Утверждён объём хранения трафика по закону Яровой

    Правительство РФ приняло постановление № 445 «Об утверждении Правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи» (текст), в котором наконец-то разъяснило технические детали, как именно операторы связаны выполнять пресловутый пакет законов Яровой-Озерова, то есть как долго хранить интернет-трафик, голосовой трафик, текстовые сообщения и т. д.

    Итак, вот основные положения Правил:

    • Оператор должен хранить трафик на территории России.
    • По согласованию с ФСБ допускается хранение трафика на «технических средствах накопления информации», принадлежащих другому оператору связи.
    • «Технические средства накопления информации» входят в состав оборудования, включающего систему СОРМ.
    • Операторы телефонной связи и услуг передачи данных для целей передачи голосовой информации хранят голосовой трафик и текстовые сообщения в полном объёме в течение 6 месяцев.
    • Интернет-провайдеры с 1 июля 2018 года хранят трафик в нулевом объёме, а с 1 октября 2018 года — в полном объёме. Ёмкость системы хранения должна равняться объёму трафика, переданному за 30 суток, предшествующих дате ввода в эксплуатацию технических средств накопления информации.

      Примечание: в Правилах прямо не указан срок, в течение которого должен храниться трафик. Исходя из текста нормативного акта, интернет-провайдер обязан:

      1. Подсчитать, сколько трафика он пропустил за последний месяц.
      2. Установить накопители соответствующего объёма.
      3. Сохранять весь трафик пользователей в течение всего срока, пока хватает ёмкости установленных накопителей.

    • Оператор обязан ежегодно увеличивать ёмкость системы хранения на 15% в течение пяти лет с даты ввода технических средств накопления в эксплуатацию.

      Примечание: отсюда напрашивается очевидный «лайфхак». Если интернет-провайдер на 30 дней существенно снизит объём трафика в своей сети (например, на 30 дней заблокирует YouTube и торренты), то ближайшие пять лет сможет существенно сэкономить на стоимости технических средств накопления (если за эти 30 дней не растеряет всех клиентов). Условно говоря, если объём трафика за эти 30 дней снизился в 100 раз, то ближайшие 5 лет установленных накопителей информации будет хватать на хранение только 1% месячного трафика пользователей, то есть всего трафика примерно за последние 8 часов. Соответственно, на порядок снижаются затраты оператора на закупку оборудования и хостинг. Судя по всему, это эффективно нивелирует требование слежки за пользователями, причём с соблюдением закона. Правда, есть один нюанс (см. следующий пункт).

      UPD. Примечание 2: В комментариях верно заметили, что вместо хранения зашифрованного трафика (HTTPS) можно по запросу ФСБ выдавать случайно сгенерированные данные, которые по сути не отличаются от зашифрованного трафика. Это ещё один «лайфак», позволяющий сэкономить на объёме системы хранения.
    • Датой ввода технических средств накопления информации в эксплуатацию считается дата подписания представителями уполномоченного органа ФСБ, Роскомнадзора и оператора связи акта ввода в эксплуатацию технических средств в соответствии с пунктом 10 Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность.

      Примечание: другими словами, если оператор связи решится на такой «лайфхак» для защиты своих пользователей от слежки, то рискует тем, что ФСБ и Роскомнадзор просто не подпишут акт ввода в эксплуатацию системы с заниженным объёмом накопителей. Напрашивается очевидный обход этого ограничения через создание нового юрлица — оператора, у которого в начале работы будут заведомо минимальные объёмы трафика, что не вызовет подозрений у контролирующих органов, а после подписания акта ввода в эксплуатацию системы слежения — перевода на это юрлицо всей абонентской базы.
    • Удаление информации с накопителей осуществляется автоматически в соответствии с предусмотренными программным обеспечением алгоритмами и требованиями к применяемым средствам накопления информации исходя из максимального срока хранения трафика в течение 6 месяцев.

    Документ опубликован 19 апреля 2018 года. Вчера стали поступать первые отзывы на него со стороны представителей индустрии. Например, «Ростелеком» заявил о нехватке на рынке сертифицированного оборудования «с учётом масштаба инфраструктуры Ростелекома», что делает затруднительным выполнение требований Правил.





    Оператор «Мегафона» назвал требования «компромиссными» и сохранил прогноз по затратам на его выполнение на уровне 35-40 млрд руб (от $573 млн до $656 млн по текущему курсу). Сравнимые затраты понесут другие крупные операторы. Вероятно, расходы на закупку оборудования будут переложены на абонентов через повышение тарифов на услуги связи.

