Несколько дней назад на Geektimes публиковалась информация о том, что механизм блокировки сайтов, разработанный Роскомнадзором, содержит уязвимость. Как оказалось, с ее помощью можно блокировать практически любые сайты в РФ, при условии, что это будет осуществляться владельцами доменов сайтов, внесенных Роскомнадзором в так называемый «черный список». Так, владелец заблокированного в РФ домена dymoff.space внес в DNS IP ряда сторонних ресурсов, что привело к ограничению доступа к ним (в частности, к сервису Telegram) для некоторых российских пользователей.
После того, как об этом стало известно, сотрудники Роскомнадзора попытались решить проблему, о чем сообщает автор Telegram-канала «IT уголовные дела СОРМ россиюшка» Владислав Здольников. Он заявил, что Роскомнадзор разослал российским провайдерам официальное письмо с белым списком сайтов, которые запрещено блокировать. Авторы письма ссылаются на пункт 5 статьи 46 федерального закона «О связи».
При помощи этого списка Роскомнадзор надеется решить проблему с блокировкой ни в чем не повинных сайтов, чьи IP были внесены в качестве «родных» владельцем dymoff.space. Сейчас аналогичные действия по изменению A-записей доменов заблокированных доменов начали совершать и владельцы других доменов.
Что касается белого списка, то в него внесено много всего интересного. Например, среди прочих адресов есть маска *.google.*. Если к любому домену, в том числе и заблокированному, добавить поддомен .google, то он блокироваться не будет, невзирая на то, что основной адрес внесен в «черный список». Более того, если создать A-запись google.any.tld, указывающую на любой заблокированный IP, то это позволит «разбанить» ранее внесенный в черный список домен.
Специалисты по ИТ считают действия Роскомнадзора и сам белый список непрофессиональным. Так, технический директор интернет-издания Meduza Самат Галимов назвал перечень Роскомнадзора «апогеем некомпетентности и безалаберности».
Сам «белый список» распространяется в виде .xlsx файла с именем «Список сетевых адресов». Файл содержит ручное форматирование, хотя список — технический.
Проблема усугубляется тем, что на 15 июня запланирована прямая линия по общению президента РФ Владимира Путина с гражданами страны. Чиновники опасаются, что злоумышленники могут использовать уязвимость в системе блокировки сайтов, разработанную Роскомнадзором, для нарушения нормальной работы каналов связи с президентом. Пытаясь избежать этого, ведомство отдельным письмом провайдерам предупредило их о необходимости обеспечить бесперебойную работу этих каналов.
Сейчас еще стало известно, что из-за проблем с блокировкой Роскомнадзора в РФ оказались заблокированы некоторые CDN, от которых зависит работа большинства сайтов. Например, в РФ ограничен доступ к code.jquery.com, который используют до 60% известных ресурсов.
Поделиться с друзьями
Spaceoddity
http://31.media.tumblr.com/17a99f84a2fcae86c2d242a27cfbb0ba/tumblr_mq6hzgGECi1rb1595o1_400.gif
CrazyRoot
Тогда уж с гранатой :)
TIgorA
http://i.imgur.com/FQekQRi.gif
brzsmg
Fagot63
Костыль на костыле и костылем погоняет.
Wesha
Вы неправильно написали слово "дебил".
Fagot63
Если написать правильно, тогда возможна статья. А тут лучше перебдеть.
ivan386
Какая? Не обоснованно резкая критика РКН? Оскорбление чувств верующих в эффективность цензуры?
Pakos
Похоже, инвалиду уже дали костылей — ТТК, google.* не работает (ни .ru, ни .com), вчера facebook не открывался (по isup.me все живы).
SHOL
Подтверждаю
Varkus
Им просто снова денег не хватает на компетентность.
Но они «держутся» как могут.
ivan386
Им нужно больше штрафов чтоб ведомство себя окупало.
ivan386
Теперь сайты из белого списка могут разблокировать сайты из чёрного. А с помошью *.google.* можно будет самостоятельно разблокироваться.
roboq6
Теперь все убедятся что Google это корпорация добра =)
hyperwolf
GOOGLE — новый чит на бессмертие, пришедший на замену IDDQD.
roboq6
Вернее на бесблочие
shadovv76
напоминает сотовых операторов: заплати за определитель номера, а антиопределитель номера чуть дороже, ну а антиантиопределитель только у органов
KorDen32
А разве при межоператорской передаче вызова реальный номер не подставляется в какое-то поле? Т.е. да, в основном идет «A», но технически номер все равно передается. Некоторые вроде бы даже «определитель умышленно скрытых номеров» предлагают в качестве услуги.
shadovv76
я имел ввиду не техническую сторону вопроса, а игру в кошки мышки — кто больше платит у того и услуга, взаимоотменяющая круче.
