Comments 245
«Ревизор» ничего не блокирует, он проверяет факт блокировки.
У операторов стоят системы фильтрации трафика.
Именно эти системы отрезолвили сайт ww21.leonbet.me в IP-адреса ivi и перекрыли к ним доступ.
Для тех кто сомневается — контрольный вопрос:
«Если бы «Ревизор» в момент атаки ww21.leonbet.me на ivi был выключен — ivi бы постадал?»
P.S. Я вовсе не в восторге от «Ревизора», как системы, которую операторы должны поставить на свою сеть, тобы она ни их же и «стучала». Но это не отменяет того факта, что тиражируется явная нелепость.
Предлагаю вспомнить, как работает днс (предложение в отношении базовых вещей, кстати, достаточно дурное для it ресурса, не находите?).
Выполнение запросов по определенному URL с заданным IP-адресом (без разрешения доменного имени через DNS
Ревизор не блокирует. Но резолвы использует. И при прохождении запроса ISP получает штраф и по щщам за такое.
Заблокированный сайт меняет хостинг (или прописывает А/АААА) — и вот он, готовый нарушитель под штраф.
Какая-то проблема с оформлением текста — тег цитаты не ставится.
Или они сами поняли неэффективность такого метода (реестр забирают раз в сутки, а в DNS адрес можно менять намного чаще) и переложили весь головняк на провайдеров?
Но не понимаю, почему пишут что «Ревизор заблокировал ivi». Это как телега, стоящая впереди лошади. Еще до установки Ревизора провайдеры резолвили выгрузку и грузили в блокировкщики IP. И если уберут (гипотетически) Ревизор — все равно продолжат резолвить и продолжать грузить IP.
И если блокировщики кривые — не «понимают», что на IP-адресе, загруженном для блокирования может быть не только блокируемый но и легитимный контент — эти проблемы будут продолжаться.
/*мечтаю*/
Вот бы было хорошо: РКН взял бы на себя эту «почетную» обязанность и выдавал в выгрузке актуальный IP и только его надо было блокировать.
/*сталкиваюсь с суровой реальностью, мечты вдребезги*/
Эксель это неплохо весьма. Вот если бы картинка нарисованная в пейнте и вставленная в ворд...
Самый жёсткий в моей практике — это вручную переписанный на бумажку текст BSOD и отправленный по факсу (с соответствующим качеством), хотя поддержкой Windows мы не занимались (она у клиента вылетала часто и при вылете в нашей программе он решил что наконец есть кому рассказать о проблеме). Телефонов с камерами тогда у нас не было (времена 3310), иначе бы сфоткал, а факс висел на стене в отделе очень долго. Подозреваю что такой человек был не один в мире.
- Пуск->Выполнить->cmd
- tracert example.com
Вместо example.com имя нужного домена.
В ответе должны быть потери пакетов на Filter-gw.transtelecom.net (или подобном).
которые страдают из-за непродуманной системы блокировок.
Почему-бы не пользоваться словом, точнее отражающим суть и исторические параллели?
"которые страдают из-за непродуманной системы цензуры"
Жду продолжения. Тем более, что странные блокировки у ТТК продолжаются.
Вначале недели под раздачу попал сайт компании Elastic. Так как мы пользуемся ее ПО, то пришлось отправить запрос в тех.поддержку.
Опять похожая проблема. По http запрос проходит, а по https — нет
~$ wget http://www.elastic.co --2017-06-05 16:29:20-- http://www.elastic.co/ Распознаётся www.elastic.co (www.elastic.co)... 52.222.157.12, 52.222.157.185, 52.222.157.75, ... Подключение к www.elastic.co (www.elastic.co)|52.222.157.12|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 301 Moved Permanently Адрес: https://www.elastic.co/ [переход] --2017-06-05 16:29:21-- https://www.elastic.co/ Подключение к www.elastic.co (www.elastic.co)|52.222.157.12|:443... ошибка: Нет маршрута до узла.
Ответа до сих пор нет, но на следующий день блокировки уже не было.
А со вчерашнего вечера блокируется сайт
~$ wget meduza.io --2017-06-08 11:19:33-- http://meduza.io/ Распознаётся meduza.io (meduza.io)... 163.172.74.46, 163.172.73.23, 88.212.244.68, ... Подключение к meduza.io (meduza.io)|163.172.74.46|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 301 Moved Permanently Адрес: https://meduza.io/ [переход] --2017-06-08 11:19:34-- https://meduza.io/ Подключение к meduza.io (meduza.io)|163.172.74.46|:443... ошибка: Время ожидания соединения истекло. Подключение к meduza.io (meduza.io)|163.172.73.23|:443... ошибка: Время ожидания соединения истекло. Подключение к meduza.io (meduza.io)|88.212.244.68|:443... ошибка: Время ожидания соединения истекло. ...
Уже как минимум полмесяца заблокированы abuseipdb.com
и code.getmdl.io
.
Мне в связи с этим непонятно:
1) Почему это только у ТТК? Про других провайдеров с похожей проблемой мне ничего неизвестно.
2) Почему проблема только с протоколом HTTPS?
А так как благодаря компаниям Google и Mozilla все больше сайтов переходят на протокол HTTPS, то количество "невольно" пострадавших компаний будет расти. Причем многие даже не узнают о причине резко упавшей посещаемости сайта.
1) Почему это только у ТТК? Про других провайдеров с похожей проблемой мне ничего неизвестно.Это не только у ТТК, но и у других магистральных (как минимум, Ростелеком) и обычных домашних провайдеров.
2) Почему проблема только с протоколом HTTPS?Потому что провайдеры, которые не имеют DPI, или у которых DPI может обнаруживать и блокировать ссылки только внутри HTTP, вынуждены блокировать записи, внесенные в реестр ссылкой по протоколу HTTPS, по IP-адресу.