    Тем временем производители сертифицированного оборудования для СОРМ рассчитывают на резкий рост спроса со стороны операторов.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 339
    • +4
      ну как говорится — поехали (с)
      • +16
        >поехали
        Это называется «приехали» :(
        • +6
          Боюсь, что это ещё не конечная станция. Так что, скорее, разогнались.
          • +6
            Более того, разгон начинает набираться пугающе быстро — быстрее, чем успеваешь хотя бы осмыслить происходящее.
            Раньше можно было хотя бы утешать себя, что мол в крайнем случае, если совсем прижмёт, всегда можно успеть завести трактор. Но теперь уже есть опасение, что однажды проснёшься — а границы уже на замке, и главное непонятно, когда успели захлопнуться.
            Вот например, что на сайте МИДа вчера выложили:
            С недоумением воспринимаем продолжающиеся попытки обосновать резкое снижение выдачи гражданам России американских виз «нехваткой персонала» в консульских учреждениях, да еще и обвинить в этом российские власти.[...]
            Уже даже нельзя исключить, что наши страны останутся без авиационного сообщения. «Аэрофлот», который единственный совершает регулярные рейсы между Россией и США, может оказаться вынужден их прекратить, так как экипажи испытывают возрастающие трудности с получением американских виз.
            Перспектива полного окукливания кажется вполне реальной и даже не такой уж далёкой.
            • +5

              "С недоумением воспринимаем продолжающиеся попытки обосновать резкое ухудшение и удорожание услуг связи гражданам России «борьбой с терроризмом», да еще и обвинить в этом разработчиков мессенджеров и владельцев интернет-ресурсов."

        • 0
          Это не мы поехали, это они поехали, причём довольно давно.
        • +7
          хорошо, сразу всех террористов переловят!
          • +13
            Надо сначала телеграм заблокировать.
            • +7
              image

              P.S.: простите, а хабрасторадж уже не работает? О_о Это я так долго в заморозке был?
          • +2

            нет населения = нет терористов

            • +3
              Более общая идея:
              … 99% проблем человечества решаются уничтожением 99% человечества… :)
          • +5
            Брррр… не знаю куда оно идет (может youtube 2160p), но у меня роутер показывает около 200 ТБ входящего трафика по WAN.
            Бедный мой провайдер, я же у него не один, а тысячи :(
            • +15
              Это не провайдер бедный. Затянуть пояса придётся пользователям.
              • 0
                Это понятно, но объем… помещение, электропитание, каналы связи — огромны.

                Поверхностно — 200ТБ*10000 пользователей = 2 000 ПБ… Это ж жжжжесть.

                10000 пользователей — это вообще оценка с потолка. А сколько их в крупном городе…
                А трафик? Иногда за день можно отдать 1ПБ на раздачах).
                • +15
                  Вероятно, Вам лично придется оплатить хранение Ваших 200ТБ. Вряд ли Ваш провайдер захочет оставить Вам безлимитный доступ в интернет
                  • +5
                    уберут безлимит и возрастёт стоимость трафика
                    • 0
                      это нивелируется распределением на всех абонентов, точно также как и сам трафик на безлимитах каждый месяц.
                      Заголовок спойлера
                      image

                      на 100 мбит меди (физические ограничения дают нам 88мбит=11мб) которой подавляющие большинство можно нетак и много трафика наделать
                      60*60*24*30*11=28512000(мб)=28,5(пб)

                      большинство же людей не держит компы 24/7, 8ч сон + 8ч работа + 2ч дорога на работу плюс еда и прочее ( тут наверно цифра по боллее должна быть, но принцип не измениться) ---> остаётся 6 часов, что при максимальной загрузке канала даёт ужэ 7,1(пб) --> 7,1*6 мес=42,5 пб на одного абонента. финансово сложно оценить, ведь это и ожиотаж/дефицит + сертификации фсб.

                      и конечно же докучи можно строже резать трафик сейчас зачастую тарифы заявляютса как «не мение ХХ мбит/сек» а в реальности скорость ничем не разрежется — и прочии ухищрения недавнего прошлого.