KorDen32
Так я к тому, что даже антиантиопределитель есть в качестве услуги у некоторых операторов :)
Shvedov
Там было всё намного интересней, была «фича», в детальке все номера были…
Cryvage
Как-то раз был случай, звонил много раз подряд с одного своего телефона на другой, и сбрасывал (не помню уже зачем, нужно было что-то проверить). И тут на каждый из телефонов, одновременно приходят СМСки от мегафона. В одной предлагалась услуга «Черный список», в другой — «Анти-определитель номера». Даже не догадались проверить, что обе симки принадлежат одному владельцу.
Fagot63
Это ж бот рассылает когда видит определенное сочетание условий.
Cryvage
Ну понятно что бот. Я как раз и имел в виду, что одним из условий должно быть «SimCard1.owner != SimCard2.owner». Впрочем, боты тоже имеют право на чувство юмора.
maa_boo
> Специалисты по ИТ считают действия Роскомнадзора и сам белый список непрофессиональным
То есть не имеющими права на существование, а именно непрофессиональными? Тогда получите тот Роскомнадзор, который заслуживаете.
> в системе блокировки сайтов, разработанную Роскомнадзором
Так для того и создавалась эта система, чтобы нарушать работу интернета. А потом ещё жалуются.
roboq6
Одно другое не исключает.
Я надеюсь что это была ирония
rPman
По мне так констатация факта. Интернет — как инструмент свободного общения и обмена информации этой кучке преступников у власти — не нужен, вот они и нарушают его работу как могут.
dartraiden
На Роеме представитель одного из провайдеров занимает позицию «мы исполняем приказ, зарабатываем деньги, а на остальное наплевать».
zuwr2t
Если не будут блочить то суд — штраф — отзыв лицензии. У провайдеров выбор либо блочить, либо прекращать деятельность.
webkumo
А что с белыми списками? Могут игнорить?
zuwr2t
О них в законе ни слова и можно получить не заблочив что-нибудь из него.
mammuthus
Если с точки зрения юриспруденции, то подобные рекомендации никакого юридического веса не имеют.
Формальный повод для отзыва лицензии всегда найдут, если понадобится.
buggykey
Как систему разработали — такие и блокировки…
В моем понимании, интернет сделан, чтобы работать, а не чтобы блокировать, поэтому без реальных, серьезных усилий грамотных людей, у них с этими блокировками ничего не получится. А поскольку серьезный DPI — недостижимая роскошь для нашей власти, ждем введения ответственности за обход блокировок.
mironoffe
Знаменитая фраза Лаврова как никогда актуальна...
roboq6
Что за фраза?
ivan386
Наверно эта:
begemot_sun
А расшифровку можно? а то я по губам читать не умею.
PS. Сделал помедленнее, понял :)
dadyjo
Бюджет РКН (3 тыс сотрудников) примерно 10 млрд в год.
Столько же за обслуживание Платона уходит.
PlayTime
Сейчас из РКН почитают коменты и вынесут все выявленые недостатки себе в блокнотик. Потом блокнотик отнесут в технический отдел и попросят убрать выявленые недостатки :)
rPman
думаю после пары тройки итераций специалисты на хабре перестанут им помогать :)
Kitsok
Вы слишком хорошо о них думаете, на мой взгляд
zuwr2t
Этот баг блокировок обсуждался на хабре еще до принятия закона о блокировках и упоминался при каждом обсуждении. Кроме того эффективная блокировка без вреда для легального бизнеса просто невозможна.
vanAken
А тех. отдел пойдёт на тостер просить помощи с реализацией.
SchmeL
Ну а после — хоть потоп, главное свои задницы прикрыть.
