Comments 175
http://31.media.tumblr.com/17a99f84a2fcae86c2d242a27cfbb0ba/tumblr_mq6hzgGECi1rb1595o1_400.gif
Им просто снова денег не хватает на компетентность.
Но они «держутся» как могут.
Но они «держутся» как могут.
Теперь сайты из белого списка могут разблокировать сайты из чёрного. А с помошью *.google.* можно будет самостоятельно разблокироваться.
напоминает сотовых операторов: заплати за определитель номера, а антиопределитель номера чуть дороже, ну а антиантиопределитель только у органов
антиантиопределитель только у органов
А разве при межоператорской передаче вызова реальный номер не подставляется в какое-то поле? Т.е. да, в основном идет «A», но технически номер все равно передается. Некоторые вроде бы даже «определитель умышленно скрытых номеров» предлагают в качестве услуги.
Как-то раз был случай, звонил много раз подряд с одного своего телефона на другой, и сбрасывал (не помню уже зачем, нужно было что-то проверить). И тут на каждый из телефонов, одновременно приходят СМСки от мегафона. В одной предлагалась услуга «Черный список», в другой — «Анти-определитель номера». Даже не догадались проверить, что обе симки принадлежат одному владельцу.
> Специалисты по ИТ считают действия Роскомнадзора и сам белый список непрофессиональным
То есть не имеющими права на существование, а именно непрофессиональными? Тогда получите тот Роскомнадзор, который заслуживаете.
> в системе блокировки сайтов, разработанную Роскомнадзором
Так для того и создавалась эта система, чтобы нарушать работу интернета. А потом ещё жалуются.
То есть не имеющими права на существование, а именно непрофессиональными? Тогда получите тот Роскомнадзор, который заслуживаете.
> в системе блокировки сайтов, разработанную Роскомнадзором
Так для того и создавалась эта система, чтобы нарушать работу интернета. А потом ещё жалуются.
Чиновники опасаются, что злоумышленники могут использовать уязвимость в системе блокировки сайтов, разработанную Роскомнадзором
Как систему разработали — такие и блокировки…
В моем понимании, интернет сделан, чтобы работать, а не чтобы блокировать, поэтому без реальных, серьезных усилий грамотных людей, у них с этими блокировками ничего не получится. А поскольку серьезный DPI — недостижимая роскошь для нашей власти, ждем введения ответственности за обход блокировок.
Знаменитая фраза Лаврова как никогда актуальна...
Сейчас из РКН почитают коменты и вынесут все выявленые недостатки себе в блокнотик. Потом блокнотик отнесут в технический отдел и попросят убрать выявленые недостатки :)
думаю после пары тройки итераций специалисты на хабре перестанут им помогать :)
Вы слишком хорошо о них думаете, на мой взгляд
Этот баг блокировок обсуждался на хабре еще до принятия закона о блокировках и упоминался при каждом обсуждении. Кроме того эффективная блокировка без вреда для легального бизнеса просто невозможна.
А тех. отдел пойдёт на тостер просить помощи с реализацией.
Чиновники опасаются, что злоумышленники могут использовать уязвимость в системе блокировки сайтов, разработанную Роскомнадзором, для нарушения нормальной работы каналов связи с президентом. Пытаясь избежать этого, ведомство отдельным письмом провайдерам предупредило их о необходимости обеспечить бесперебойную работу этих каналов.
Ну а после — хоть потоп, главное свои задницы прикрыть.
Так же как и с асфальтом, зелеными дорожками, закрашенными заборами и тп. Когда к нам в город последний раз президент приезжал — за пару дней, по всему пути следования кортежа — асфальт клали прямо в лужи, что с ним стало через пару недель представляют все…
Сам «белый список» распространяется в виде .xlsx файла с именем «Список сетевых адресов».
А так хороший списочек, для разных DDoSеров, они там сварганили.
Хэш-тег #fuckrkn ещё никогда не имел столь глубокого смысла.