                  • 0
                    Ютуб в 2160p, это где-то 40-80 мбит потока, т.е. где-то 5-10мб/с, в сутки уже 432-900гб, в месяц уже 13-27тб на 1 клиента и это только ютуб в 2160р. Если собираются хранить весь трафик, то получается и исходящий тоже.
                    Пока у меня 2-3 тб входящего трафика в месяц и исходящего уже от 400-1тб. Но я думаю пойти в наглую и увеличить трафик в 10-20раз после начала действия этого закона(т.е. с 1 июля) тупым вариантом, активно перекачивать игры с магазинов steam, Microsoft Store, origin, благо такая возможность есть(2 харда по 1тб с охлаждением).
                    • +1

                      Думаю, чтобы не мучать харды, достаточно поставить какой нибудь генератор (эмулятор нагрузки) трафика, который будет между двумя адресами гонять пакет данных туда-сюда на полной скорости, держа его в оперативке

                      • +1
                        dd if=/dev/urandom of=/mnt/remote/random bs=4M count=1000 && rm /mnt/remote/random?
                        • +1

                          cat /dev/urandom | ssh remote 'cat > /dev/null'

                          • +2
                            У меня в компьютере /dev/urandom мозолями не покроется? ;)
                            • 0
                              /dev/zero
                              • 0
                                Нее, тогда легко заархивировать будет, весь смысл пропадёт.
                          • +2
                            принимающая сторона:
                            $ nc -lp 5000 > /dev/null

                            передающая сторона:
                            $ nc hostB.com 5000 < /dev/urandom
                          • 0
                            Релей TOR'а. И дело хорошее сделаете, и все кассеты провайдеру шифрованной ботвой под завязку.
                            • 0
                              И новое дело товарищу майору.
                              • 0
                                Пусть фигней мается, релей же а не выходная нода:-)
                          • +4

                            Тебя просто отключат. Выгодней содержать 1000 клиентов-бабушек, чем одного прошаренного и жрущего трафик айтишника. Или в договоре задействуют какуюнибудь строчку.
                            Вот у нас безганичный интернет по договору имеет ограничение 65 тера в месяц. Этот пункт не используется. Пока. (но если я создам проблеммы провайдеру — грубл говоря начну потреблять как 1000 пользователей, а поатить как 1 то его могут и задействовать.

                            • +2

                              РТ вроде делал в ряде регионов 1 ТБ, но потом, под давлением айтишников, пошел на попятную. Но может и повторить)

                              • +2

                                В некоторых филиалах есть ограничение в 100Гб/сутки, далее режется скорость до 128Кб до конца суток.

                              • 0
                                Зачем отключат? Просто сообщат, что стоимость тарифа изменится в соответствии с объемом хранимой информации.
                                • 0
                                  Я больше 1-2 ТБ в месяц не выкачиваю как ни стараюсь :) Если только специально не оставлять комп 24 на 7 и 100 торрентов раздавать…
                                  • 0
                                    То же самое — входящий трафик с трудом за месяц хотя бы до 0.5 ТБ набегает. Но вот исходящего достаточно много — в среднем набегает по 3-4 ТБ в месяц, т.к. 24/7 идет раздача в DC++ примерно 15-16 ТБ аниме :) + висит пара десятков раздач на торрентах.
                                  • +1
                                    Они же обязаны хранить весь траффик? Не важно, TCP, UDP, ICMP, DNS запросы…

                                    Берем несколько мощных VPS-ок с хорошим запасом траффика, и начинаем заваливать сеть оператор TCP SYN, ICMP echo request, DNS request, и прочими типами пакетов, каждый раз на новый адрес / порт, все из сети оператора.

                                    Не забываем раз в час менять IP у VPS-ки.
                                    • 0

                                      Кого мы этим хотим наказать (майора, оператора или самих себя)? По идее, все должны понимать, что это только приведёт к удорожанию услуг для нас самих. Покупаться, размещаться и обслуживаться вся эта гора железа будет на деньги с абонентов (с нас же самих)...

                                      • 0
                                        Это даст своего рода замусоривание хранимых данных. Платить, конечно, придется самим, но потенциальные выгоды у этого есть. То есть при конечном обьеме хранилища в него попадет меньше «полезных» данных либо они будут быстрее стираться (если хранилище работает как fifo). Разумеется, трафик нужно поднимать уже после установки систем хранения — иначе нет смысла.
                                        • 0
                                          проблема в том, что это испортит жизнь опять не товарищу майору, а конечному человеку, который будет сидеть у провайдера и пытаться добыть эти данные для содействия
                                          • 0
                                            Разумеется. Я лишь поясняю, какой может быть потенциальный профит при некоторых обстоятельствах. Сам я против таких действий, так как считаю их не эффективной тратой ресурсов. Ну и ничто не помешает принять потом закон чтобы таких вот флудеров на бутылку за «препятствие какой-то там деятельности».
                                            • 0
                                              А почему нас должна волновать судьба этого человека?
                                              • 0
                                                Судьба абонента волнует оператора в случае ошибки на стороне абонента в том числе! Да и не на «брата» зуб точить надо а на вражин! Человечнее надо быть.
                                    • +2
                                      Ютуб в 2160p, это где-то 40-80 мбит потока, т.е. где-то 5-10мб/с, в сутки уже 432-900гб, в месяц уже 13-27тб на 1 клиента и это только ютуб в 2160р

                                      Этот ваш клиент не работает и не спит, что он 24/7 ютуб в 2160p смотрит?