В пятницу смогу написать статью, разъясняющую все происходящее, т.к., в интернете информации, полностью раскрывающей всю ситуацию, нет.
смогу написать статью, разъясняющую все происходящее
Было бы очень хорошо. А то у меня и заметочник от гугла (Google Keep) перестал открываться с такими же симптомами :-(.
~$ wget keep.google.com --2017-06-08 14:48:16-- http://keep.google.com/ Распознаётся keep.google.com (keep.google.com)... 173.194.122.232, 173.194.122.233, 173.194.122.226, ... Подключение к keep.google.com (keep.google.com)|173.194.122.232|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 301 Moved Permanently Адрес: https://keep.google.com/ [переход] --2017-06-08 14:48:17-- https://keep.google.com/ Подключение к keep.google.com (keep.google.com)|173.194.122.232|:443... ошибка: Время ожидания соединения истекло. Подключение к keep.google.com (keep.google.com)|173.194.122.233|:443... ошибка: Время ожидания соединения истекло. Подключение к keep.google.com (keep.google.com)|173.194.122.226|:443... ^C
Видимо было потрачено какое-то время на запрос к экселовскому файлу — "разблокировали" в течении нескольких минут :-).
Уже писал в соседней теме — вчера (или позавчера) — facebook, сегодня — гугл некоторое время не работал. Рандом.
2. Проблема не с протоколом HTTPS, он для того и придуман, чтобы нельзя было в него вмешиваться. Поэтому блокируется 443 порт. И если бы некоторые реализовали браузеры с обработкой SRV-записей в DNS — порты могли бы быть совершенно любые, как и прозрачная система резервирования. Но это же «долго» и «сложно».
Подтверждаю ValdikSS.
Грешат таким безобразием многие.
У меня на работе не открывался через местного провайдера speedtest.net.
Проел провайдеру весь мозг. Те проверили, оказалось, что и у них не открывается (хотя и у них тоже был первоначально недоступен — эти нехорошие люди чуть ли не блоками ip блочили). Оказалось, что их магистральщик — тоже блочит (принадлежит, насколько помню вымпелкому).
Сайты elastic-а и, например, документация по docker — статичный контент, размещённый на Cloudfront. Некоторые сайты из списка заблокированных работают именно через Сloudfront, таким образом мы имеем, что elastic тоже косвенно запрещён к распространению на территории РФ. Cloudfront резолвится на разные IP, не все они ещё заблокированы, вот и имеем то, что открываемость сайтов, расположенных на нём, зависит от погоды на Марсе.
Мне это что-то надоело и в выходные поднял себе VPN. VPN для чтения документации, блин.
Плохо не то что любой может закрыть ВК / ОК.., плохо что любой может закрыть конкурента и ничего с этим поделать будет нельзя.
https://geektimes.ru/p/289947/
Я не совсем знаю как измерять важность для неких „вас” и посему не могу ответить на этот вопрос, но для меня перебои связи по работе немногим важнее ваших онлайн-банкингов. Мне кажется, что так со всеми. Наверное дело в количестве клиентов.
В Телеграмме некоторые висят сутками. а в онлайн-банк… я, например, захожу пару раз в месяц совершить платежи.
Проблема в том, что если закроют забавы ради fb.com
У меня дома уже 2 дня, как зароскомнадзорен, и ничего. VK надо или OK, видимо.
Предлагаете РКН расформировать, а людей распустить
Да. И с волчьим билетом на запрет работы этих людей в любых законодательных и надзорных органах. Они уже показали свой дикий непрофессионализм.
1. Суд с провайдером и РКН не имеет перспективы, поскольку ущерб был причинен не его действиями, а действиями третьего лица, добавившего А-запись (и почему, кстати, именно А, а не, скажем, CNAME?) в описание своей зоны. Практически 100% суд (арбитраж) подтвердит, что провайдер добросовестно исполнял законные требования по блокировке, конкретный механизм исполнения которых вполне себе работал до вмешательства установленного или неустановленного лица. И именно действия этого лица повлекли причинение ущерба, вследствие чего оператор не является надлежащим ответчиком.
2. Что вы подразумеваете под «правильной настройкой оборудования»? Каким образом провайдер может гарантированно заблокировать доступ к информации и только к ней по заданному URL через HTTPS не вмешиваясь в протокол и не подменяя сертификат?
01. Логика возможна, но всё же в данном случае важен факт того, что, например, у ТТК сайт блокируется, а у других провайдеров (протестировать это и зафиксировать труда не составит) — нет.
02. В ссылках есть несколько обсуждений и в них — несколько вариантов того, как можно попробовать это сделать. В любом случае — закон суров, но он закон, не так ли? Так вот деятельность операторов лицензируется. И очень рекомендую почитать цели лицензирования — из них всё становится ясно.
2. Без костыля с подменой сертификата — гарантировано никак не сделать. Именно потому, что в этом цель HTTPS как такового. Любой другой метод будет при определенных условиях либо пропускать часть запросов, либо убивать часть посторонних.
Да хоть cname на microsoft.com? Или 127.0.0.1?
При этом 3-е лицо может вообще не догадываться о существовании РКН, этого провайдера, и даже, собственно, России, например.
1. Некое лицо понесло какие-то убытки, это лицо утверждает, что причиной ущерба являлась недоступность его сайта.
2. Это лицо подает иск о возмещении ущерба к владельцу заблокированного домена.
3. В ходе рассмотрения иска суд должен установить (возможно, а точнее вероятнее всего, с привлечением соответствующей экспертизы):
а) правильно ли оценен ущерб истцом;
б) правильно ли выбран ответчик;
в) подлежит ли причиненный вред возмещению и если да, то в каком объеме.