Так же как и с асфальтом, зелеными дорожками, закрашенными заборами и тп. Когда к нам в город последний раз президент приезжал — за пару дней, по всему пути следования кортежа — асфальт клали прямо в лужи, что с ним стало через пару недель представляют все…
servermen
А так хороший списочек, для разных DDoSеров, они там сварганили.
mxms
Хэш-тег #fuckrkn ещё никогда не имел столь глубокого смысла.
tangro
"*.kremlin.ru, *.yandex.ru" — а какую-то неделю назад эти же люди убеждали Украину, что Яндекс — компания исключительно голландская и ни разу данные в фсб не сливает. Ну-ну.
dimm_ddr
Им необязательно сливать данные чтобы попасть в этот список, достаточно просто быть настолько крупными, чтобы их блокировка получила общественный резонанс. Одно дело цапаться с гиками и ИТшниками, другое — когда полстраны видит чем плохи блокировки. Во втором случае чьи-то головы полетят почти наверняка.
ankh1989
Ну видят и дальше что? Дело не в этом, скорее всего.
roboq6
Ну Яндекс довольно популярная в РФ поисковая система, поэтому он мог попасть в белый список с остальными популярными сайтами. Государственные сайты это уже отдельная история
neochapay
*.instagram.com вас не смущает да?
plin2s
А что должно смущать? Блокировка подобных ресурсов вызовет реальную волну недовольства в отличае от незначительного количества пользователей пары торрент-трекеров и подобных ресурсов. Или вы все еще считаете это борьбой с "экстримизмом и пиратством"?
ankh1989
Волну недовольства кого? Тех кто постит фотки еды и котиков? Более веротяная причина в том, что кто то наверху постит фото своих яхт в инстаграм.
Pakos
Должно смущать гражданина tango, который считает что в белый список внесены не популярные ресурсы, а подконтрольные ФСБ.
neochapay
Спасибо что разъясили за меня.
VJean
ну эти точно сливают:
a.dns.ripn.net 193.232.128.6
b.dns.ripn.net 194.85.252.62
d.dns.ripn.net 194.190.124.17
e.dns.ripn.net 193.232.142.17
f.dns.ripn.net 193.232.156.17
a.root-servers.net 198.41.0.4
b.root-servers.net 192.228.79.201
c.root-servers.net 192.33.4.12
d.root-servers.net 199.7.91.13
e.root-servers.net 192.203.230.10
f.root-servers.net 192.5.5.241
g.root-servers.net 192.112.36.4
h.root-servers.net 128.63.2.53
i.root-servers.net 192.36.148.17
j.root-servers.net 192.58.128.30
k.root-servers.net 193.0.14.129
l.root-servers.net 199.7.83.42
m.root-servers.net 202.12.27.33
PS. Интересный список: указан "*.gov.ru", но при этом в том же в списке 184 домена 3 и 4 уровней для ".gov.ru", но отсутствует data.gov.ru.
По открытым данным только два домена: data.mos.ru, opendata.ru. Последний вообще не работает.
Pakos
google — проект Кремля? Им-то тоже место в белых списках нашлось.
dimm_ddr
Конечно. Если вы вспомните, то один из основателей родился в Москве. В 5 лет, когда семья переезжала его разум был еще юн и слаб, поэтому доблестным спецслужбам удалось его завербовать. Такая вот многоходовочка. Странно что никто до сих пор этого не осознал. Или мне теперь надо опасаться за свою жизнь? Ой.
Нет я не всерьез конечно.
IvanTamerlan
Т.е. ваше утверждение касается всех сайтов из списка? Тогда я не заметил, чтобы Google перестала быть исключительно американской:
В 2003 году компания переехала в свою штаб-квартиру в Маунтин-Вью (штат Калифорния).
impetus
Ну, собственно вот и всё — белые списки.
Да не какие-то там «разрешённые», а «обязательные».
Додавить остальных уже дело времени…
«получилось как всегда», впрочем к этому давно шло и обманываться было глупо…
alsii
Угу. Появление "белого списка" по сути означает, что все остально не так уж и нужно, а значит может быть отключено без существенного ущерба. В случае необходимости. Такой вот план действий в чрезвычайной ситуации.
zIs
А зачем вообще придумали блокировать по IP (даже если предположить, что сама по себе идея блокировки имеет право быть, и блокируют только детскую порнографию)?