                                      Вычисления прям как у правообладателей недополученная прибыль.
                                      • +1
                                        Т.е. мало того что провайдерам по шапке дали, дак вы еще хотите по одному месту напинать? Считаю каждый скаченный гигабайт в этот период — это рубль на который подорожают тарифы!
                                        • 0
                                          А с какой целью увеличивать трафик? Может я чего-то не понял. Если с целью досадить провайдерам, то это глупо. Ударит по самим кошелькам пользователей в итоге.
                                          • +1
                                            К примеру все дружно с 1 июля и на месяц включают генератор трафика, а Ростелеком через месяц докладывает, что чтобы создать(за 3-4 месяца!!!)хранилище для тестового трафика, нужно несколько годовых бюджетов всей страны.
                                            Тогда даже до куриных мозгов чиновников дойдет абсурдность закона.
                                            • +6
                                              Правда? Решение простое- поднимаем акцизы и непрямые налоги на всё. Работодатели будут за каждую белую зп платить на 10% больше. Потребители будут платить больше. На топливо, на курево, на бухло, на ЖКХ. В итоге,3 небольшой разгон «официальной» инфляции и реальной порядка 10%. Ну затянут, понимаешь, «дарагия рассияня» пояса ещё потуже и всё, пусть жрут эрзац-пирожные, если нет хлеба. Проблемы? Да никаких. «Этот ваш буржуйский инторнет с терр-ристами и пэдофилами не нужон!» А если нужен, то будет 1000-2000 в месяц за 4-6 мегабит ADSL, как в не столь добрые и не столь старые времена. И электричество 10-15 руб. за КВт*ч.
                                        • 0
                                          У меня за месяц 300-500 гигабайт в обе стороны набегает. Так что терабайтами, думаю, качает не такой уж и большой процент пользователей.
                                          • +1
                                            Аналогично. При том мы можно сказать используем сеть более-менее активно, а у других — одноклассники работают, да ютубчик 360р, всё норм.

                                            Тут просто надо смотреть статистику провайдеров, т.к. мы не типичные пользователи.
                                            • 0
                                              Да. Если взять родителей, то они торренты не качают, просто картинки в интернетах смотрят да ролики на ютубе максимум в 720. Ну и далеко не круглосуточно, как тут некоторые сразу начали считать.
                                              • 0
                                                В среднем на абонента ИМХО по 1-2Тб в месяц то набегает что немало. ИМХО ждёт нас резкое снижение скоростей и введение лимитов траффика + рост цен на доступ к интернету.
                                                • 0
                                                  Меньше 100гиг на пользователя (без учета пирингового трафика).
                                              • +1
                                                image

                                                Ну как сказать…
                                                • 0

                                                  Ну в противовес:
                                                  январь: 184Гб / 20Гб
                                                  февраль: 122Гб / 9Гб
                                                  март: 210Гб / 12Гб
                                                  апрель: 139Гб / 8Гб

                                                • 0

                                                  Только что посмотрел статистику потребления свою. У меня вообще около 150Gb в месяц выходит.
                                                  И мне тяжело представить как можно гонять терабайты.