"*.kremlin.ru, *.yandex.ru" — а какую-то неделю назад эти же люди убеждали Украину, что Яндекс — компания исключительно голландская и ни разу данные в фсб не сливает. Ну-ну.
Им необязательно сливать данные чтобы попасть в этот список, достаточно просто быть настолько крупными, чтобы их блокировка получила общественный резонанс. Одно дело цапаться с гиками и ИТшниками, другое — когда полстраны видит чем плохи блокировки. Во втором случае чьи-то головы полетят почти наверняка.
*.instagram.com вас не смущает да?
А что должно смущать? Блокировка подобных ресурсов вызовет реальную волну недовольства в отличае от незначительного количества пользователей пары торрент-трекеров и подобных ресурсов. Или вы все еще считаете это борьбой с "экстримизмом и пиратством"?
Волну недовольства кого? Тех кто постит фотки еды и котиков? Более веротяная причина в том, что кто то наверху постит фото своих яхт в инстаграм.
Должно смущать гражданина tango, который считает что в белый список внесены не популярные ресурсы, а подконтрольные ФСБ.
ну эти точно сливают:
PS. Интересный список: указан "*.gov.ru", но при этом в том же в списке 184 домена 3 и 4 уровней для ".gov.ru", но отсутствует data.gov.ru.
По открытым данным только два домена: data.mos.ru, opendata.ru. Последний вообще не работает.
a.dns.ripn.net 193.232.128.6
b.dns.ripn.net 194.85.252.62
d.dns.ripn.net 194.190.124.17
e.dns.ripn.net 193.232.142.17
f.dns.ripn.net 193.232.156.17
a.root-servers.net 198.41.0.4
b.root-servers.net 192.228.79.201
c.root-servers.net 192.33.4.12
d.root-servers.net 199.7.91.13
e.root-servers.net 192.203.230.10
f.root-servers.net 192.5.5.241
g.root-servers.net 192.112.36.4
h.root-servers.net 128.63.2.53
i.root-servers.net 192.36.148.17
j.root-servers.net 192.58.128.30
k.root-servers.net 193.0.14.129
l.root-servers.net 199.7.83.42
m.root-servers.net 202.12.27.33
PS. Интересный список: указан "*.gov.ru", но при этом в том же в списке 184 домена 3 и 4 уровней для ".gov.ru", но отсутствует data.gov.ru.
По открытым данным только два домена: data.mos.ru, opendata.ru. Последний вообще не работает.
google — проект Кремля? Им-то тоже место в белых списках нашлось.
Конечно. Если вы вспомните, то один из основателей родился в Москве. В 5 лет, когда семья переезжала его разум был еще юн и слаб, поэтому доблестным спецслужбам удалось его завербовать. Такая вот многоходовочка. Странно что никто до сих пор этого не осознал. Или мне теперь надо опасаться за свою жизнь? Ой.
Нет я не всерьез конечно.
Т.е. ваше утверждение касается всех сайтов из списка? Тогда я не заметил, чтобы Google перестала быть исключительно американской:
В 2003 году компания переехала в свою штаб-квартиру в Маунтин-Вью (штат Калифорния).
В 2003 году компания переехала в свою штаб-квартиру в Маунтин-Вью (штат Калифорния).
Ну, собственно вот и всё — белые списки.
Да не какие-то там «разрешённые», а «обязательные».
Додавить остальных уже дело времени…
«получилось как всегда», впрочем к этому давно шло и обманываться было глупо…
Да не какие-то там «разрешённые», а «обязательные».
Додавить остальных уже дело времени…
«получилось как всегда», впрочем к этому давно шло и обманываться было глупо…
Почему все так вышло? И будет ложью
на характер свалить
или Волю Божью.
Разве должно было быть иначе?
Мы платили за всех,
и не нужно сдачи.
А зачем вообще придумали блокировать по IP (даже если предположить, что сама по себе идея блокировки имеет право быть, и блокируют только детскую порнографию)?