По п-ту а) все туманно, но он нас не интересует, так ведь?
По п-ту б) если экспертиза покажет, что владелец заблокированного домена добавлял записи к своей зоне, в том числе содержащие адреса истца, что у него отсутствовали разумные и добросовестные основания для внесения таких записей, что он знал или должен был был знать о том, что внесение таких записей приведет к полной или частичной невозможности доступа к ресурсам, адреса которых он добавлял в свою зону — ответчик с большой долей вероятности будет признан надлежащим.
По п-ту в) ответчик может апеллировать к тому, что ущерба бы не возникло если бы провайдер(ы) клиентов истца как-то по другому реализовал(и) бы блокировки ответственность за ущерб совокупно лежит на нем и провайдерах, но…
Учтите, что это не уголовное судопроизводство рассматриваем, тут нет презумпции невиновности, в ходе состязательного процесса обе стороны должны аргументировать свою точку зрения. И я пока никаких убедительных аргументов в пользу условного ответчика не вижу. Ему никто не обязан поверить на слово, что «я не знал что оно сломается, оно само вдруг...». А потом вот еще возможно и «по уголовке» пройтись, но это совсем другая уже песня.
Если сумма убытков большая — то это выйдет за рамки административной ответственности и, теоретически, получится перевести дело в уголовную плоскость — презумпция невиновности появится?
Я кажется понимаю в чем затык.Я вообще не пытаюсь оперировать термином «преступник». Понимаете, в жизни далеко не всегда причинение ущерба сопряжено с нарушением закона. Но от этого ущерб не пропадает и общей практикой считается презумпция необходимости его (ущерба) возмещения. Не важно — нарушал ли закон ответчик или нет, если его действия нанесли кому-то ущерб, то чаще всего этот ущерб подлежит возмещению.
Он частное лицо и доказать то, что это лично он отправлял провокационные посты не могут. Если они это не докажут, то могут ли ему вменить в вину, что он знал о том, что через его сервер могли заниматься противоправными вещами — мог предполагать, но не принял мер к противодействию.
Ситуация, на мой взгляд схожа с той, что я описывал выше, человек поменял запись DNS, но убытки получили совсем другие организации.
А тот кейс, который мы выше разбирали — он про гражданско-правовые взаимоотношения и возникновение ущерба у одного субъекта в результате действий другого. И тут ключевым является установление того факта, чьи именно действия привели к возникновению ущерба:
— владельца заблокированного домена, добавившего чужой айпи;
— провайдера, который блокирует все, что резолвится на определенный домен;
— РКН, давшего рекомендацию блокировать все, что резолвится на определенный домен;
— Российской Федерации, Государственная Дума которой приняла закон, допускающий блокировки…
И, соответственно, степень ответственности каждого из субъектов.
И тогда вопрос — из четырех пунктов, кто вероятнее всего будет признан виновным? Что-то мне подсказывает — первый, ибо государство не виновато априори…
P.S. Забавно, но я не понравился людям, видимо пишу здесь ерунду. Понял, постараюсь больше так не делать…
01. Недееспособные граждане (дети и т.д.)
02. Ограничено дееспособные
03. Граждане
04. Граждане с лицензией
05. ИП
06. ИП с лицензией
07. ООО
08. ООО с лицензией
09. АО…
…
далее — гос. органы и государство.
Так что тут как раз момент УВЕЛИЧЕНИЯ ответственности пропорционально УВЕЛИЧЕНИЮ возможностей
видимо пишу здесь ерундуПочему ерунду? Например я — судить могу только с позиции обыватели и мнение человека, объясняющего ситуацию с юридической стороны — очень интересно.
(Ровно поэтому их и блокируют.)
Лицензия предполагает, что ДЕЯТЕЛЬНОСТЬ, кот. выбрал бизнесмен сама по себе требует ДОПОЛНИТЕЛЬНЫХ мер.
Да, но КОНКРЕТНЫХ мер. Т.е. ограниченный, закрытый перечень. Определенный в соответствующих НПА. Ни один НПА, требующий от от лицензиата выполнения неких неопределенных «дополнительных действий с целью избежания какого-то другого, возможного, ущерба» не пройдет Минюст.
«возможность нанесения которого связана с осуществлением юридическими лицами и индивидуальными предпринимателями отдельных видов деятельности».
Ну да, и эти отдельные виды деятельности именно поэтому являются лицензируемыми. И что не так?
А по поводу закрытых перечней требований: они есть, открыты, правила лицензирования и правила оказания услуг связи в частности…
Мои слова относились изначально к тому, что если к оператору предъявлено требование «блокировать» — он обязан его соблюдать. Если к нему не предъявлено требование «блокировать таким образом, чтобы никакие действия третьих лиц не привели к возникновению любого ущерба»
то ваше же:
Но это не означает того, что лицензиат обязан предпринимать какие-то дополнительные действия с целью избежания какого-то другого, возможного, ущерба, тем более вызванного противоправными действиями третьих лиц
в общем: это ваше право, считать, что можно нарушить общеправовые или общеотраслевые принципы. Моё право — не согласится с этим. Пока дополнений больше не будет
2. Есть лицензирование отдельных видов деятельности, целью которого является исключительно предотвращение возможного ущерба, связанного с занятием ИП и ЮЛ такими видами деятельности. Конкретные способы, которыми достигается цель лицензирования устанавливаются соответствующими НПА.
3. Есть отраслевые НПА, которые накладывают на лицензиатов определенные конкретные требования и перечень этих требований — закрытый (в том смысле, что он не допускает расширительного толкования, а не в том, что он не публичный).