                                                  • 0
                                                    fullhd (или выше) видео, вместо эфирного ТВ.
                                                    • 0
                                                      Очевидно IGMP-траффик провайдеры хранить скорее всего не будут. Да и вообще в общем и целом хранить входящий траффик абонента в целом идея бесполезная учитывая массовый переход сайтов на https и объёмы потребления контента. Думаю провайдеры будут пробовать продавить только хранение исходящего траффика. В принципе судя по новости явного указания на то что хранить надо и входящий и исходящий траффик нет потому хранить провайдеры явно будут только исходящий от клиента траффик.
                                                      • 0
                                                        я об ОТТ/прочих юникаст инет ресурсах.
                                                        ну а что хранить — разъяснит товарищ майор. учитывая глубину познаний «органов» в IT — не удивлюсь, если обяжут хранить все. возможно — даже с периодическими просьбами распечатать весь трафик абонента за определенный период.
                                                    • –1
                                                      Потребление есть мать и бог и россиянина и западного человека.
                                                  • +2
                                                    Помимо вопроса о хранении самих данных встаёт вопрос о резервном копировании этих данных. Хороший админ знает, что резервных копий должно быть как минимум две, причём в разных помещениях (лучше зданиях). Очень хороший админ считает, что нужна ещё и третья резервная копия, которая будет храниться в стороннем датацентре в другой стране.
                                                    И на всякий случай каждую копию нужно проверять на возможность восстановления.
                                                    Я, средний админ из средней компании, с трудом могу представить какие ресурсы нужны, чтобы гарантировать исполнения этого закона.
                                                    • +9
                                                      Про резервное копирование в законе ничего нету.
                                                      • +1
                                                        Кстати, да. А каковы штрафы за посылание системы нахрен случайные сбои в системе хранения данных? Или сразу лишают лицензии?
                                                        • –2
                                                          Суть закона сводится к обязанности провайдера предоставить доступ контролирующим органам к собранной информации. Отсутствие резервной копии в случае любой программной или аппаратной проблемы, человеческого вмешательства и т.д. приведёт к неисполнению или неполному исполнению закона.
                                                          • +3
                                                            Насколько знаю, провайдеров обяжут использовать какую-нибудь сертфицированную СХД, а не просто «пошел в магазин, купил пару винтов, подключил по usb к роутеру». Вот производитель этой самой СХД и должен будет обеспечивать сохранность.
                                                            • +1
                                                              > производитель этой самой СХД и должен будет
                                                              > обеспечивать сохранность.

                                                              Ха-ха. Только деньги брать.
                                                      • 0
                                                        200 ТБ в месяц? 3 ТБ в день? Постоянные ~300 Мбит/с? Вы небось у провайдера один единственный и вас проще послать. Или предложить вам тариф на порядок (или два) дороже.
                                                        • 0
                                                          Обновления для маздая.
                                                          • 0

                                                            Тут надо бы понять, что подразумевается под трафиком? Может оператор обязан хранить только запросы? Если 100к юзеров посмотрели одно и то же видео, есть ли смысл сохранять это видео 100к раз?

                                                            • 0
                                                              Смысла нету, обязанность есть.
                                                              • 0
                                                                Наверное, информация будет храниться также, как хранится в некоторых системах резервного копирования. Видео сохранят один раз целиком, а 100K-1 раз создадут
                                                                ссылки на сохраненное видео.
                                                                Кстати, будет весело подать в суд на них за копирование защищенного копирайтом контента без разрешения правообладателя.
                                                                • 0
                                                                  Шифрование же. Да и что такое видео, когда ютуб, приспосабливаясь к каналу, может менять качество каждые 3 секунды? В итоге у каждого своё «видео».
                                                              • 0
                                                                Для этого есть дедупликация
                                                                • 0
                                                                  Ну а как тогда потом проверить какой из 100к юзеров на какой минуте остановился? Надо сохранять ВСЁ!
                                                                  • 0
                                                                    Никак. Думаю, это в куках сохраняется.
                                                                    Во вторых дедупликация некоего файла котики.mp4, которая сэкономит гигабайты места не отменяет того, что можно сохранить несколько байт на юзера, где он остановил просмотр.
                                                                  • 0
                                                                    Как вы дедурлицируете зашифрованный трафик?
                                                                    • 0
                                                                      Забавная очепятка )
                                                                      Пытался понять, как Riverbed это делает, но, кажется, там тоже есть проблемы.
                                                                      Ладно, забудем про дедупликейшн.
                                                                • 0
                                                                  Отвыкайте!
                                                                • +12
                                                                  Напрашивается очевидный обход этого ограничения через создание нового юрлица — оператора, у которого в начале работы будут заведомо минимальные объёмы трафика, что не вызовет подозрений у контролирующих органов, а после подписания акта ввода в эксплуатацию системы слежения — перевода на это юрлицо всей абонентской базы.

                                                                  мда. Лайфхак для обхода дурацкого спорного закона — есть.
                                                                  Лайфхака для непоявления подобного закона — нет.

                                                                  То есть правы были те философы, которые про россию (еще в царские времена) говорили, что правительство там относится к категории неуправляемых обстоятельств, как то — наводнения, землетрясения, засухи с пожарами, фазы луны, времена года и т.д.
                                                                  • +12
                                                                    которые про россию (еще в царские времена) говорили, что правительство там относится к категории неуправляемых обстоятельств, как то — наводнения, землетрясения, засухи с пожарами, фазы луны, времена года и т.д.