По-моему, надо блокировать строго домены или урлы, а IP только в крайнем случае…
zIs
ааа, наверно, потому, что при блокировке только домена сайт будет доступен по IP…
buglife
Не совсем. Он будет доступен по https://
ankh1989
Разве при https соединении не видно на какой домен оно идёт?
sumanai
Домен видно, но вопрос то о страницах.
ivan386
IP нужен для первичной выборки трафика на проверку из общего потока. Если провайдер не в состоянии этот трафик обработать(определить домен или URL) он его просто блокирует чтобы штрафов не отхватить. А трафик может быть шифрованный и в лучшем случае можно определить домен к которому обращаются по SNI при помощи DPI. DPI дорогой и медленный.
buglife
расскажите мне про DPI для https:// без подмены сертификатов.
Fedcomp
вам же написали про SNI
NaHCO3
Ну как, сторонники «моя хата с краю, технически грамотный человек обойдёт все блокировки», выкусили белого списка? Что теперь будете петь?
ivan386
Будем интернет в P2P затягивать.
NaHCO3
У вас заблочат все IP кроме белого списка. Какой тут P2P.
ivan386
Локальная сеть то будет работать.
sumanai
Под угрозой срока. Эти локалки давно строятся на сетях провайдеров, которые тут же прикроют P2P обмен, как выйдет такой указ.
ivan386
Ну будем строить свои локальные сети. Вспомним флопинет.
sumanai
Под угрозой срока? 10 лет за незаконный обмен TCP пакетами, 25 за предоставление нелицензионных хостинговых услуг.
ivan386
Ну это ни в какие ворота. Ещё небось и разговаривать людям запретят?
Kitsok
Вы пропустили. Это уже.
ivan386
Где? Как? Дайте ссылки на законы.
Kitsok
Давайте я дам Вам ссылку на Конституцию, и Вы сами поищете законы, подзаконные акты и правоприменительную практику в судах, прямо (буквально) ей противоречащие, ок? Ссылка нужна?
ivan386
На конституцию у меня есть.
lomalkin
Интересно, этот сайт тоже скоро заблокируют, чтобы не ссылались лишний раз?
ivan386
Есть ещё constitution.kremlin.ru. Его уже никак нельзя заблокировать.
Pakos
https://rkn.gov.ru/communication/license/
ivan386
И к чему это? Вы хоть процетируйте что хотели показать.
Pakos
К тому что все эти "домовые сетки" уже незаконны.
ivan386
Да с чего это? Мне для того чтоб с соседом пакетами обмениваться по проводам лицензии не нужны. Некоторые НКО вообще организуют. Связь возможна не только по радио. WiFi домашний лицензировать не надо.
ClearAirTurbulence
Пока не нужны. И то не факт. Формулировок типа «организатор коммуникаций» и т.п. в разных нормативных актов полно, нужно будет — натянут сову на глобус.
Сделают реестр для НКО с сетками, сделают обязательным лицензирование для них, добавят обязательную отчетность по пользователям.
Всё решаемо.
Это пока. И вообще, лицензия — только один рычаг. Tor exit ноды тоже лицензировать не нужно, а сажать за них вполне себе сажают.
ivan386
Если вы про это «Узник Тора» то там не за саму exit ноду а действия с неё. И то эти действия пытаются пришить хозяину.
ClearAirTurbulence
Так и вас посадят не за вай-фай-ноду p2p сети, а за «действия с ней». И попытаются лично вам их пришить.
ivan386
Всё на том и стоит: «Был бы человек а статья найдётся»©кто-то. Это запугивание. Как раз то с чем они «борятся». И не надо ему потакать. Менеджеры взбунтовались против руководства.
Metallikus
И по эти «законам» уже привлекали и за «Слава Богу», сказанное в микрофон, и за «Боха нет», написанное вконтакте. Итого: религиозное разговоры уже под запретом.
С политическими разговорами почти то же самое: стоит лишь выразить мысль типа: «А вдруг все цивилизованные страны мира правы и Крым нами всё-таки оккупирован», — и ты уже экстремист, так как на территориальную целостность покусился.
Это айтишники почти не пострадали, так как до сих пор можно обсудить какая ОС и какой ЯП круче. Но о чём осталось говорить обычным людям, если не о политике и религии? О погоде?
menraen
Ещё скажите Шекспира цитировать!
PoliTeX
Это еще не белые, а какие-то «отбеливающие».
plin2s
Радиорелейки через границу и p2p внутри страны
ClearAirTurbulence
http://craphound.com/unwirer/
buglife
ipv6 блочат?