В частности для отдельных видов деятельности таким требованием может являться обязанность лицензиата противодействовать КОНКРЕТНЫМ противоправным действиям третьих лиц (например требование обеспечения охраны объектов). Во всех остальных, прямо не предусмотренных НПА случаях, лицензиат вправе исходить из традиционной презумпции добросовестности.
В общем резюме только одно: пока нет решения можно только рассуждать. Чтобы оно появилось кто-то должен подать иск. Но лично я бы на иск к провайдеру не стал бы надеяться и свои деньги в это вкладывать не стал бы.
P.S. Определять добросовестность абсолютно точно вне наших с вами рассуждений сейчас :)
Но на мой взгляд перспектива есть в контексте того, что существует
Ответственность продавца или изготовителя товара (исполнителя работы или лица, оказывающего услуги) за вред, причиненный жизни, здоровью либо имуществу вследствие конструктивных, рецептурных или иных недостатков товара, работы или услуги, а также вследствие недостоверной или недостаточной информации о товаре (работе, услуге) при условии приобретения потерпевшим товара (результата работы или услуги) в потребительских целях (статья 1095 и 1098 ГК)
Есть конструктивный недостаток услуги, факт, в наличии. Осталось обосновать вред причиненный имуществу — раз, и приобретение пострадавшим услуги в потребительских целях — два.
а) с провайдерами судиться
С провайдерами конечно судиться можно, однако особого профита от того мало. Суд выиграть не просто, оператор кучу доводов суду приведёт, что блокировал ресурсы согласно ФЗ. А повлиять на регулятора после того как, утомится судиться с Абонентами, он всё равно не сможет. Роскомнадзору, как контролирующему органу, ведущему реестр, операторская головная боль не интересна (проблема индейцев шерифа не волнует). На дыры в алгоритме блокировок провайдеры не однократно РКН указывали в ходе онлайн-конференций, но воз и ныне там.
Провайдеры заложники сложившейся ситуации. Они сами очень не довольны происходящим. Главная забота в этом вопросе, уйти от штрафа РКН в ходе планового/внепланового мониторинга (штрафы нынче вполне существенные) и не потерять при этом клиентов (заблокированный популярный ресурс — серьёзный репутационный удар по оператору, который можно выразить, например, в количестве потерянных клиентов).
1. Они тоже не всесильны (пример тому Яровая, собственно молчаливое согласие выразил лишь Ростелеком — у них это повод освоить новую порцию «грантов», остальные были резко против по понятным причинам)
2. Что бы крупный оператор начал этим вопросом заниматься всерьёз, надо очень постараться им надоесть при чем в федеральном масштабе. То что утомится пара-тройка юристов, на мой взгляд, мало обеспокоит крупный бизнес, во всяком случае мало вероятно, что они пойдут на высоком уровне с кем то по этому поводу разговаривать.
Про геноцид пользователей, конечно хорошая метафора. Однако она, наверно, подходит и под самих операторов связи. С каждым годом операторствовать всё сложнее (требует больше денежных ресурсов — всякие СОРМ2, СОРМ3, пакет Яровой, DPI и т.д.), ARPU падает, а требование пользователей растут. Итогом станет закрытие мелкого и среднего бизнеса (кто-то может сможет продасться крупняку). Понятно что главным выгодоприобретателем в этой не простой (и при этом постоянно усугубляющейся) ситуации является крупный бизнес, который съест мелкий. На пользователях это отразится не сразу, но отразится (тарифы при снижении конкуренции неизбежно увеличатся).
Хотя причин для беспокойства не много, всё же закономерно :) О поглощении мелкого капитала крупным ещё и Маркс писал, так что «будем посмотреть».
По существу:
01. Вопрос как раз в том, чтобы это были не 2-3 юриста, а именно каждый пострадавший. Гражданин, ИП, ООО. Юриста будут они привлекать или нет — это уже на усмотрение.
02. Да, мелкий бизнес, он и в оператора (по-своему, конечно) _ мелкий. И да, он уходит. Беда в том, что ни в одной сильной экономике, даже в Китае, мелкий бизнес не получает столько нагоняев, как у нас. Ну и экономика у нас не сильная?..
домены государственных и муниципальных органов и учреждений настолько разные по формату
Да ладно, у них и почта зачастую xxx00.mail.ru, где xxx — название госслужбы, 00 — номер региона. И это ещё хороший и понятный вариант.
Теперь сайтам их белого списка нужно сделать у себя меняющиеся IP, и тогда Роскомнадзору будет совсем весело.
Конечно, судиться с гос. органами — дело неблагодарное: долго, дорого, но заканчивается не как у Лебедева, а без «о». Но судится с провайдерами — можно и нужно. И не только судится, но и бороться всеми иными законными способами. Иначе всё это станет напоминать цирк шапито.
Интересный вывод. Зачем пытаться отменить противоречащее здравому смыслу законы или заставлять соответствующие органы сделать корректную систему блокировок, когда можно нажиться на этом деле. Да ещё и на исполняющих законное требование регулятора предпринимателях. Ну проще говоря: «Тут нам ничего не светит, давайте хоть этого опрокинем, а вдруг прокатит?».
ТТК и другие операторы не просто так блокируют лишний, по вашему мнению, контент. У каждого оператора стоит «стукач», и чуть что выписывают штраф с сотню тысяч. Что бы вы не потеряли — оператор теряет больше при пропуске. А ревизор очень хитрый и действует совсем не как пользователь.
Но вы то суда только заработать пришли, верно? Что называется: «Ничего личного, просто бизнес».
Да ещё и на исполняющих законное требование регулятора предпринимателях
Незаконное требование.
вы то суда только заработать пришли, верно? Что называется: «Ничего личного, просто бизнес».