                                                                    Пфф, я регулярно в договорах поставки в разделе форс-мажорные обстоятелсьтва вижу перечисление стихийных бедствий всяких и следом " действий органов власти РФ".
                                                                    • +1
                                                                      Аналогично. И самое забавное, что оный пункт ни разу не вызвал никаких вопросов у контрагентов. Несмотря на все юридическое «богатство» данного пункта.
                                                                      • +1
                                                                        Видимо они изучали теорию игр, где государство тоже может ассоциироваться с Природой, то есть неподвластной стихией.
                                                                        • +1
                                                                          А в чем «богатство»? Если власти РФ запретят продавать шпроты — значит никаких поставок шпрот быть не может. Другие действия властей не будут форс-мажором, и уж тем более не закон Яровой, который года 3 мусолят.
                                                                      • +3
                                                                        фазы луны и времена года, хотя бы, предсказуемы. Наводнения и засухи в некоторой степени тоже, а вто бешеный принтер не очень
                                                                        • 0
                                                                          Да — и ЭТО НАДО ДЕЛАТЬ.
                                                                          Потому что на самом деле тотальная слежка не нужна. А значит постоянно следить за соблюдением этих правил никто не будет. Значит провайдерам важно сейчас продемонстрировать готовность и сделать всё правильно по бумагам. А дальше… по ситуации.
                                                                          • 0
                                                                            Но цены они поднимут. Как сейчас с роумингом вышло. Вроде чего-то там отменили, требования типа выполнили, а по факту клиент теперь будет платить больше.
                                                                        • +2
                                                                          Например, «Ростелеком» заявил о нехватке на рынке сертифицированного оборудования «с учётом масштаба инфраструктуры Ростелекома»
                                                                          Роскомнадзор, твой выход!
                                                                          • +9
                                                                            выборы прошли дорогие друзья, выбора больше нет
                                                                            • +23
                                                                              его и не было
                                                                              • +1
                                                                                А они были? Я как-то не заметил.
                                                                              • +16
                                                                                Подскажите, может я что-то не понимаю, но прослушивать трафик, проходящий по HTTPS нельзя. Видеоконтент с ютуба не шифруется? Учитывая, что большинство трафика идёт по зашифрованному каналу, на кой чёрт хранить эти данные, ведь они не отличимы от случайного шума? Так может провайдерам эти данные не хранить, а выдавать по запросу генерируемые рандомно данные? Запрашивающие всё равно не смогут проверить.

                                                                                Собственно, как будет проверятся исполнение закона?
                                                                                • +9
                                                                                  Можно будет написать новый закон и снова начать требовать ключи для расшифровки теперь уже у сервисов с https ;)
                                                                                  • 0
                                                                                    государственный броузер с государственным сертификатом
                                                                                    • +2
                                                                                      А тут уже все будут против, т.к. через https работают банки и станут известны все пароли. А дальше простой пример, сперли деньги с карты, сразу жалобу на роскомнадзор(а то и в суд). И да, не забываем про шифрованный исходящий трафик в зоне торрентов(в любом клиенте уже есть такая возможность).
                                                                                      • –1
                                                                                        С банками/деньгами такая штука: они подтверждения по телефону требуют. Или вы знаете банки, где достаточно связки логин+пароль для совершения денежных операций?

                                                                                        Можно, конечно, считать ТТХ карты в личном кабинете — есть такой баг, что кое-какие операции можно совершать лишь зная цифры на обоих сторонах карты. Но, вроде переводы денег & покупка валюты к ним не относятся.
                                                                                        • +1
                                                                                          Или вы знаете банки, где достаточно связки логин+пароль для совершения денежных операций?

                                                                                          А клонирование симок или их перевыпуск левым кантиком уже не достаточно?
                                                                                          • +2
                                                                                            А зачем клонировать симку? Любой с доступом к СОРМ оператора сможет получить смс
                                                                                          • +1
                                                                                            А в чем проблема с этим законом умыкнуть сначала твой логин/пароль, а потом из того же хранилища код из смски которая придет и сразу пока человек не понял перевести себе все его деньги?
                                                                                            • 0
                                                                                              Ну, как «из того же» — весьма вероятно, это будут два разных ISP. «Получить доступ к хранилищу», «СОРМ», «левый перевыпуск карты»… Я думаю, куда проще написать вирус на телефон, и т.о. обойти как двухфакторную авторизацию, так и незнание логина/пароля.
                                                                                              • +1
                                                                                                что-то слишком сложно звуит
                                                                                                получить доступ
                                                                                                написать вирус
                                                                                                image
                                                                                                • 0

                                                                                                  Ну с этим методом дешифрации проблем нет. И сотрудники опытные найдутся и методики.