По-моему, надо блокировать строго домены или урлы, а IP только в крайнем случае…
По-моему, надо блокировать строго домены или урлы, а IP только в крайнем случае…
ааа, наверно, потому, что при блокировке только домена сайт будет доступен по IP…
IP нужен для первичной выборки трафика на проверку из общего потока. Если провайдер не в состоянии этот трафик обработать(определить домен или URL) он его просто блокирует чтобы штрафов не отхватить. А трафик может быть шифрованный и в лучшем случае можно определить домен к которому обращаются по SNI при помощи DPI. DPI дорогой и медленный.
Ну как, сторонники «моя хата с краю, технически грамотный человек обойдёт все блокировки», выкусили белого списка? Что теперь будете петь?
Будем интернет в P2P затягивать.
У вас заблочат все IP кроме белого списка. Какой тут P2P.
Локальная сеть то будет работать.
Ну будем строить свои локальные сети. Вспомним флопинет.
Ну это ни в какие ворота. Ещё небось и разговаривать людям запретят?
Вы пропустили. Это уже.
Где? Как? Дайте ссылки на законы.
Давайте я дам Вам ссылку на Конституцию, и Вы сами поищете законы, подзаконные акты и правоприменительную практику в судах, прямо (буквально) ей противоречащие, ок? Ссылка нужна?
На конституцию у меня есть.
Интересно, этот сайт тоже скоро заблокируют, чтобы не ссылались лишний раз?
Есть ещё constitution.kremlin.ru. Его уже никак нельзя заблокировать.
И к чему это? Вы хоть процетируйте что хотели показать.
К тому что все эти "домовые сетки" уже незаконны.
Да с чего это? Мне для того чтоб с соседом пакетами обмениваться по проводам лицензии не нужны. Некоторые НКО вообще организуют. Связь возможна не только по радио. WiFi домашний лицензировать не надо.
Если вы про это «Узник Тора» то там не за саму exit ноду а действия с неё. И то эти действия пытаются пришить хозяину.
Всё на том и стоит: «Был бы человек а статья найдётся»©кто-то. Это запугивание. Как раз то с чем они «борятся». И не надо ему потакать. Менеджеры взбунтовались против руководства.
- Закон о защите чувств верующих.
- Закон Яровой об ограничении миссионерской деятельности.
И по эти «законам» уже привлекали и за «Слава Богу», сказанное в микрофон, и за «Боха нет», написанное вконтакте. Итого: религиозное разговоры уже под запретом.
С политическими разговорами почти то же самое: стоит лишь выразить мысль типа: «А вдруг все цивилизованные страны мира правы и Крым нами всё-таки оккупирован», — и ты уже экстремист, так как на территориальную целостность покусился.
Это айтишники почти не пострадали, так как до сих пор можно обсудить какая ОС и какой ЯП круче. Но о чём осталось говорить обычным людям, если не о политике и религии? О погоде?
Ещё скажите Шекспира цитировать!
Это еще не белые, а какие-то «отбеливающие».
Радиорелейки через границу и p2p внутри страны
ipv6 блочат?
а зону .onion?
а зону .onion?
А как провайдеры .onion то блокировать будут?
Не влезает 128 бит в их кору (и древесину) головного мозга, слава Гейзенбергу
Про IPv6 толком не понятно, но исходя из своего опыта могу сказать, что доступ к тому же nnm-club через него не работает, выдаёт заглушку. DNS прописан от Google, разумеется.
А проверьте что вам «гугол» выдаёт.
nslookup nnm-club 8.8.8.8
Не IP ли там заглушки? Некоторые провайдеры перехватывают DNS запросы и подсовывают адрес заглушки.
Если у вас 6to4 то у него приоритет ниже и используется ipv4.
nslookup nnm-club 8.8.8.8
Не IP ли там заглушки? Некоторые провайдеры перехватывают DNS запросы и подсовывают адрес заглушки.
Если у вас 6to4 то у него приоритет ниже и используется ipv4.
Подтверждаю на счет перехвата dns, мой провайдер так делает, причем независимо от того, к какому серверу я обращаюсь. Видимо, все запросы на 53 порт проксируются и прослушиваются, заблокированные домены подменяются.
