Комментарии 70
НЛО прилетело и опубликовало эту надпись здесь
Тут палка о двух концах. Например, мой провайдер просто рубит сайты полностью, по IP. Закон есть закон. Автор предлагает более гуманный, а главное — недорогой способ соблюдения закона.
Автор предлагает прогонять весь HTTPS-траффик с моими номерами кредитных карт через его squid в открытом виде. За такое нужно сжигать на костре.
Не весь а только если ваш трафик идет на забаненый ип. Вы хоть бы вникли для начала.
Я что-то упускаю, а как можно смотреть сам трафик HTTPS третей стороне без подмены сертификата?
Ну так тут и подменяется серт
А здесь как раз подмена будет и браузер у вас ругнется. Здесь не идет речи о том что бы «обмануть». А как раз о том что бы весь контент кроме забаненой url был вам доступен. Сами прекрасно понимаете что весь интернет держится на виртуальном хостинге. И блок по ип делает очень мнго сайтов недоступными, хотя они и не виноваты.
Ну это я еще могу принять, но скрипом. Но дело в том, что таким образом вы добавляете возможность эксплуатировать вашу техническую возможность для злоумышленника. Например, можно действительно незаметно красть данные карт.
И вопрос еще один. Если мне не изменяет память, то и сам url по https передается в зашифрованном виде(это вроде как get-запрос). Как все же получается так, что происходит фильтрация https адресов без подмены сертификата.
И вопрос еще один. Если мне не изменяет память, то и сам url по https передается в зашифрованном виде(это вроде как get-запрос). Как все же получается так, что происходит фильтрация https адресов без подмены сертификата.
Подмена как раз есть сертификата. Если мне не изменяет память то бампинг действует так. squid создает коннект и получает открытый ключ, вам отдает свой открытый ключь на котором вы шифруете данные, затем передаете его сквиду, он расшифровыает на своем закрытом ключе проводит анализ и шифрует на открытом ключе сервера и уже передает запрос ему. Так что сервер ни чего об этом не знает, а вот ваш браузер будет ругаться на плохой сертификат.
Это я понимаю. Но выше вы писали, что:
То есть если забанен url на xmp.com, то все остальные страницы так же приходят с левым сертификатом?
весь контент кроме забаненой url был вам доступен
То есть если забанен url на xmp.com, то все остальные страницы так же приходят с левым сертификатом?
Да именно так, но это намного гуманней, чем вам запретить вообще к ним доступ. Как это сейчас делают 99%. Для сервера это незаметно, и ни как не должно повлиять на его работу. Это видите только вы.
Я конечно понимаю, что вы хотите как лучше, но получается, что это MITM-атака. И снова, только представьте что может случиться, если ваш сервер скомпрометируют. HTTP заворачивайте как угодно, но что до HTTPS — тут лучше отступить, так как безопасность превыше всего.
Ну уж если говорить о взломе тут далеко можно уйти. В конечном счете и сайт платежной системы можно взломать. Ну и например как вы себе это видите? Да и навряд ли IP платежных систем когда либо занесут в бан.
Ну давайте не будем рассматривать одни лишь платежные системы. Сейчас по HTTPS можно ходить на большинство повседневных сайтов. Например, есть запрос на блокировку страницы в FB. Ваш абонент уже привык, что время-от времени он видит алерты о ненадежном сертификате, и точно так же на автомате игнорирует сообщение, логинится и забывает об этом. Злоумышленник в данном случае запросто может увести учетку.
Я понимаю, что пишу тут о сферическом коне в вакууме, но суть соединения по HTTPS в том, что твои данные действительно не уйдут налево, а у вас в данном случае создана потенциальная возможность «воровать и убивать».
Я благодарен вам за сознательность, и что вы не блокируете хосты целиком, и все же, считаю, что когда дело доходит до HTTPS — то тут просто не нужно делать ничего.
Я понимаю, что пишу тут о сферическом коне в вакууме, но суть соединения по HTTPS в том, что твои данные действительно не уйдут налево, а у вас в данном случае создана потенциальная возможность «воровать и убивать».
Я благодарен вам за сознательность, и что вы не блокируете хосты целиком, и все же, считаю, что когда дело доходит до HTTPS — то тут просто не нужно делать ничего.
Ну как я уже писал ни чего ни делать мы просто не можем. РКН внес этот урл в список запрещенных и мы должны их блокировать. Не выполнение их требований может повлечь отзыв лицензии. Они сейчас пока в добровольном порядке ставят свои машинки которые ломятся по запрещенном урлам.
Ваш не шифрованный трафик по https находиться только в пространстве сквида и на входе и на выходе он шифруется, закрытый ключ со сквида тоже ни как не получить, так что я бы не особо беспокоился в этом плане.
Если честно, то меня больше другой вопрос беспокоит. Я даше обращался с этим вопросом в РКН в Москву. А что будет когда этих IP станет например 70000? Их сегодня уже почти 9000? Догадываетесь к чему это может привести?
Если хотите я вам могу в личку скинуть ответ который они мне дали.
В двух словах «согласно закона… закона… — это проблемы провайдера.»