Нет, не так. ТТК может лоббировать свои интересы, вы — кишка тонка. Да, это натравливание тяжеловеса вступить в бой вместо себя. Ничего личного.
Незаконное требование.
Что не так с Постановлением Правительства РФ от 26 октября 2012 г. N 1101?
В течение суток с момента такого обновления оператор связи обязан ограничить доступ к таким сайтам в сети «Интернет» и возобновить доступ к сайтам в сети «Интернет» в случае исключения сетевого адреса, позволяющего идентифицировать сайт в сети «Интернет», из единого реестра.
Тут не указано как это делать, да если бы и было, то суть в том, что пропуск у ревизора = штраф, оспаривать это в суде не профильная работа для оператора связи, отвлекающая от основной деятельности.
Да, это натравливание тяжеловеса вступить в бой вместо себя.
В какой бой он должен вступить? Вступить в бой должны все граждане и высказать свое фи такому закону или такой его реализации.
А любой компетентный эксперт разобьет в пух и прах иск «о недоступности ресурса не из списка». Просто потому, что ТТК исполняет закон, так как может это сделать на своей сети.
Что не так с Постановлением Правительства РФ от 26 октября 2012 г. N 110
Противоречит Конституции, разумеется. Разделу о недопустимости цензуры.
Вступить в бой должны все граждане и высказать свое фи такому закону или такой его реализации.
А, ну да. Только граждане об этом не смогут договориться, тк площадки отцензурированы, объявлены незаконными и экстремистскими.
любой компетентный эксперт разобьет в пух и прах иск «о недоступности ресурса не из списка». Просто потому, что ТТК исполняет закон, так как может это сделать на своей сети.
Не очень понятно. Если банк посчитает, что один из его клиентов — мошенник, то он может обобрать всех своих клиентов, тк он исполняет закон о противодействии мошенничества, тк может сделать это так? А если полиция увидела в толпе карманника, то она может расстрелять всю толпу из гранатомётов? Она же закон исполняет? Ерунда какая-то получается, не?
А на счет конституции, я так подозреваю, сначала надо выиграть конституционный суд? А потом уже говорить что конституционно, а что нет? Поправьте, если не прав.
А любой компетентный эксперт разобьет в пух и прах иск «о недоступности ресурса не из списка». Просто потому, что ТТК исполняет закон, так как может это сделать на своей сети.
знаете, проблема в том, что в России осталось мало экспертов и больше не становится. Они есть и они — хороши. Но их — мало. И главное — экспертиза — далеко не всегда и не всё решает. А ещё важнее — что вопрос не просто в суде и т.д., а в системности жалоб от граждан, ИП, ООО.
из-за неверной тех. настройки. То, что ТТК не может нормально фильтровать трафик
С чего вы взяли, что они фильтруют не верно? Фильтруют так, как могут, чтобы не получить штраф. А штраф 50-100 тысяч рублей. Выписывать его могут хоть каждый день.
Предположу, что у них нет возможности поставить DPI, а так же блокировать через DNS.
В следствии чего приходится не только блокировать то, что в реестре, даже если оно давным давно протухло, но и то, что отрезолвилось, и не важно, что там ещё миллион сайтов на этих IP. Ещё раз повторюсь, что если нет технической возможности, то это не ТТК плохие, а реализация закона или закон.
Предположу, что если бы у всех пропала такая возможность, то все бы развивалось совсем по другому.
Судиться с злоумышленником, который добавляет IP хорошего сайта в плохой домен вы, почему-то, тоже не решились…
Если серьёзно, то вы всё правильно сказали, только акценты не там расставили.
01. «это не ТТК плохие, а реализация закона или закон», — без проблем: пусть они идут и требуют нормальной реализации. Они большие — они могут. Но им — плевать, т.к. им легче сослаться на не правильность тех. реализации
02. «нет возможности поставить DPI, а так же блокировать через DNS», — это почему вдруг должно стать проблемой бизнеса, а не ТТК как бизнеса?
03. и последнее — 50-100 тыс. — да, но только каждый день никто никогда не выписывал и не будет: РКН физически этого не может. А за это время нужно что-то сделать. См. п. 1-2
Они большие — они могут.
Если государство наплевало на 147 миллионов человек, вы считаете ему не плевать на несколько людишек с верхушки, пусть даже крупной конторы? У нас же до сих пор все по понятиям. Каждый человек или контора в любой момент времени что-то нарушает. Так устроено наше законодательство. Но наше государство дает понять, вот пока ты покладистый — мы тебя не тронем, ну по крайней мере тронем не очень больно. Чуть крупная контора начнет иметь свое мнение — может внезапно отозваться лицензия, а абонентов и сеть заберет РТ.
В свое время представители отрасли ходили как свидетели Иеговы, и говорили, что это хреновая идея, что не надо так делать. Кто их послушал? Та же петрушка с Яровой.
Я работал в интернет провайдере, и непосредственно занимался реализацией системы блокировок по списку Роскомнадзора. И ответственно заявляю — косорукие провайдеры, безусловно, есть. Но бОльшая часть проблем с блокировками — целиком и полностью на совести Роскомнадзора и иже с ним.
Примеры:
Есть некоторое количество сайтов, которые прилетают в списке блокировки оператору, но при этом при проверке через eais.rkn.gov.ru эти сайты не видны ни по имени, ни по IP-адресу. Попытки общаться с РКН по этому поводу на тему «как нам объяснять факт блокировки клиентам в таких случаях» привели в конечном итоге к ответу: «Вам прилетает список блокировки — вот по нему и блокируйте. Остальное нас не волнует».