Это лечится dnscrypt`ом или заворачиванием dns запросов через vpn туннель. С dnscrypt крайне рекомендую разобраться в любом случае, очень актуальная вещь в нынешних условиях, настроил у себя на роутере и теперь провайдер не может подменять запросы.
nnm-club через ipv6 отлично работает, не далее, как вчера, я как раз настроил себе туннель. Захожу по ipv6.nnm-club.me.
Это лечится dnscrypt`ом или заворачиванием dns запросов через vpn туннель. С dnscrypt крайне рекомендую разобраться в любом случае, очень актуальная вещь в нынешних условиях, настроил у себя на роутере и теперь провайдер не может подменять запросы.
nnm-club через ipv6 отлично работает, не далее, как вчера, я как раз настроил себе туннель. Захожу по ipv6.nnm-club.me.
Еще один вариант — использовать IPv6 DNS (например 2001:4860:4860::8888)
А вообще с вариантами выкручивания помогает вот эта вещь
А вообще с вариантами выкручивания помогает вот эта вещь
Каюсь, несколько ошибся с вводной информацией. На дом.ру перехвата dns не наблюдается, это у МТС происходит, DNS crypt помогает.
http://ipv6.nnm-club.me/ работает, заглушек нет, ну и DNS IPv4 + IPv6 от Google.
ipv6 блочат, мне несколько дней назад при попытке обновить Хром с репы dl.google.com по ipv6 прилетало такое:
Accept-Ranges: bytes Content-Length: 60835794 Content-Type: application/x-debian-package ETag: "1414d9" Last-Modified: Sat, 03 Jun 2017 02:51:26 GMT Server: downloads Vary: * X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-Xss-Protection: 1; mode=block Date: Tue, 06 Jun 2017 14:18:26 GMT X-Cache: MISS from blacklist.ttk.ru X-Cache-Lookup: MISS from blacklist.ttk.ru:3128 Via: 1.1 blacklist.ttk.ru (squid) Connection: keep-alive
Что характерно, по ipv4 скачалось.
Так, а как добавить свой сайт в «белый список»? :)
Или это только «для избранных»? Или временная мера, пока они не найдут решение, которое позволит «сохранить лицо»?
Или это только «для избранных»? Или временная мера, пока они не найдут решение, которое позволит «сохранить лицо»?
Я всё таки надеюсь, что кто-нибудь засудит этих чиновников за ошибочную блокировку, с компенсацией всех потерь. Такой прецедент был бы для всего сообщества глотком надежды на адекватность.
Адекватность, ага.
Похоже, чтобы засудить чиновников, нужно самому быть чиновником, или иметь дядю/брата/свата в ФСБ, каком-нибудь.
А у обычных граждан, нередко происходит как-то так: https://copypaste.d3.ru/a-nas-to-za-chto-1387526/
Или вот, несколько лет уже длится бомбардировка разных инстанций письмами с вопросами и заявлениями о нарушении законов. Результаты так себе, но чтиво увлекательное.
Похоже, чтобы засудить чиновников, нужно самому быть чиновником, или иметь дядю/брата/свата в ФСБ, каком-нибудь.
А у обычных граждан, нередко происходит как-то так: https://copypaste.d3.ru/a-nas-to-za-chto-1387526/
Или вот, несколько лет уже длится бомбардировка разных инстанций письмами с вопросами и заявлениями о нарушении законов. Результаты так себе, но чтиво увлекательное.
Ключевое слово «кто-нибудь»?
Засудят. Когда наберётся хотя бы пара сотен тысяч, которые решат что этот «кто-нибудь» — это он, лично, сам, и да понимает и принимает риск быть в процессе… в общем не дожить…
Самое смешное, что в таких процессах численность с "-надцатого" десятка тысяч до миллиона вырастает обычно очень быстро, буквально скачом… и, похоже, эти ребята о реальной численности недовольных догадываются поточнее нашего…
Засудят. Когда наберётся хотя бы пара сотен тысяч, которые решат что этот «кто-нибудь» — это он, лично, сам, и да понимает и принимает риск быть в процессе… в общем не дожить…
Самое смешное, что в таких процессах численность с "-надцатого" десятка тысяч до миллиона вырастает обычно очень быстро, буквально скачом… и, похоже, эти ребята о реальной численности недовольных догадываются поточнее нашего…
Например, среди прочих адресов есть маска .google..