                                                                                                • 0
                                                                                                  ISP возможно будут и разные. Но куда стекаются данные СОРМ в большинстве регионов? В тот же ФСБ и, уверен, в том же регионе или районе.
                                                                                                  One ring to rule them all
                                                                                              • +1
                                                                                                На Амазоне можно покупать без подтверждения СМСкой с карты любого банка, например.
                                                                                                • –2
                                                                                                  Да, покупки можно совершать, имея цифры на обоих сторонах карты — но что толку, если покупку можно отменить, а вас по обратному адресу вычислить? Может на амазоне можно биткойны покупать…? Это изменило бы ситуацию.
                                                                                                  • +3
                                                                                                    Давайте не будем устраивать здесь Курс Молодого Бойца для Начинающих Кардеров, просто поверьте, банки без https-а не проживут.)
                                                                                                    • 0
                                                                                                      Проживут. Есть толстые клиенты, в конце концов двухфакторная аутентификация TOTP тем же.
                                                                                                • 0
                                                                                                  мобильные клиенты могут гонять данные по https и не требовать подтверждени.
                                                                                                  • 0

                                                                                                    У меня такой банк. Смс подтверждение только при первом входе в кабинет с компьютера. Дальше — логин пароль.

                                                                                                    • 0
                                                                                                      Это ужасно. Не хотелось бы быть клиентом — что за банк?
                                                                                                      • 0
                                                                                                        Украинский Приватбанк. Первый вход — через логин+пароль+смс/подтверждение в приложении. Второй вход с того же айпи тем же браузером — просто логин+пароль. При этом сверху будет висеть плашка о входе без подтверждения на финансовый (т.е. привязанный) телефон, с предложением отключить такой функционал в настройках, если хочется максимальной безопасности. По-моему, вполне человечно сделано.
                                                                                                        • 0
                                                                                                          Вот скриншот этой плашки:
                                                                                                      • 0
                                                                                                        Знаю. В РФ. И даже больше — от них нельзя отказаться, зарплатного рабства как-бы нет, но оно есть. (Но даже он для перевода хотел СМС, валюту там не покупал и уже не буду)
                                                                                                        Для Амазона достаточно цифр с одной стороны карты, сколь помню.
                                                                                                        • 0
                                                                                                          Простите, это действительно правда?

                                                                                                          В украине все банки с банк-клиентом никакого подтверждения по телефону не требуют. Заходишь и работаешь.
                                                                                                          • 0
                                                                                                            Во первых, не все. Сразу вспомнил Альфа банк, без смс нет входа. Никогда.
                                                                                                            Во вторых, если речь о Приват24, то да — после ХХХ входов с одного и того же компа, расположенного в одном и том же месте таки да, смс или звонок уже не нужен. Но стоит войти с другого компа — снова жди смс
                                                                                                            PS Перечитал еще раз — речь о мобильных клиентах. Да, тут смс точно не требуется кроме первого раза
                                                                                                            • 0
                                                                                                              Альфа банк, без смс нет входа. Никогда.

                                                                                                              В Альфа-Банке смс для входа отключаемые. Вхожу без смс.

                                                                                                              • 0
                                                                                                                Компании пользуются ключами.
                                                                                                                Если вы ЧП, и у вас есть счет ЧП — нужно сходить в отделение, запросить ключи для банк клиента и затем без смс. По https.
                                                                                                          • +2
                                                                                                            «А тут уже все будут против»
                                                                                                            А кого это волнует?
                                                                                                            • 0
                                                                                                              Типа, сейчас, когда вообще не ясно, что происходит и почему это никто не остановит всем ок.
                                                                                                              До момента, пока компания в которой я работаю не потеряла CDN, а у меня самого упали все пет проекты, еще была какая-то надежда, что и правда не о чем беспокоиться. Но теперь сотни тысяч человек несут убытки. И ничего не происходит.

                                                                                                              Мне кажется, если перед блокировкой HTTPS они придумают протокол «прекрасныГейтРоссии», и обязуют передавать пароли через их защищенный сервер по уникальному протоколу, мы точно так же будем сидеть и ужасаться тирании в сети. А между тем, правительсто отчитается по Первому, что мол «злодеи блокируются, гос.сайты и добпропорядочные граждане переходят на новый протокол», а мы будем грызть кактус.
                                                                                                              • 0
                                                                                                                Lexicon, А именно Вы(и начальство) готовы поддержать/подписать хотя бы письмо Первому о том, что всё не так радужно как ему доложили?
                                                                                                                Уточнение в скобках очень важный момент, потому как если РКН вдруг позвонит и убедительно попросит не бузить, не будет ли «задней» что «как бы чего не вышло»?
                                                                                                                • 0
                                                                                                                  «Первый» все прекрасно знает, я думаю.
                                                                                                            • +1
                                                                                                              Можно будет написать новый закон и снова начать требовать ключи для расшифровки теперь уже у сервисов с https ;)

                                                                                                              так еще в 2016 том написали
                                                                                                              kremlin.ru/events/president/news/52486
                                                                                                            • +1
                                                                                                              Вангую обязательную установку корневого сертификата в доверенные на все абонентские устройства. Кажется, в Казахстане такое пытались провернуть, могу ошибаться.
                                                                                                              • 0

                                                                                                                В Китае вполне себе работает.