Рекомендации по блокировке. Раньше рекомендации по блокировке (по версии от 2013 года) звучали следующим образом (в части, касающейся резолва хостнеймов в IP-адреса):
Использовать следующую технологию для ограничения доступа к интернет-сайтам:
1) Выделение значения Host из URL;
2) Трансляция с помощью запросов в DNS значения Host в сетевой адрес (трансляцию проводит оператор связи), в случае если Host представлен в виде доменного имени;
А сегодня на сайте Роскомнадзора появляется новость со следующими словами:
Некорректный DNS резолвинг, который осуществляют отдельные операторы связи при блокировке интернет-страниц с противоправной информацией, возникает, когда оператор связи самостоятельно определяет IP-адрес запрещенного интернет-ресурса.
Вы же сами это требовали, в своих рекомендациях от 2013 года, чтобы операторы сами резолвили! А теперь, оказывается, что операторы осуществляют некорректный DNS-резолвинг.
Так что операторы здесь — такая же пострадавшая сторона в большинстве случаев, как и пользователи.
01. Граждане, ООО, ИП жалуются на провайдера. Массово.
02. Провайдер начинает много и часто шевелится.
03. Идёт в РКН и начинает не просто спрашивать, а уже как положено.
Я совсем недавно анализировал борьбу сотовых операторов с МВД: операторы, когда захотят — очень даже противостоят этому грозному ведомству. С провайдеров пока спроса просто меньше.
По рекомендациям — спасибо за описание. Но проблемы операторов должны решать операторы. Поэтому 3 пп. выше — это один из вариантов. Можете предложить другой — предлагайте. Попробую в нём тоже поучаствовать.
Я совсем недавно анализировал борьбу сотовых операторов с МВД
Вы правда считаете, что у операторов сотовой связи, и каких-нибудь региональных интернет-провайдеров, у которых 4-5 тысяч абонентов, одинаковые возможности по борьбе с государственными ведомствами?
Вы имеете в виду — быстренько внесут весь (за исключением чёрного списка) интернет в список белый? Очень смешно, ага.
Да это не важно, что вы имели в виду (вы просто не понимаете как это работает). Реальность именно такова. В текущей ситуации либо придётся вносить в белый список весь интернет, либо интернет в России будет находиться в перманентно-неработающем состоянии. Любой владелец любого заблокированного домена в любой момент времени может вынести из доступности для вас любой сайт в интернете. А как только ваши внесут его в белый список, вынесет другой и так до исчерпания IPv4. (а потом примется за IPv6, да ;) не удивлюсь, если процесс уже автоматизировали. Вообще, прекрасная возможность убить в России интернет отрасль и всё, что на неё завязано. Депутаты совместно с роскомнадзором совершили тщательно спланированную экстремистскую операцию по парализации российской экономики. Интересно, им орден героев россии за это дадут или деньгами выплатят?
Информация должна быть свободной и люди сами в праве решать к какой информации они хотят получить доступ, а от какой хотят быть отрезаны. Такой подход существовал с самого зарождения интернета и, как вы могли заметить, ничего плохого не происходило.
P.S Тут бы еще заметить, что законодательно у нас прописан запрет на распространение информации, а не на доступ к ней. Но это уже тема для отдельной дискуссии.
Ни кому не нужен Петя. Поэтому сайт Пети никогда не будет внесён в белый список. И 99% других сайтов в интернете. Внесут правительственные сайты, ну, и до кучи фейсбук, гуголь и инстаграмм. Остальной интернет вы видеть не будете. Я, честно, не понимаю зачем им все эти мучения. Отключить Россию от интернета можно было куда проще. И, да, разумеется, вас просто необходимо ограничивать, с этим вообще ни кто не спорит. Для того, чтобы оградить вас от опасной для вашего нестабильного рассудка информации лучше всего посадить вас в клетку.
Полностью согласен с тем, чтобы идею сажать альтернативно одарённых в клетки распространить за пределы одного государства. Идиотов везде хватает, пусть сидят в клетках, раз им так комфортнее. Чтобы нормальных не покусали, а то вдруг оно как бешенство заразно. Мне только любопытно, вот вы, яваскриптер, вроде бы, а как вы из клетки те же доки по яваскрыпту добывать будете? У роскомпозора не будет ни единой причины добавлять в белый список нужные вам сайты.
А вот опасные для населения ресурсы надо зарубать на корню
Чтобы рабынаселение не узнали чего страшного, от чего у власти будут проблемы. Прямо как церковные библиотеки, которые по мнению некоторых "сохраняли знание", но по факту ограничивали его, чтобы население не усомнилось в правильности политики партии.
Хоть в рунете порядок будет со временем.
Как в морге — пусто, холодно, никого живого, зато порядок.
Deny: all
Именно так, говорю как провайдер. На той неделе например в блокировки прилетел толстый список https с ютубом, и никакой dpi тут не поможет. А работать мы все хотим, а бизнес терять не очень...
Хочешь блокировать 1 URL на https — либо принудительно человек-посередине-атака на пользователя (все браузеры визжат), либо
Вот вы пишите: Никогда не узнаешь, какой URL посещал пользователь на хосте. SSL и т.п. — всё ясно, вопрос только не в том.
1 URL на хосте не заблокировать
НЕТ, никаких средств для верной настройки не существует в принципе.
Существуют, но злые и неверные! Можно заблокировать весь хост или ничего не блокировать. Варианты (MIM-attack и сертификат каждому пользователю) — крайне хреновые и злые
Просто вопросов 2 открытых: 1) почему НЕ у всех провайдеров такая ошибка? 2) раз всё так плохо, почему тогда я не вижу массовых жалоб ПРОВАЙДЕРОВ в/на РКН?