а зону .onion?
ivan386
А как провайдеры .onion то блокировать будут?
Bonio
Блокировкой всех входных узлов сети Tor, некоторые так уже даже делают.
Kitsok
Не влезает 128 бит в их кору (и древесину) головного мозга, слава Гейзенбергу
Doctor5772
Про IPv6 толком не понятно, но исходя из своего опыта могу сказать, что доступ к тому же nnm-club через него не работает, выдаёт заглушку. DNS прописан от Google, разумеется.
ivan386
А проверьте что вам «гугол» выдаёт.
nslookup nnm-club 8.8.8.8
Не IP ли там заглушки? Некоторые провайдеры перехватывают DNS запросы и подсовывают адрес заглушки.
Если у вас 6to4 то у него приоритет ниже и используется ipv4.
Bonio
Подтверждаю на счет перехвата dns, мой провайдер так делает, причем независимо от того, к какому серверу я обращаюсь. Видимо, все запросы на 53 порт проксируются и прослушиваются, заблокированные домены подменяются.
Это лечится dnscrypt`ом или заворачиванием dns запросов через vpn туннель. С dnscrypt крайне рекомендую разобраться в любом случае, очень актуальная вещь в нынешних условиях, настроил у себя на роутере и теперь провайдер не может подменять запросы.
nnm-club через ipv6 отлично работает, не далее, как вчера, я как раз настроил себе туннель. Захожу по ipv6.nnm-club.me.
Doctor5772
Каюсь, несколько ошибся с вводной информацией. На дом.ру перехвата dns не наблюдается, это у МТС происходит, DNS crypt помогает.
http://ipv6.nnm-club.me/ работает, заглушек нет, ну и DNS IPv4 + IPv6 от Google.
ideological
Так, а как добавить свой сайт в «белый список»? :)
Или это только «для избранных»? Или временная мера, пока они не найдут решение, которое позволит «сохранить лицо»?
Aingis
Никак, это инициатива чиновников, которая ни на чём не основана кроме самодурости. В законе такого обоснования нет (а вот новое оборудование для мониторинга быстро оштрафует, если откроется что-то из списка, потому провайдеры вынуждены блокировать).
ideological
Я всё таки надеюсь, что кто-нибудь засудит этих чиновников за ошибочную блокировку, с компенсацией всех потерь. Такой прецедент был бы для всего сообщества глотком надежды на адекватность.
Stalker_RED
Адекватность, ага.
Похоже, чтобы засудить чиновников, нужно самому быть чиновником, или иметь дядю/брата/свата в ФСБ, каком-нибудь.
А у обычных граждан, нередко происходит как-то так: https://copypaste.d3.ru/a-nas-to-za-chto-1387526/
Или вот, несколько лет уже длится бомбардировка разных инстанций письмами с вопросами и заявлениями о нарушении законов. Результаты так себе, но чтиво увлекательное.
impetus
Ключевое слово «кто-нибудь»?
Засудят. Когда наберётся хотя бы пара сотен тысяч, которые решат что этот «кто-нибудь» — это он, лично, сам, и да понимает и принимает риск быть в процессе… в общем не дожить…
Самое смешное, что в таких процессах численность с "-надцатого" десятка тысяч до миллиона вырастает обычно очень быстро, буквально скачом… и, похоже, эти ребята о реальной численности недовольных догадываются поточнее нашего…
pnetmon
Ой проблему сделали, такой сайт один. Добавять .ru и .com, делов то.
Зато сейчас люди набросают предложений.
А вот файлик интересный
Там несоответствие отображаемому на экране в сдвоенной ячейке
Видно что mid.ru шифруется, хотя потом mid.ru отображается в строке 202
Фраза Лаврова очень кстати.....
ivan386
А потом штрафовать будут за то что заблокировали скрытые ресурсы.
GeckoPelt
Сайт Законодательного Собрания Пермского Края имеет феерическое доменное имя
ivan386
Провайдерам нужно разделиться на две компании. Одна будет предоставлять локальную сеть без выхода в интернет а вторая интернет по VPN. Первая не будет обязана трафик фильтровать поскольку не предоставляет выход в интернет. Вторая будет более мобильна и сможет предоставлять свои услуги абонентам других локальных сетей по VPN.
ideological
Подобные обходы законов много где можно придумать. И это по сути правильно. Только, в реале наверняка придут ФСБ и прикроют это :(
ivan386
А на каком основании?
dimm_ddr
А им нужно реальное основание? На каком основании тогда выпустили данный список?
ivan386
Да. Это исполнительный орган власти. Они подчиняются закону и просто так зайти и прикрыть не могут. Нужны законные основания.
coraku
Ну и скажут вам что на основании закона о противодействию экстремизьму, терорризьму и экзистенцианализьму. А не согласны — в суд идите.