Ой проблему сделали, такой сайт один. Добавять .ru и .com, делов то.
Зато сейчас люди набросают предложений.
А вот файлик интересный
Там несоответствие отображаемому на экране в сдвоенной ячейке
Видно что mid.ru шифруется, хотя потом mid.ru отображается в строке 202
Фраза Лаврова очень кстати.....
Провайдерам нужно разделиться на две компании. Одна будет предоставлять локальную сеть без выхода в интернет а вторая интернет по VPN. Первая не будет обязана трафик фильтровать поскольку не предоставляет выход в интернет. Вторая будет более мобильна и сможет предоставлять свои услуги абонентам других локальных сетей по VPN.
Подобные обходы законов много где можно придумать. И это по сути правильно. Только, в реале наверняка придут ФСБ и прикроют это :(
А на каком основании?
А им нужно реальное основание? На каком основании тогда выпустили данный список?
Да. Это исполнительный орган власти. Они подчиняются закону и просто так зайти и прикрыть не могут. Нужны законные основания.
Ну и скажут вам что на основании закона о противодействию экстремизьму, терорризьму и экзистенцианализьму. А не согласны — в суд идите.
А уж если уж совсем край — ну примут еще один закон, сложно чтоль. Вместе с презумцией законности всех действий власти.
А уж если уж совсем край — ну примут еще один закон, сложно чтоль. Вместе с презумцией законности всех действий власти.
Да не обязательно. Может и повезет, и через два года, после аппеляций и кассаций, прикажут разблокировать.
Все равно подавляющее большинство максимизирует свою полезность, воевать с государством на его поле, при подавляющей поддержке населения, которому все эти блокировки побоку — не особо интересно. Кому свобода настолько критична, чтобы пыль глотать, проще или ВПН настроить, или уехать.
Все равно подавляющее большинство максимизирует свою полезность, воевать с государством на его поле, при подавляющей поддержке населения, которому все эти блокировки побоку — не особо интересно. Кому свобода настолько критична, чтобы пыль глотать, проще или ВПН настроить, или уехать.
Было бы кого, а основание найдётся. пару лет назад (это не 90е) почти прикрыли одного нашего провайдера на основании их игр в финансовых воротил, результат — клиенты побежали, т.к. вывезли даже их сервера с хостинга(а они там вообще ни при чём), а всякие DC++ и халявное IPTV в браузере так и не вернулось. Вроде. хорошо закончилось, но повторения никто не хочет.
Так что "проверка фактов чегонибудь" и "делай с ним что хош".
Есть правила оказания различных услуг связи и организации сетей связи. Нельзя сделать сеть так, как вам хочется. Если правилам не соответствует — эксплуатировать в коммерческом режиме сеть нельзя и все.
Есть НКО. Потом локальная сеть может быть частной и принадлежать жителям дома. Есть множество вариантов. Провайдеры могут оказывать услуги по прокладке и облуживанию сети. Я думаю можно придумать систему противодействия монополии и цензуре.
Государство может менять правила игры на ходу. Поэтому все варианты обхода законов временные.
Сделаете локальную домовую сеть — да фиг с вами, играйтесь. Объедините несколько таких сетей — заставят стать провайдером или закроют. Сеть или Вас — тут как повезет…
Невозможно техническим способом решить политическую проблему. Все технические варианты обхода при наборе определенной популярности будут блокировать принятием новых законов, регламентов и т.п… :(
Сделаете локальную домовую сеть — да фиг с вами, играйтесь. Объедините несколько таких сетей — заставят стать провайдером или закроют. Сеть или Вас — тут как повезет…
Невозможно техническим способом решить политическую проблему. Все технические варианты обхода при наборе определенной популярности будут блокировать принятием новых законов, регламентов и т.п… :(
Весь их список в екселе — образец глупости и некомпетентности, просто апогей некомпетентности, страшно даже подумать, кто там всем этим занимается. И эти люди пытаются нам указывать, что нам делать можно, а что нельзя, что смотреть можно, а что нет.
