликовано 20 марта, 2018 · Жалоба Добавил в заглушку немного php. Достает id из таблицы zap2_settings и выдает что-то вроде <embed hidden=true 21ddda7c9274645282f9ec5e4660154 </embed> Надеюсь, это устроит господ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 марта, 2018 · Жалоба 8 часов назад, myth сказал: Не очень понятен 8 пункт В какое место странице, с какими тегами его вставлять? Меняется ли этот код от выгрузки к выгрузке? Можно ли как-то использовать этот код для доставления хлопот оператору? Так вроде ни где не сказано, чтобы его в заглушку пихать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба Цитата 2. Информация, указанная в пункте 1 настоящих требований, должна размещаться на созданной в информационно-телекоммуникационной сети, в том числе в сети «Интернет», странице оператора связи или оператора связи, к которому осуществлено присоединение сети связи, или лица, предоставляющего оператору связи программы для электронно-вычислительных машин и (или) програаммно-аппаратные комплексы, позволяющие осуществлять анализ и фильтрацию трафика в сетях связи операторов связи (далее – статическая страница), в формате HTML, без алгоритмов динамического формирования кода страницы, размером не более 10 Кб. На статической странице также должен размещаться уникальный код (идентификатор), присваиваемый в соответствии с пунктом 8 требований к способам (методам) ограничения доступа к информационным ресурсам, утвержденным настоящим приказом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 марта, 2018 · Жалоба 16 минут назад, myth сказал: в формате HTML, без алгоритмов динамического формирования кода страницы А каждый раз то код будет меняться...неувязочка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 21 марта, 2018 · Жалоба Вот бы взяли и сами сделали универсальную страницу блокировки и сказали вот образец делайте под свой вкус и цвет. Непонятно как еще Ревизор на это посмотрит, пропусков как нафигачит. Сейчас просто переадресация на сервер где фильтр но там только есть доменное имя а http серверов ни каких не стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 марта, 2018 · Жалоба Вообще ничего менять не буду. Пока оставлю как есть. Будут вопросы, будем решать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 (изменено) · Жалоба Да это не документ, а сплошное задание на квест. Не понятно как можно все пункты выполнить, что бы не вляпаться: Quote 5. При наличии в записи выгрузки информации о доменном имени и при отсутствии информации об указателе страницы сайта в сети «Интернет», операторы связи осуществляют ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам. Как это сделать без разрешения имён?.. Quote 1. При обращении пользователя к информационным ресурсам, доступ к которым ограничен на основании Федерального закона от 27.06.2006 № 149-ФЗ оператором связи должно размещаться информационное сообщение «Доступ к информационному ресурсу ограничен на основании Федерального закона «Об информации, информационных технологиях и о защите информации». Как это будет работать для не http-ресурсов?.. Которых сейчас в реестре 60%. Изменено 21 марта, 2018 пользователем oleg_n Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба 12 минут назад, oleg_n сказал: Как это сделать без разрешения имён?.. http/https - без проблем. Другое то все равно не проверяют 13 минут назад, oleg_n сказал: Как это будет работать для не http-ресурсов? или митм, или никак. Опять же, ревизор устраивает все, кроме 200 кода Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 марта, 2018 · Жалоба Ну как сказать. В реестре есть FTP, а при проверках ресурсы иногда пингуют. А доменное имя в этих протоколах не предусмотрено. На практике это скорее всего не вылезет, но в любом случае в безмозглости законодателей хорошего мало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 (изменено) · Жалоба 18 minutes ago, myth said: http/https - без проблем. При чём здесь http(s)? Написано же ясно: Quote операторы связи осуществляют ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам. Без разрешения имён это сделать нереально. А разрешать нельзя, т.к. можно заблочить сайты не из реестра. 18 minutes ago, myth said: Другое то все равно не проверяют Хех :-). _Пока_ не проверяют. Есть приказ - остальное дело времени. 18 minutes ago, myth said: 29 minutes ago, oleg_n said: Как это будет работать для не http-ресурсов? или митм, или никак. МИТМ работать не будет в современных браузерах для https. Про что-то кроме http(s) я, вообще, молчу. Как мы будем эту html-страничку запихивать в ftp или torrent?.. P.S. Нашёл реестр старый за июль 2017. Там 60% http uri. Изменено 21 марта, 2018 пользователем oleg_n Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба В случае FTP тоже не особо страшно, т.к все открытым текстом передается. Остальное проверить не реально, имхо. Ну, впрочем, на своем днс фильтрую тоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба У кого-нибудь сохранились реестры за сентябрь, октябрь, ноябрь, декабрь, январь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
admf Опубликовано 21 марта, 2018 · Жалоба 1 минуту назад, oleg_n сказал: У кого-нибудь сохранились реестры за сентябрь, октябрь, ноябрь, декабрь, январь? все надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 (изменено) · Жалоба 12 minutes ago, myth said: В случае FTP тоже не особо страшно, т.к все открытым текстом передается. Отлично. И где в нём мы домен возьмём: rfc959 ? Плюс есть такая штука как ftps, хотя, и без ftps домена взять негде в ftp. 7 minutes ago, admf said: все надо? По одному за месяц. В районе 10-х чисел. Если сохранились реестры раньше 2017.07, то был бы за них благодарен, если не напряжно. Изменено 21 марта, 2018 пользователем oleg_n Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба 7 минут назад, oleg_n сказал: Отлично. И где в нём мы домен возьмём: Хотя да, туплю чето. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 21 марта, 2018 · Жалоба 21 minutes ago, admf said: все надо? 19 minutes ago, oleg_n said: В районе 10-х чисел. Удобней даже если на 1-10 число. Т.е. по одному реестру из месяца на любое из чисел в дипазоне 1-10. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба Как вариант, брать ip из дампа у таких записей и в null заворачивать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 марта, 2018 · Жалоба Самое разумное — блокировать по хосту в тех протоколах, где это применимо (http/https). И дополнительно не ресолвить запрещенные домены на своем DNS-сервере. Опционально — на DPI блокировать DNS-запросы к запрещенным доменам, но это уже самодеятельность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 марта, 2018 · Жалоба 13 часов назад, a290 сказал: Можно DNS запросы с помощью DPI фильтровать. При попытке резолва запрещенного домена - дропать пакет с запросом и возвращать NXDOMAIN. Главное,чтобы они не из под dnssec были. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба 2 минуты назад, alibek сказал: на DPI блокировать DNS-запросы к запрещенным доменам на Extfilter, я думаю, такое вполне можно сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 марта, 2018 · Жалоба 5 минут назад, myth сказал: Как вариант, брать ip из дампа у таких записей и в null заворачивать Не советую. Только что, myth сказал: на Extfilter, я думаю, такое вполне можно сделать Разумеется возможно. Но не уверен, что такое следует делать. По крайней мере пока такое явно не будет прописано в НПА или требованиях РКН. Кроме того, с распространением шифрованного DNS это станет невозможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба без резолва, разумеется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a290 Опубликовано 21 марта, 2018 · Жалоба 3 минуты назад, alexwin сказал: Главное,чтобы они не из под dnssec были. Насколько я знаю, в DNSSEC сам запрос не шифруется, а значит его можно просто дропнуть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2018 · Жалоба Или испортить запрос/ответ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 марта, 2018 · Жалоба 2 минуты назад, a290 сказал: Насколько я знаю, в DNSSEC сам запрос не шифруется, а значит его можно просто дропнуть. Да, только подписывается. Поэтому подменить нельзя, но дропнуть можно. Однако на подходе DNSCrypt. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...