                                                                                                              • 0
                                                                                                                Так, видимо, будут смотреть на заполняемость архива, исходя из первоначального эталонного 30-дневного замера. То есть по сути можно складывать туда /dev/random, заявлять его как https трафик и расслабляться.
                                                                                                                • +3
                                                                                                                  И сесть, когда поймают.
                                                                                                                  • 0
                                                                                                                    а как они отличат рандом от https?
                                                                                                                    • +2
                                                                                                                      На вскидку десятко способов в голову приходит.
                                                                                                                      Самый очевидный — сделать тестовый запрос через клиента провайдера, а потом у провайдера запросить сохраненное. Есть отличие — добро пожаловать к майору.
                                                                                                                      • 0
                                                                                                                        а что если контент по ту сторону и правда изменился?
                                                                                                                        • 0
                                                                                                                          Какой еще контент изменился? Логируется не контент по ту сторону, а трафик пользователя.
                                                                                                                      • +3
                                                                                                                        «Ревизор NG», блин
                                                                                                                        • –1
                                                                                                                          Что, правда?

                                                                                                                          Расскажите, почему и с какой вероятностью осуществится ваш вариант.
                                                                                                                          Т.е. почему результат этих двух запросов должен совпасть.
                                                                                                                          • 0
                                                                                                                            Он должен совпасть, потому что именно этого требует закон.
                                                                                                                            Пользователь отослал А — это А записалось в лог, ползователь получил Б — это Б записалось в лог.
                                                                                                                            Пользователь знает что отсылает и получает, если в логе другое — эпик фейл.
                                                                                                                    • –3
                                                                                                                      Дополняя предыдущий комментарий: а кому это надо? Директор организации вряд ли даст письменный приказ: а давайте ка гэбэшникам будем отдавать /dev/random. А низшему звену это зачем, сэкономить деньги организации с риском присесть по статье экстремизм (а подведут под это, не сомневайтесь!). Круговая порука работает пока работает. А как только по первому звонку сдают стрелочника — все начинают работать строго по инструкции и гори оно все огнем. Тот же Роскомнадзор, почему-то так ругаемый местным сообществом (ха, нашли виноватых! ну ничего, царю петицию напишем, царь все поправит) действует в строгом соответствии с законами.
                                                                                                                      • +7
                                                                                                                        Тот же Роскомнадзор,… действует в строгом соответствии с законами.
                                                                                                                        уже много-много раз объясняли, в т.ч прям тут выше/ниже — не в строгом, а вертит их как хочет. Запросто может только вчера включить в выгрузку сайт, заблокированный по суде в 2015-м году, запросто может исключить, запросто может заблокировать подсеть не относящуюся к блокируемому никак.совсем, запросто может заблокировать домен, хотя в постановлении суда сказано об одной конкретной http странице и т.п.
                                                                                                                        И ведёт он себя так, поскольку видимо имеет карт-бланш на такое поведение, а у нас в стране немногие могут такие карт-бланши раздавать.
                                                                                                                        • +1
                                                                                                                          наконец то вы стали что то подозревать:)
                                                                                                                    • +4
                                                                                                                      Яровая не читатель, Яровая писатель! Им все до лампочки.
                                                                                                                      • +2
                                                                                                                        наглядно об уровне осведомленности законогенераторов:
                                                                                                                        www.youtube.com/watch?v=_Beesfhttpc
                                                                                                                        • +1

                                                                                                                          Даже сокращенная ссылка намекает: пчелы против медаинтернета.

                                                                                                                          • 0
                                                                                                                            И против шифрования! Bees f httpc

                                                                                                                            Разве что ошибка допущена https

                                                                                                                            Забавно что иногда рэндом выдать может.
                                                                                                                      • 0
                                                                                                                        У провайдера появится пункт в соглашении, где тебя обяжут установить их сертификат. И неважно, что ты физически не сможешь установить его на весь зоопарк оборудования, что лезет в сеть, установи и всё.
                                                                                                                        • 0
                                                                                                                          Как подумаю про IoT — дурно становится… холодильник, утюг, лампочка в туалете…