Алгоритм тестирования


Факты, потом предыстория. Тестирование проходило на пяти идентичных виртуальных машинах:
  • Первая — YandexDNS с семейной, т.е. максимальной фильтрацией;
  • Вторая — SkyDNS в тестовом режиме с настройками по умолчанию;
  • Третья — SkyDNS в тестовом режиме с настройками, рекомендованными для школ;
  • Четвертая — DansGuardian + SquidGuard с опцией SafeSearch, которые были настроены 2 года назад и в которые периодически докидывался федеральный список запрещенных материалов;
  • Пятая — референсная машина, на которой проверялся, существует ли доступ к информации напрямую через провайдера.


Сразу замечу, что SquidGuard во время тестирования не сработал ни разу, так что его наличие ни на что не повлияло.

Поскольку далеко не для каждого пункта федерального списка можно придумать способ проверки, да и вообще иногда трудно понять, что там написано, алгоритм тестирования по нему был следующий:
1. Ткнув в случайный пункт списка, идем по нему вниз, пока не найдем что-то, что можно попробовать найти в Интернете. Например, это может быть некий текст, электронная книга, URL, IP-адрес, видеоролик, музыкальная запись, которые можно так или иначе идентифицировать.
2. Пытаемся найти эту информацию через Google или безопасный поиск SkyDNS, если Google заблокирован.
3. Все, что находится на первых двух страницах выдачи, пытаемся открыть и смотрим результаты.

Федеральный список

Всего было проверено 30 случайных пунктов федерального списка. Результат:
12 пунктов заблокированы провайдером. Из оставшихся 18 пунктов:

  • YandexDNS заблокировал 2;
  • SkyDNS с настройками по умолчанию заблокировал 5;
  • SkyDNS с настройками для школ заблокировал 9;
  • DansGuardian заблокировал 13, если считать, что книгу на арабском мало кто сможет прочитать.

Реестр Роскомнадзора

Выбирались случайные пункты из тех, что внесли за последние три-четыре дня и на которые пустил провайдер. В результате из 15 проверочных пунктов заблокировано:

  • YandexDNS — 6;
  • SkyDNS с настройками по умолчанию — 12;
  • SkyDNS с настройками для школ — 13;
  • DansGuardian — 10.

Поиск в Google

Обычный поиск для школьного возраста: «Курительная смесь купить», «Порно скачать бесплатно» и то же самое в нескольких вариантах написания. Результат по первым страницам результатов поисковой выдачи:

  • YandexDNS позволил найти и зайти на 3 сайта с порнографией, 7 сайтов по продаже курительных смесей;
  • SkyDNS с настройками по умолчанию позволил посмотреть 7 сайтов с порнографией, 3 магазина с курительными смесями;
  • SkyDNS с настройками для школ позволил посмотреть 0 сайтов с порнографией, 0 магазинов с курительными смесями;
  • DansGuardian на порносайты не пустил, открыл один сайт с легкой эротикой и 2 магазина с курительными смесями.


Замечания по настройке SkyDNS

При настройках SkyDNS по умолчанию фильтруются: Федеральный список Минюста, наркотики, прокси, фишинг, сайты с вирусами, алкоголь и табак, порнография, сайты для взрослых и что-то там еще по-мелочи.
При настройках SkyDNS для школ фильтруется все, что было по умолчанию, плюс к фильтрации добавляются: радио и музыка, файловые архивы и p2p сети, фильмы и фото, развлечение, реклама, форумы, соцсети, новости и СМИ. Основная же фишка здесь, что блокируются все неизвестный SkyDNS сайты и используется безопасный поиск.
Поскольку SkyDNS в школьном режиме использует большую часть своего арсенала фальтрации, я, проводя тестирование, менял падежи, порядок слов и т.п., не меня смысл поискового запроса. Если на третьей-четвертой манипуляции мне не удавалось найти открывающихся сайтов, я засчитывал очко в пользу SkyDNS

Выводы

1. Что касается фильтрации, как и ожидалось, SkyDNS с настройками по умолчанию заборол семейный YandexDNS, но значительно проиграл DansGuardian в полевых условиях.
2. SkyDNS с настройками для школ сравнивать непросто, поскольку мы, фактически, получаем интернет по белому списку, т.е. все, что неизвестно SkyDNS будет блокироваться. При этом, результаты хорошие, но до DansGuardian при поиске конкретной информации все равно не дотягивают.
3. SkyDNS не является контент-фильтром, несмотря на заявление самой компании. В моем понимании контент-фильтр должен отслеживать содержимое страниц, а не адреса интернет-ресурсов.
4. Правильно настроенные и обновляемые DansGuardian+SquidGuard покажут результаты еще лучше, поскольку тот SquidGuard, который участвовал в тестировании, ничего не знает про Роскомнадзор и два года не обновлял черные списки.
5. Со всей собранной информацией меня ждут неплохие выходные.