А уж если уж совсем край — ну примут еще один закон, сложно чтоль. Вместе с презумцией законности всех действий власти.
dadyjo
А в суде пыль глотать замучаетесь, это все знают, так как по телевизору говорили.
coraku
Да не обязательно. Может и повезет, и через два года, после аппеляций и кассаций, прикажут разблокировать.
Все равно подавляющее большинство максимизирует свою полезность, воевать с государством на его поле, при подавляющей поддержке населения, которому все эти блокировки побоку — не особо интересно. Кому свобода настолько критична, чтобы пыль глотать, проще или ВПН настроить, или уехать.
Pakos
Было бы кого, а основание найдётся. пару лет назад (это не 90е) почти прикрыли одного нашего провайдера на основании их игр в финансовых воротил, результат — клиенты побежали, т.к. вывезли даже их сервера с хостинга(а они там вообще ни при чём), а всякие DC++ и халявное IPTV в браузере так и не вернулось. Вроде. хорошо закончилось, но повторения никто не хочет.
Так что "проверка фактов чегонибудь" и "делай с ним что хош".
vvatest
Есть правила оказания различных услуг связи и организации сетей связи. Нельзя сделать сеть так, как вам хочется. Если правилам не соответствует — эксплуатировать в коммерческом режиме сеть нельзя и все.
ivan386
Есть НКО. Потом локальная сеть может быть частной и принадлежать жителям дома. Есть множество вариантов. Провайдеры могут оказывать услуги по прокладке и облуживанию сети. Я думаю можно придумать систему противодействия монополии и цензуре.
Scarred
Государство может менять правила игры на ходу. Поэтому все варианты обхода законов временные.
Сделаете локальную домовую сеть — да фиг с вами, играйтесь. Объедините несколько таких сетей — заставят стать провайдером или закроют. Сеть или Вас — тут как повезет…
Невозможно техническим способом решить политическую проблему. Все технические варианты обхода при наборе определенной популярности будут блокировать принятием новых законов, регламентов и т.п… :(
Bonio
Весь их список в екселе — образец глупости и некомпетентности, просто апогей некомпетентности, страшно даже подумать, кто там всем этим занимается. И эти люди пытаются нам указывать, что нам делать можно, а что нельзя, что смотреть можно, а что нет.
Список больше, чем из двух тысяч составленный вручную и для ручного же разбора?
Я вот смотрю на этот список и думаю, почему корневые dns не все? Вглядитесь в скриншот ниже внимательнее, в 300 строке записано b.root-servers.net, а дальше идет сразу d.root-servers.net, но, внезапно, в 301 строке есть запись с.root-servers.net.
Я уже молчу про то, что в начале url записаны в виде в виде шаблона для всех поддоменов, вроде *.mail.ru, а в конце идут сотни доменов третьего уровня на одном и том же домене второго уровня.
VJean
Вообще-то все. Выделяем все столбцы и отключаем слияние ячеек.
Скорее всего файл кривой.
Bonio
Как и вся структура под названием «роскомпозор».
baadf00d
Это какой-то позор… Теперь сдать назад и взять на себя резовлв доменов с регулярной проверкой контента при смене ип ркн вряд ли решится — это ж придется признать свою некомпетентность.
Вопрос к знающим людям: как устроен АПИ рассылки обновлений списка РКН? Наверняка же у существующих подобных сервисов типа google safe browsing был существенный недостаток и они сделали что-то свое.
Cryvage
Почтой России рассылают распечатанный экселевский документ.
den_golub
Который сначала скопировали в ворд, как картинку)
wtigga
Теперь у нас не только страна и экономика в «ручном» режиме, но и интернет? Здорово как.
brzsmg
Похоже скоро регистрация домена превратиться бюрократию. Только представьте:
1. Регистрируем домен.
2. Цензуросмотр содержимого сайта для домена, с кучей счетчиков и скриптов от РКН.