Список больше, чем из двух тысяч составленный вручную и для ручного же разбора?
Я вот смотрю на этот список и думаю, почему корневые dns не все? Вглядитесь в скриншот ниже внимательнее, в 300 строке записано b.root-servers.net, а дальше идет сразу d.root-servers.net, но, внезапно, в 301 строке есть запись с.root-servers.net.
Я уже молчу про то, что в начале url записаны в виде в виде шаблона для всех поддоменов, вроде *.mail.ru, а в конце идут сотни доменов третьего уровня на одном и том же домене второго уровня.
Список больше, чем из двух тысяч составленный вручную и для ручного же разбора?
Я вот смотрю на этот список и думаю, почему корневые dns не все? Вглядитесь в скриншот ниже внимательнее, в 300 строке записано b.root-servers.net, а дальше идет сразу d.root-servers.net, но, внезапно, в 301 строке есть запись с.root-servers.net.
Я уже молчу про то, что в начале url записаны в виде в виде шаблона для всех поддоменов, вроде *.mail.ru, а в конце идут сотни доменов третьего уровня на одном и том же домене второго уровня.
Скрин
Это какой-то позор… Теперь сдать назад и взять на себя резовлв доменов с регулярной проверкой контента при смене ип ркн вряд ли решится — это ж придется признать свою некомпетентность.
Вопрос к знающим людям: как устроен АПИ рассылки обновлений списка РКН? Наверняка же у существующих подобных сервисов типа google safe browsing был существенный недостаток и они сделали что-то свое.
Вопрос к знающим людям: как устроен АПИ рассылки обновлений списка РКН? Наверняка же у существующих подобных сервисов типа google safe browsing был существенный недостаток и они сделали что-то свое.
Теперь у нас не только страна и экономика в «ручном» режиме, но и интернет? Здорово как.
Похоже скоро регистрация домена превратиться бюрократию. Только представьте:
1. Регистрируем домен.
2. Цензуросмотр содержимого сайта для домена, с кучей счетчиков и скриптов от РКН.
2. Получаем справку, что домен не в черном списке.
3. С предыдущими двумя документами, ставим домен на учет.
4. При желании заносим в белый список, за N-ую сумму.
5. Пользуемся.
1. Регистрируем домен.
2. Цензуросмотр содержимого сайта для домена, с кучей счетчиков и скриптов от РКН.
2. Получаем справку, что домен не в черном списке.
3. С предыдущими двумя документами, ставим домен на учет.
4. При желании заносим в белый список, за N-ую сумму.
5. Пользуемся.
… Вас периодически произвольно закидывают в чёрный список. Причин не объясняют, о самом факте не сообщают, долго не верят, когда их ткнёшь носом, пока не придёшь судится. Если, по недосмотру, суд не купленный, исключение вашего домена из черного списка будут растягивать настолько, насколько это вообще возможно и немного сверху, пока вы второй раз в суд не пойдете. И только тогда вас возможно из него исключат. А в следующий раз, когда вы там окажетесь, вам ненавязчиво намекнут, что за скромную сумму вам могут посодействовать в более скором разрешении этого досадного недосмотра.
В Китае кстати, примерно так и есть. И это нифига не смешно. =(
Так придут к тому, чтобы файлик hosts рассылать. =)
Бумажной почтой
Так придут к тому, чтобы файлик hosts рассылать. =)Вы там поосторожней с шутками — а то так случайно угадаете внутреннее устройство «Чебурашки», а посадят потом — как-будто вы секретные данные раскрыли).
Бумажной почтойМогу предложить воспользоваться стандартом RFC 1149 — он открыт, точно разработан — не в ЦРУ, не может быть перехвачен никакими средствами радиоэлектронной разведки, а главное: в принципе — не взламываем хакерами. Одни плюсы!)