1) Блокировка на базе хостнейма. Т. е. если от РКН прилетит в списке htts://youtube.com/blah-blah-blah, то придётся заблокировать весь youtube. Так как всё, что провайдер увидит в незашифрованном трафике — это ТОЛЬКО ХОСТНЕЙМ. А всё, что следует после хостнейма в URL (т. е. "/blah-blah-blah") — уже идёт по зашифрованному каналу, и заглянуть туда нельзя. Ну, точнее можно, если используется способ №2.
2) Способ №2 заключается в том, что провайдер вынужден расшифровывать трафик клиента, подсовывая сертификат не YouTube, а свой собственный. Получается два зашифрованных канала — от клиента до провайдера (зашифрован, если на пальцах, провайдерским сертификатом), и от провайдера до YouTube — зашифрованный сертификатом YouTube. Проблема тут в том, что провайдерский сертификат — недоверенный с точки зрения браузера клиента, и браузер обязательно ругнётся на это. Это первая часть проблемы.
Следствием второго способа блокировки будет ещё целый ряд аспектов. Допустим, удалось добавить сертификат провайдера всем клиентам в доверенное хранилище. ОК, браузеры перестали ругаться (хотя, на самом деле, чтобы это сделать, нужно тоже целую пачку костылей нагородить). Но после этого провайдер технически сможет заглядывать в зашифрованный трафик клиентов. Например, в трафик на онлайн-банки, в дропбоксы, в авторизацию вконтактиках/фейсбучиках/инстаграмчиках.
Ну то есть, это классическая атака по принципу man-in-the-middle. А одно из назначений HTTPS как раз в том и заключается, чтобы перехват и перлюстрация трафика была невозможна. Так что тут вопрос выбора: либо мы реализуем блокировку, либо у нас остаётся возможность безопасного обмена трафиком с легальными сервисами без возможности его (трафика) перлюстрации.
Мне не ясен другой вопрос: ЧТО сделали провайдеры, чтобы за все эти 3 года донести до РКН вот это всё?
Я там выше ответил, что делали провайдеры, и какую реакцию это вызывало. Причём моя контора — один из крупнейших независимых (не принадлежащих так или иначе «большой четвёрке») операторов связи в стране. Что уж говорить про десятки и сотни более мелких провайдеров. Какие у них реально возможности есть? Письма писать? Так они пишут. Какие ещё есть реальные рычаги воздействия на РКН?
Действенные? Прокуратура, суд, Конституционный суд, как тут указали. Арбитраж и т.д. Я сам вырос из мелкой конторы и знаю, что такое ходить в эти инстанции: перегруз. Только мы это делали и делаем, а «мелкие» операторы в 4-5 тыс. человек (нас и сейчас-то не больше 25) — не особо этим занимаются.
Так как всё, что провайдер увидит в незашифрованном трафике — это ТОЛЬКО ХОСТНЕЙМ
Поправка: только если этот хостнейм отправляет клиент по SNI в TLS Client Hello (все современные браузеры и реализации TLS). А может и не отправлять. Просто тогда, если на одном IP несколько сайтов, и для них нет общего сертификата, будет отдан серт для дефолтного сайта.
01. Проблемы провайдеров с миллионными оборотами не должны быть проблемой малого бизнеса в первую очередь, а в другую — всех остальных. У нас в стране операторы сотовой связи, банки, операторы интернета привыкли, что они занимаются «только профильным бизнесом», тогда как по закону блокировки — уже их профильная деятельность. И поэтому это их обязанность сделать всё, как полагается.
02. КС? Без проблем — давайте сделаем. Готовы участвовать? У меня вот основное образование как раз конституционное и международное право. Я и на Хабре и много где не раз по разным вопросам предлагал обратиться в КС, но только это работа не на один месяц подготовки и желающих много, участвующих пока — ноль.
Проблемы провайдеров с миллионными оборотами не должны быть проблемой малого бизнеса в первую очередь, а в другую — всех остальных.
Провайдер может быть и с миллиардными оборотами, но при этом прибыль у него будет составлять единицы процентов. Каналы связи, оборудование связи, лицензионные требования, зарплаты весьма квалифицированным инженерам — оно, знаете ли, не копейки стоит.
И поэтому это их обязанность сделать всё, как полагается.
В подавляющем большинстве случаев провайдеры и так делают всё, как полагается. Но требования регулятора часто отдают полным идиотизмом.
Знаете, как проверялась блокировка по URL несколько лет назад? Провайдерам раздавали программку. Раз в несколько дней на почту прилетал CSV-файлик с адресами. И эта программка проверяла факт блокировки URL, пуская пинги на хостнеймы. ПИНГАМИ, Карл! Они проверяли доступность УРЛОВ — ПИНГАМИ! И если пинг проходил, то программа в отчёте указывала, что данных URL провайдером не блокируется. И провайдер получал по башке. В итоге мы были просто вынуждены блокировать ICMP на IP-адреса из списков блокировки.
Иначе, после быстрого принятия «сверху», мы имеем множество технических, организационных, правовых и иных дыр, которые не позволяют функционировать этим же законам нормально.
Из того места откуда это выходит, хотя бы так «быстро» и с косяками. Иначе, вообще ничего не будет происходит, за профессионализм в направлении, стоит беспокоится, но это дело времени.
Ну а к делу времени, если что-то никогда не делал, то и не узнаешь как делать.
Нет конечно, я подразумеваю допустимый % не учтенных моментов при разработке законопроекта в первые несколько заходов.
В силу того кто и что принимаете решение и на основании чего, это не нормально. Я про то что сила голоса у субъекта, который дальше "setup this" магазина приложений не видит. Вот тут то и беда, индивид который умеет по всем ГОСТам оформлять документы следуя правилам языка, создаёт бумагу которую голосовой-индивид продвигает под видом своей работы. В данной цепочке создания документа, консультации печатной машинки" не выходит за рамки Вики и ютуба, а по элементарному взгляду на результат, "специалист" если таковой был, он явно "… ал в уши" — мол, там делового на 5 сек, я так в локалке на виртуалке делал.