2. Получаем справку, что домен не в черном списке.
3. С предыдущими двумя документами, ставим домен на учет.
4. При желании заносим в белый список, за N-ую сумму.
5. Пользуемся.
Noeren
… Вас периодически произвольно закидывают в чёрный список. Причин не объясняют, о самом факте не сообщают, долго не верят, когда их ткнёшь носом, пока не придёшь судится. Если, по недосмотру, суд не купленный, исключение вашего домена из черного списка будут растягивать настолько, насколько это вообще возможно и немного сверху, пока вы второй раз в суд не пойдете. И только тогда вас возможно из него исключат. А в следующий раз, когда вы там окажетесь, вам ненавязчиво намекнут, что за скромную сумму вам могут посодействовать в более скором разрешении этого досадного недосмотра.
lomalkin
В Китае кстати, примерно так и есть. И это нифига не смешно. =(
Lsh
Так придут к тому, чтобы файлик hosts рассылать. =)
brzsmg
Бумажной почтой
Lsh
Голубиной!
— Что это у нас по всему офису на***но?
— Это обновления из Роскомнадзора пришли.
voyager-1
Могу предложить воспользоваться стандартом RFC 1149 — он открыт, точно разработан — не в ЦРУ, не может быть перехвачен никакими средствами радиоэлектронной разведки, а главное: в принципе — не взламываем хакерами. Одни плюсы!)
Daniil1979
Поправьте меня, если я ошибаюсь, но если:
1) обзавестись собственным vds-серваком у заграничного провайдера с статичным ip-адресом;
2) купить доменное имя из заблокированных в России (не из российских доменных зон, чтобы не палиться);
3) поставить соответствие между ip-адресом vds из пункта 1 и доменом из пункта 2;
4) поднять на vds из пункта 1 dns-сервер;
5) сделать кучу tracert-ов к разным сайтам России и получить в ходе процесса инфу об ip и доменных именах провайдеров России, а заодно и точки обмена M9;
6) внести полученные в пункте 5 ip-адреса и домены в какие-то загадочные A-записи созданного в пункте 4 dns-сервера на арендованном в пункте 1 vds, то в итоге Рунет накроется медным тазом?
Отдельный вопрос — как можно будет белый список обходить? Или уже никак, только валить из страны?
Vindicar
Скорее всего, белый список будут полировать некоторое время, пока не внесут важнейшие (с их точки зрения) ресурсы, а потом на этом остановятся. Это же типичный склад ума российского чиновника — "нельзя, но важным людям(тм) можно".
Остальному Рунету придется несладко, но на все вопросы РКН будет отвечать в духе "Проблемы? Какие проблемы? Вконтактик работает, яндекс работает, а за остальные сайты мы не отвечаем. И вообще, зачем тебе это? Ты случаем не террорист-наркоман-педофил?"
Daniil1979
Мне вот что интересно, какой список будет иметь приоритет — белый или чёрный?
В безопасности баз данных приоритет у запрета над разрешением, а здесь?
Norno
У белого списка выше. Он же не доп. условие к механизму блокировки, явное исключение из него: блокируйте то что вам сказали, но вот это не трогайте.
cpcat
В сетевой безопасности принят приоритет последнего подходящего правила из списка, а самым нижним стоит «запретить всё».
Scarred
Может первого подходящего?
cpcat
Да, есть и такие реализации. Например, у Check Point.
На самом деле я ошибся, что «deny all» внизу, он должен стоять вверху, либо задан по умолчанию в системных настройках, так как я в тот момент думал о pf — в его схеме пакет тестируется по всем правилам (кроме тех, что с пометкой quick), и работает последнее совпавшее.
UnknownQq
Тот момент, когда тебе стыдно за «отечественные органы IT безопасности».
Расстрелять, тех, кто проверял их профпригодность.
ankh1989
Возможно их стоить представить к награде: может они внедрились в РКН и занимаются саботажем.
Fagot63
Это РКН занимается саботажем интернета, а «они» мужественно ему противостоят. :)
Thero
говорят там есть исключение для *google* с которым становится нельзя заблокировать google.actually.blocked.site
Furriest
Коллеги, нужно разделять законодательство и всяческие «рекомендации».
По закону операторы связи обязаны блокировать то, что внесено в соответствующий список, выгружаемый с сайта реестра. Если оператор связи делает именно так — то никаких проблем с описанной атакой нет.