Почему и для кого написано

В одно муниципальное учреждение, за которым я присматриваю, стали массово поступать письма от SkyDNS, в которых они напирали, что они — единственное решение для контент-фильтрации, что одобрены госорганами, что за смешные деньги, что Интернет после них чист, как снег в Альпах. Намекали, что проверка прокуратуры, услышав их название, сразу разворачивается и уходит в пыльные кабинеты пахнуть коньяком и плакать от бессилия. А тут еще начальник автоматизации, женщина со сложной судьбой, решила поддаться на уговоры и сменить работающий DansGuardian на этот волшебный SkyDNS. И я подумал: «А вдруг!?» Но нет, всё как ожидалось.

Уважаемые работники государственных учреждений, учителя информатики, другие администраторы поневоле и их руководители! Возможности SkyDNS ограничены технологией. SkyDNS НЕ фильтрует IP-адреса, не фильтрует по содержимому интернет-страниц, не фильтрует по типам и по названиям скачиваемых файлов. Это просто белый и черный список интернет-адресов, которые вы можете настраивать и использовать для ваших нужд. Если вас это устраивает, то все хорошо.

Однако, поскольку я был очевидцем проверки прокуратурой интернет-доступа к запрещенным материалам, общался с другими пострадавшими в других организациях, а также имел удовольствие беседовать с работниками прокуратуры и минюста, которые организуют и проводят эти проверки, могу вас заверить, что терминалы, блокирующие доступ по черным спискам SkyDNS, проверку прокуратуры не проходят, разве что вам повезет или у вас есть особые соглашение с проверяющими.

Прокуратуре фиолетово, что вы там себе поставили, с кем заключили договор. Они проверяют именно вас. Их задача получить доступ к материалам из федерального списка, и они обязательно его получат при некоторой настойчивости. Ваш единственный шанс пройти проверку — это всегда использовать белый список адресов или хотя бы успеть переключиться на него до того, как проверка начнется.

Появляется логичный вопрос — как можно требовать исполнения закона, который невозможно исполнить? К сожалению, для прокуратуры все просто: есть закон — надо выполнять. Не выполняете — наказываем. При этом все всё понимают и могут войти в положение, но предписание все равно будет.

Статья имеет практическую задачу показать эффективность разных способов фильтрации. Я с уважением отношусь к желанию людей заработать денег и обычно не мешаю их зарабатывать. Но в данном случае мне не нравится, что ребята из SkyDNS позиционируют себя как безальтернативное решение, ведут агрессивную рекламную компанию, используя административные государственные ресурсы и запугивание статьями уголовного кодекса, при этом не давая никакой, я повторюсь, НИКАКОЙ гарантии за результат и официально отказываясь от любой ответственности перед вами или прокуратурой за качество фильтрации, что и прописано у них в юридических документах.

Итого, простые рецепты по фильтрации

Если вы можете составить этот белый список сами и положить на прокси — SkyDNS вам не нужен.
Если вам нужен нормальный контент-фильтр, у вас есть руки и голова, которые могут его настроить (не обязательно ваши) — берите DansGuardian и занимайтесь.
Если рук или головы нет — ставьте SkyDNS или YandexDNS. SkyDNS, конечно, лучше и удобнее, но тут все зависит от бюджета.

На всякий случай — перечень запросов, которые я, в результате, использовал для поиска по федеральному списку: таблица Google spreadsheet

Update:

Первая редакция заметки была действительно некорректной, поскольку я проводил проверку, будучи уверенным, что проверяю SkyDNS со школьными настройками, в то время как добрые люди, уже сбросили настройки в состояние по умолчанию. После комментария от представителя SkyDNS я засомневался, убедился, что был не прав, и провел еще одно тестирование на еще одной виртуалке. Приношу извинения, и надеюсь, что все, кому этот материал был интересен посмотрят на обновленные результаты.