Поправьте меня, если я ошибаюсь, но если:
1) обзавестись собственным vds-серваком у заграничного провайдера с статичным ip-адресом;
2) купить доменное имя из заблокированных в России (не из российских доменных зон, чтобы не палиться);
3) поставить соответствие между ip-адресом vds из пункта 1 и доменом из пункта 2;
4) поднять на vds из пункта 1 dns-сервер;
5) сделать кучу tracert-ов к разным сайтам России и получить в ходе процесса инфу об ip и доменных именах провайдеров России, а заодно и точки обмена M9;
6) внести полученные в пункте 5 ip-адреса и домены в какие-то загадочные A-записи созданного в пункте 4 dns-сервера на арендованном в пункте 1 vds, то в итоге Рунет накроется медным тазом?
Отдельный вопрос — как можно будет белый список обходить? Или уже никак, только валить из страны?
Скорее всего, белый список будут полировать некоторое время, пока не внесут важнейшие (с их точки зрения) ресурсы, а потом на этом остановятся. Это же типичный склад ума российского чиновника — "нельзя, но важным людям(тм) можно".
Остальному Рунету придется несладко, но на все вопросы РКН будет отвечать в духе "Проблемы? Какие проблемы? Вконтактик работает, яндекс работает, а за остальные сайты мы не отвечаем. И вообще, зачем тебе это? Ты случаем не террорист-наркоман-педофил?"
Мне вот что интересно, какой список будет иметь приоритет — белый или чёрный?
В безопасности баз данных приоритет у запрета над разрешением, а здесь?
В безопасности баз данных приоритет у запрета над разрешением, а здесь?
У белого списка выше. Он же не доп. условие к механизму блокировки, явное исключение из него: блокируйте то что вам сказали, но вот это не трогайте.
В сетевой безопасности принят приоритет последнего подходящего правила из списка, а самым нижним стоит «запретить всё».
Может первого подходящего?
Да, есть и такие реализации. Например, у Check Point.
На самом деле я ошибся, что «deny all» внизу, он должен стоять вверху, либо задан по умолчанию в системных настройках, так как я в тот момент думал о pf — в его схеме пакет тестируется по всем правилам (кроме тех, что с пометкой quick), и работает последнее совпавшее.
На самом деле я ошибся, что «deny all» внизу, он должен стоять вверху, либо задан по умолчанию в системных настройках, так как я в тот момент думал о pf — в его схеме пакет тестируется по всем правилам (кроме тех, что с пометкой quick), и работает последнее совпавшее.
Тот момент, когда тебе стыдно за «отечественные органы IT безопасности».
Расстрелять, тех, кто проверял их профпригодность.
Расстрелять, тех, кто проверял их профпригодность.
говорят там есть исключение для *google* с которым становится нельзя заблокировать google.actually.blocked.site
Коллеги, нужно разделять законодательство и всяческие «рекомендации».
По закону операторы связи обязаны блокировать то, что внесено в соответствующий список, выгружаемый с сайта реестра. Если оператор связи делает именно так — то никаких проблем с описанной атакой нет.
Другое дело, что в какой-то момент в РКН узнали, что всех IP в список не написать, и начали генерировать бредовые «рекомендации», что, мол, оператор должен самостоятельно резолвить доменное имя в текущий IP и блокировать доступ и до этого IP тоже. Этот документ никаким законным статусом не обладает, к исполнению не обязателен и в случае судебного разбирательства ссылка на него будет ничтожной. Поэтому те, кто повелся на его исполнение, рискуют собственной головой самостоятельно. И вот у них-то как раз описанная атака встает в полный рост.
Соответственно, и «рекомендации» с белым списком никакого законного статуса не имеют.
Разумные операторы выполняют требования закона, а не РКН. Поэтому блокируют доступ только до тех IP, которые указаны в списке.