Другое дело, что в какой-то момент в РКН узнали, что всех IP в список не написать, и начали генерировать бредовые «рекомендации», что, мол, оператор должен самостоятельно резолвить доменное имя в текущий IP и блокировать доступ и до этого IP тоже. Этот документ никаким законным статусом не обладает, к исполнению не обязателен и в случае судебного разбирательства ссылка на него будет ничтожной. Поэтому те, кто повелся на его исполнение, рискуют собственной головой самостоятельно. И вот у них-то как раз описанная атака встает в полный рост.
Соответственно, и «рекомендации» с белым списком никакого законного статуса не имеют.
Разумные операторы выполняют требования закона, а не РКН. Поэтому блокируют доступ только до тех IP, которые указаны в списке.
wtigga
Телефонное право. Требование незаконное, а не выполните — лишим лицензии за какой-нибудь другой проступок, с этим не связанный. Как будто у нас в стране верховенство закона, ей богу.
ivan386
Для этого надо иметь штатного юриста который будет следить чтоб не прикопаться было. А если прикопаются судиться.
wtigga
… а суд такой, «в вызове свидетелей отказать, в приобщении экспертиз отказать, признать виновным». Дальше что? :-) Административно-политическое давление законными методами не побороть.
Aingis
А дальше апелляции. В Верховном суде, глядишь, такое уже не прокатит.
alsii
"Решение суда отменить и отправить иск на новое рассмотрение в том же составе суда". После чего итерация повторяется. Юристы работают, судьи работают, госпошлины плятятся. Все при деле?
Aingis
Вы не знаете что делать при неисполнении решения суда? Обратитесь к юристам за консультацией.
alsii
А где тут неисполнение? Все строго по закону.
Furriest
Ну мы взвесили риски в обоих случаях и всё-таки выполняем требования закона, а не рекомендаций.
wtigga
Принцип неуловимого Джо к значимым провайдерам не применим, к магистральным и подавно.
Furriest
Значимого и, тем более, магистрального провайдера лицензии «по телефонному праву» не лишат. Вы смешиваете два разных кейса.
Хотя, конечно, поделитесь определением «значимости» провайдера — будем посмотреть внимательнее.
tyamgin
Думаю, выполнение рекомендаций в интересах провайдера. Иначе его могут задолбать пользователи «пачему у меня не работает вконтактик!!!».
ivan386
В коменте выше предлагается игнорировать все «рекомендации» РКН которые не подкреплены законом. В том числе и те которые приводят к не работающему контактику.
zuwr2t
Так то проверяется доступность сайта/страницы и штраф если они доступны (не важно под каким IP).
cpcat
А что если владелец запрещённого сайта добавит себе IP сайта из белого списка, который совершенно случайно отдаёт код 200 на абсолютно любой запрос?
Furriest
Кстати, что характерно, в последнем паническом письме РКН, которое было разослано в субботу, так и написано «никаких больше рекомендаций, фильтруйте по закону и только для IP из списка».
Ощущаю себя Семёновым из рассказа Жванецкого «Куда толкать?» :)
tyamgin
del
koot
В Госдуму внесен законопроект о запрете технологий для просмотра заблокированных сайтов
Одновременно разработчики предлагают возложить на операторов поисковых систем в интернете «обязанность прекращать на территории России выдачу ссылок на заблокированные в России информационные ресурсы».
При этом сложившаяся с 2012 года практика применения меры выявила «недостаточную эффективность блокировок — полностью достичь целей не удается», констатируют парламентарии.
По их словам, это обусловлено, в частности, возможностью «обнаружить ссылки на заблокированные ресурсы в результатах поисковых выдач поисковых систем», а также «возможностью использовать технологии, позволяющие получить доступ к заблокированным информационным ресурсам».
Так, сейчас на операторов интернет-поисковиков не возложена обязанность прекращать выдачу ссылок на заблокированные сайты.
«С целью получения доступа к заблокированным информационным ресурсам используются технологии, которые направляют трафик российских интернет-пользователей через зарубежные серверы, анонимные прокси-серверы, виртуальные частные сети и прочее», — говорится в пояснительной записке.
TACC
ivan386
Уже есть: «В Думу внесли законопроект о запрете анонимайзеров и сервисов VPN»
KoToSveen
Xcomp
and 0.0.0.0