Ощущения от SkyDNS на школьных настройках с работой через безопасный поиск и с блокировкой неизвестных доменов были более убедительные и я готов подтвердить, что организация использующая этот вариант с большей вероятностью проверку пройдет, чем не пройдет. Есть одно «но» — как упомянули в комментариях hell0w0rd и Lerk, странно, что этот режим не стоит по умолчанию, поскольку, я уверен, многие конторы просто забудут его включить.

Было бы неправильным не упомянуть, что после окончания тестирования, у меня ушло около минуты, чтобы найти и проверить механизм обхода SkyDNS, не ставя дополнительных программ и не изменяя при этом настроек операционной системы или браузера. При этом, я не считаю себя сильно умнее грамотного школьника.

Также, я спросил у своих юристов, что они думают по поводу блокировки сайтов по белому списку, и получил несколько различных мнений, одно из которых, например, состоит в том, что Конституцию РФ еще никто пока не отменял, поэтому предоставлять доступ к одним сайтам и не предоставлять к другим, как это происходит в случае использования опции «блокировать неизвестные сайты» — это неплохой повод для судебного разбирательства.

Комментарии (14)


  1. TheRaven
    04.06.2015 13:57
    +3

    Спасибо за проверку, полезно.
    Следующим пунктом хотелось бы видеть заметку по настройке DansGuardian, если можно.


    1. tychh Автор
      04.06.2015 15:16
      +3

      Скажу честно, я не являюсь адептом DansGuardian — ставил и настраивал его всего дважды, на голый Linux и pfSense, и делал это на скорость. Поэтому понятия не имею, как это делается правильно. Но если общественность заинтересована, попробую восстановить в голове и выложить в меру подробную пошаговую инструкцию, как будет время.


  1. kinofob
    04.06.2015 16:55

    Отвечу по пунктам на данное «сравнение» от лица СкайДНС

    Сравнение сделано крайне некорректно, по ряду причин
    1. В частности Yandex.DNS нигде не декларирует что они фильтруют экстремистский или запрещенный единым реестром контент.
    2. Если вы хотели проверять SkyDNS в режиме блокировки от экстремистского контента, то следовало прочитать требования по настройке и настроить в соответствии с ними. Результат бы вас удивил. Вы же похоже следовали принципу, что инструкции читать не надо.
    3. Вы сравнивали разноплановые решения — контент-фильтрацы на базе DNS и контент-фильтр на базе полнотекстовой проверки страниц. Сравнивали бы с нашим решением с полнотекстовой проверкой страниц вопросов бы не было.
    4. Странно проверять блокировку страниц из единого реестра. Это по закону обязанность только операторов связи и только они имеют доступ к реестру (по закону, а не по факту) и мы также никому кроме провайдеров не предоставляем доступа к категории сайтов входящих в реестр.

    Что касается нашей «агрессивной» рекламы и безальтернативного утверждения о нас, как о единственном фильтре — то это ваши домыслы. В нашей рекламе такого в приведенных вами формулировках не встречается, также мы нигде не пишем что мы одобрены госорганами.
    И никогда мы не использовали админресурс для продвижения своих услуг. Достаточно того, что тысячи школ использующих нашу систему успешно проходят прокурорские проверки на протяжении многих лет.


    1. AEP
      04.06.2015 19:44

      Цитата из инструкции, стр. 4:

      Обязательно! Включите опцию «Блокировать неизвестные сайты» (в особых настройках на странице Фильтр), чтобы блокировать все сайты неизвестные для сервиса SkyDNS и не попасть на только появившийся сайт с неподходящим контентом.

      Обязательно! Включите опцию «Использовать безопасный поиск». В этом случае все запросы к поисковым системам будут перенаправляться на безопасный поиск SkyDNS – poisk.skydns.ru


      Собственно — как у автора вообще получилось поискать что-то в Google?


      1. Lerk
        04.06.2015 21:09
        +2

        Я когда вижу такие пункты, то возникает резонный вопрос: «Собственно, если это <<обязательно>>, то почему это не включено по умолчанию?»…

        PS. Стиль изложения автора поста гораздо больше располагает к нему, чем к «лицу скайднс».