По закону операторы связи обязаны блокировать то, что внесено в соответствующий список, выгружаемый с сайта реестра. Если оператор связи делает именно так — то никаких проблем с описанной атакой нет.
Другое дело, что в какой-то момент в РКН узнали, что всех IP в список не написать, и начали генерировать бредовые «рекомендации», что, мол, оператор должен самостоятельно резолвить доменное имя в текущий IP и блокировать доступ и до этого IP тоже. Этот документ никаким законным статусом не обладает, к исполнению не обязателен и в случае судебного разбирательства ссылка на него будет ничтожной. Поэтому те, кто повелся на его исполнение, рискуют собственной головой самостоятельно. И вот у них-то как раз описанная атака встает в полный рост.
Соответственно, и «рекомендации» с белым списком никакого законного статуса не имеют.
Разумные операторы выполняют требования закона, а не РКН. Поэтому блокируют доступ только до тех IP, которые указаны в списке.
Телефонное право. Требование незаконное, а не выполните — лишим лицензии за какой-нибудь другой проступок, с этим не связанный. Как будто у нас в стране верховенство закона, ей богу.
Для этого надо иметь штатного юриста который будет следить чтоб не прикопаться было. А если прикопаются судиться.
Ну мы взвесили риски в обоих случаях и всё-таки выполняем требования закона, а не рекомендаций.
Думаю, выполнение рекомендаций в интересах провайдера. Иначе его могут задолбать пользователи «пачему у меня не работает вконтактик!!!».
Так то проверяется доступность сайта/страницы и штраф если они доступны (не важно под каким IP).
Кстати, что характерно, в последнем паническом письме РКН, которое было разослано в субботу, так и написано «никаких больше рекомендаций, фильтруйте по закону и только для IP из списка».
Ощущаю себя Семёновым из рассказа Жванецкого «Куда толкать?» :)
Ощущаю себя Семёновым из рассказа Жванецкого «Куда толкать?» :)
del
В Госдуму внесен законопроект о запрете технологий для просмотра заблокированных сайтов
Одновременно разработчики предлагают возложить на операторов поисковых систем в интернете «обязанность прекращать на территории России выдачу ссылок на заблокированные в России информационные ресурсы».
При этом сложившаяся с 2012 года практика применения меры выявила «недостаточную эффективность блокировок — полностью достичь целей не удается», констатируют парламентарии.
По их словам, это обусловлено, в частности, возможностью «обнаружить ссылки на заблокированные ресурсы в результатах поисковых выдач поисковых систем», а также «возможностью использовать технологии, позволяющие получить доступ к заблокированным информационным ресурсам».
Так, сейчас на операторов интернет-поисковиков не возложена обязанность прекращать выдачу ссылок на заблокированные сайты.
«С целью получения доступа к заблокированным информационным ресурсам используются технологии, которые направляют трафик российских интернет-пользователей через зарубежные серверы, анонимные прокси-серверы, виртуальные частные сети и прочее», — говорится в пояснительной записке.
TACC
Одновременно разработчики предлагают возложить на операторов поисковых систем в интернете «обязанность прекращать на территории России выдачу ссылок на заблокированные в России информационные ресурсы».
При этом сложившаяся с 2012 года практика применения меры выявила «недостаточную эффективность блокировок — полностью достичь целей не удается», констатируют парламентарии.
По их словам, это обусловлено, в частности, возможностью «обнаружить ссылки на заблокированные ресурсы в результатах поисковых выдач поисковых систем», а также «возможностью использовать технологии, позволяющие получить доступ к заблокированным информационным ресурсам».
Так, сейчас на операторов интернет-поисковиков не возложена обязанность прекращать выдачу ссылок на заблокированные сайты.
«С целью получения доступа к заблокированным информационным ресурсам используются технологии, которые направляют трафик российских интернет-пользователей через зарубежные серверы, анонимные прокси-серверы, виртуальные частные сети и прочее», — говорится в пояснительной записке.
TACC
Подсказка РКНу
*.*
Sign up to leave a comment.
Роскомнадзор пытается решить проблему с механизмом блокировки «белыми списками»