Лично я, в этой эпопеи проглядывают нить о защите интеллектуального труда ( хоть для одной модели для который нужна она постепенно сходит на нет).
Дальше, если хочешь чтобы твой магазин попал в белый список, то пиши заявление, оплати госпошлину и конкурент тебя не заблокирует. Если не хочешь, ну что, государство не гарантирует доступности твоего сайта.
Сплошной проффит: пополнение казны, импортозамещение, цензура и всё в одном белом списке.
Однако, как уже высказывались выше, даже если этот инструмент «настроят», — сильно лучше не станет, т.к. я в принципе против цензуры.
А сейчас автор статьи, юрист, не разобравшись — под одну гребенку обвиняет в тех же самых проблемах, но уже с политическим окрасом.
Мол ТТК не работает, потому что они блокируют.
А это просто ошибка.
Такая же как и была до эпохи блокировок.
Тяжело это. Слишком много регионов. А в них еще больше муниципалитетов. Например у нас в Башкортостане разработали единую платформу для сайтов органов гос. и мун. власти. Но т.к. на законодательном уровне правительство региона может только «рекомендовать» муниципалитетам переход на эту платформу, то… Часть муниципалов так и остались на своих доменах и сайтах ибо: «а у нас за это денег плочено», «а нам так удобнее» и т.п.
Хотя в идеале конечно было бы замечательно. Например сайт Учалинского района Республики Башкортостан размещался бы на uchaly.02.gov.ru (к примеру)(сейчас размещается на uchaly.bashkortostan.ru), а сайт Кирябинского сельского поселения из этого района был бы...kiryabinka.sp.uchaly.02.gov.ru
Правда длинновато получается:)
http://tass.ru/obschestvo/4323475
Конечно, судиться с гос. органами — дело неблагодарное: долго, дорого, но заканчивается не как у Лебедева, а без «о».
И это пишет юрист?
Вы не компенетны.
Гос органы также проигрывают.
Решения судов ОТКРЫТЫ и ОПУБЛИКОВАНЫ, чтоб вы знали.
Почитайте, повысьте свою квалификацию
Вы прямо нашли крайних. Ну не будет провайдер подчиняться закону, у него отнимут лицензию, его абоненты не получат вообще ни какого доступа в сеть.
И чем это поможет кому-то?
Одновременно разработчики предлагают возложить на операторов поисковых систем в интернете «обязанность прекращать на территории России выдачу ссылок на заблокированные в России информационные ресурсы».
При этом сложившаяся с 2012 года практика применения меры выявила «недостаточную эффективность блокировок — полностью достичь целей не удается», констатируют парламентарии.
По их словам, это обусловлено, в частности, возможностью «обнаружить ссылки на заблокированные ресурсы в результатах поисковых выдач поисковых систем», а также «возможностью использовать технологии, позволяющие получить доступ к заблокированным информационным ресурсам».
Так, сейчас на операторов интернет-поисковиков не возложена обязанность прекращать выдачу ссылок на заблокированные сайты.
«С целью получения доступа к заблокированным информационным ресурсам используются технологии, которые направляют трафик российских интернет-пользователей через зарубежные серверы, анонимные прокси-серверы, виртуальные частные сети и прочее», — говорится в пояснительной записке.
Как уже было замечено — белые списки сделаны для того, чтобы не блокировались важные сайты. Так вот, они работают в обе стороны. Об этом уже говорили, но не акцентировали.
Так вот. Это реально работает. Достаточно к заблокированному адресу добавить один из «белосписочных» — как сайт перестанет блокироваться. Конкретный пример, буквально только что проверили. Сайт https://flibusta.is/ — заблокирован, сайт https://google.flibusta.is/ — открывается.
Правда, сама флибуста сегодня лагает…
Прикол с этими белыми списками в том, что "ревизор" уже который день делает вот такие репорты с грозным названием "Отчет для оператора связи по имеющимся нарушениям"
все полностью соответствует оригиналу — убрал только никчемные колонки...
Умом я еще понимаю, что тут написано, но это вообще то не пост в бложике, а ОФИЦИАЛЬНЫЙ ДОКУМЕНТ на основании которого вполне могут влепить ОФИЦИАЛЬНЫЙ штраф..
И что мы видим в этом "документе"?
"ID записи реестра" — какие то фейковые цифры — в реестре (у нас есть только один "реестр") их естественно нет, а "белый список" был без нумерации — причем эти 'id' не соответствуют ни порядковому номеру в таблице, ни номеру excel-строки — просто "какой-то ID"
"Время включения записи в реестр" — сначала там было "01 Янв 1970 00:00:00" — потом появились загадочные "11/06/17 11:43", "09/06/17 15:32" — "просто какое то время"
- "Тип информации" — вместо "прокуратура", "суд" и пр — "пусто" — "привидение было тут" — ну хоть какая-то определенность
Ну и в чем нарушение видимо знает только это же "привидение" — ну сделали GET на
http://mail.ru (217.69.139.199) — ну получили форвад на https://mail.ru, 217.69.139.199 — и что?
Если "привидению" будет интересно, могу ему показать всю сессию — с сертифакатом mail.ru — у меня весь трафик "ревизора" пишется — криминал то в чем?
Бред какой-то...
если его внимательно изучить этот белый список, то видно, что в нём чуть более 1000 позиций и примерно столько же пустых строк.
Что только добавляет абсурда в происходящее.
А тут какое-то уведомление из областного управления с доведением перечня адресов, доступ к которым рекомендуется не ограничивать. И «ревизор» про эту рекомендацию ничего не ведает.
Белый список Роскомнадзора: выводы и убытки