        1. kinofob
          04.06.2015 22:16

          Все достаточно просто. Это обязательные требования для публичных зон школ и библиотек, которые подпадают под проверки, что и указано в инструкции, а для администрации там же это может быть слишком строгой фильтрацией и может быть отключено.


          1. hell0w0rd
            05.06.2015 01:02
            +1

            Так, а почему не наоборот? Почему у администрации нельзя просто отключить защиту, а во всех компьютерных классах оставить не тронутой, продукт же на школьников заточен, а не взрослых людей.


      1. tychh Автор
        05.06.2015 03:42

        Вы правы, а я был не прав. Посмотрите обновленный вариант статьи.


    1. tychh Автор
      05.06.2015 04:15

      Спасибо за почти официальный ответ. Вы во многом правы. Позвольте и мне ответить.
      1. Yandex.DNS действительно ничего не декларирует, но многие админы смотрят варианты и находят, если по памяти:

      • SkyDNS, который на подъеме;
      • Yandex.DNS, который не декларирует, но семейный;
      • DansGuardian, который давно не обновлялся, слегка кривоватый и требует некоторого времени на разобраться;
      • OpenDNS, который забугорный;
      • разные интегрированные решения со своими ограничениями;
      • всякие странные, малоизвестные или малопонятные решения, ориентированные, в основном, на зарубежных пользователей.

      Поэтому YandexDNS был включен в тестирование, раз его тоже будут рассматривать. Ну и полезно сравнить два DNS решения.
      2. Оба варианта настроек SkyDNS (по-умолчанию и для школ) включают галку «Федеральный список Минюста». Результаты — в заметке.
      3. Я с удовольствием сравню с вашим решением для полнотекстовой проверки страниц, но ни мне, ни другим моим знакомым его не предлагали, и я ничего о нем не слышал. Я сравнивал решения не по технологии, а по позиционированию рынке.
      4. Блокировка по реестру у вас очень хорошая и оперативная, насколько это возможно от DNS-сервиса. Чья именно это обязанность, прокуратуру чаще всего не колышет, насколько мне говорили. Но вы правы, проверять по этому реестру они будут, только если их чем-то огорчить.
      5. Более половины знакомых мне людей, которые принимали решение по SkyDNS, думают, что это государственная или аффилированная государством контора. Респект.
      6. Более половины знакомых мне людей, принимавших решение по SkyDNS получили бумагу сверху, что SkyDNS надо ставить, чтобы защититься прокуратуры.
      7. Предоставьте, пожалуйста, статистику по тем учреждениям, которые используют SkyDNS и не прошли прокурорские проверки. В соотношении с теми, кто прошел. У меня, по знакомым мне учреждениям, такая статистика есть.
      8. В юридических соглашениях, которые организации заключают с вами, можно понять, что вы не несете никакой отвественности за качество фильтрации и результаты проверок прокуратурой. Если я не прав и это не так, у меня есть некоторое количество знакомых, готовых получить компенсацию или хотя бы познакомить вас с местной прокуратурой.


      1. kinofob
        05.06.2015 09:30

        По статистике. С начала этого года у нас было только 6 претензий. Все оказались связаны с самодеятельностью учителя или администратора.
        Если ваши знакомые не прошли проверку прокуратуры и использовали наш школьный тариф, то пусть пишут на mail@skydns.ru, посмотрим, разберемся. Странно, что они не обратились сразу, поскольку мы всем оказываем юридическую поддержку и часто необоснованные претензии прокуратуры снимаются после нашего письма.


  1. drsmoll
    05.06.2015 09:56
    +1

    не от лица Rejector.ru, хотелось-бы и его рядом увидеть.


    1. tychh Автор
      05.06.2015 11:12

      Хорошо. Но тестирование и написание отнимает чудовищное для меня количество времени, так что это будет чуть позже.


  1. Ivan_83
    05.06.2015 10:31

    Пинайте производителя DPI Скат, может они продадут образовательным учреждениям со скидкой.

    А то что школы заставляют фильтровать а чёрные списки якобы не предоставляют это конечно феерично.


    1. tychh Автор
      05.06.2015 11:18

      DPI Скат, как и почти любой DPI с хорошими возможностями — это вещь :) Надо будет поинтересоваться ценой.