Ваш не шифрованный трафик по https находиться только в пространстве сквида и на входе и на выходе он шифруется, закрытый ключ со сквида тоже ни как не получить, так что я бы не особо беспокоился в этом плане.
Если честно, то меня больше другой вопрос беспокоит. Я даше обращался с этим вопросом в РКН в Москву. А что будет когда этих IP станет например 70000? Их сегодня уже почти 9000? Догадываетесь к чему это может привести?
Если хотите я вам могу в личку скинуть ответ который они мне дали.
В двух словах «согласно закона… закона… — это проблемы провайдера.»
Если я понял вашу позицию, то вы считаете, что делаете меньшее зло, чем зло, которое может делать РКН. Но я имел ввиду, что когда дело доходит до https, то с точки зрения безопасности нужно просто блокировать хост целиком. Да, вот такой я радикал.
Что касается того, что трафик все равно шифрованный, то это не столь важно. Я говорю о ситуации, когда пользователь привыкает, что сыпятся алерты от браузера, пользователь считает, что это опять провайдер что-то мутит и все ок. И вот тут-то и кроется проблема. Если все же говорить сохранности доступа к https-хостам, то я считаю, что нужно делать так: предлагаете абонентам скачать ваш корневой сертификат, на основе этого сертификата вы создаете все сертификаты для заблоченых хостов(на сторонней машине, ключи и сертификаты выгружаете на проксирующий сервер), и трафик подписываете конкретно этими ключами. Так хотя бы у пользователей, которые скачали ваш корневой сертификат не будут сыпаться алерты, и они не будут «привыкать» к ним.
Что касается того, что трафик все равно шифрованный, то это не столь важно. Я говорю о ситуации, когда пользователь привыкает, что сыпятся алерты от браузера, пользователь считает, что это опять провайдер что-то мутит и все ок. И вот тут-то и кроется проблема. Если все же говорить сохранности доступа к https-хостам, то я считаю, что нужно делать так: предлагаете абонентам скачать ваш корневой сертификат, на основе этого сертификата вы создаете все сертификаты для заблоченых хостов(на сторонней машине, ключи и сертификаты выгружаете на проксирующий сервер), и трафик подписываете конкретно этими ключами. Так хотя бы у пользователей, которые скачали ваш корневой сертификат не будут сыпаться алерты, и они не будут «привыкать» к ним.
закрытый ключ со сквида тоже ни как не получитьАга.
Их сегодня уже почти 9000Всех IP раза в два меньше, на самом деле. А относящихся именно к https-записям, всего несколько сотен.
Разделите правила, и https можно будет смело резать, там один мусор. Изредка может понадобиться добавить адрес в белый список, но об этом будут кричать везде, не пропустите.
Мне вот всё интересно, как CA относятся к провайдерам, использующим свои авторизованные сертификаты при подмене сертификата целевого IP? По идее это же прямое нарушение правил использования сертификата, разве нет?
А вообще — если не будет доступа к https каких-то адресов, то народ быстрее поймёт пагубность закона… может и шевелиться начнёт.
А вообще — если не будет доступа к https каких-то адресов, то народ быстрее поймёт пагубность закона… может и шевелиться начнёт.
удалено.
Палка тут об одном конце. Закон противоречит конституции — помогать его исполнению аморально.
Я не способствую, и писал что сам не ввосторге от этого гемора. Темболее что он практически не действенен. Но по закону каждый пров обязан это делать.
А написал я это потому что например есть мои колеги которые блочат по ип вырубают из сети целый хост, так пусть уж лучше так.
А написал я это потому что например есть мои колеги которые блочат по ип вырубают из сети целый хост, так пусть уж лучше так.
Если не затруднит, спрячьте часть статьи под кат, пожалуйста.
А за статью спасибо!
А за статью спасибо!
А насколько законно так делать?
А насколько законно ставить СОРМ-ы? :) Это пусть законодатель расхлебывает. У меня в списках есть https-ссылка которую туда поместили пиплы и РКН, значит они отдавали себе отчет о том что делают.
Неужели Роскомнадзор предписывает вам подменять сертификаты? Не верю.
А вообще народная мудрость гласит что дурак не тот кто принимает дурацкие законы, а кто спешит их выполнять.
А вообще народная мудрость гласит что дурак не тот кто принимает дурацкие законы, а кто спешит их выполнять.
РКН предписывает блокировать зашифрованные урлы, а как вы их будете блокировать не имея расшифрованного трафика? И уж если вы меня завуалированно назвали дураком, и вы такой умный — предложите свое решение. Я весь во внимании. Я свою позицию объяснил по данному поводу. Весь этот закон приведет к тому что инет встанет. А действие его нулевое. Сегодня даже школьник знает о прокси и анонимайзерах.
>РКН предписывает блокировать зашифрованные урлы, а как вы их будете блокировать не имея расшифрованного трафика?
Вот у роскомнадзора и спросите, а не изобретайте способы борьбы с клиентами, которые вам платят деньги.
>и вы такой умный — предложите свое решение.
Ничего нового: волокитить, саботировать, называть «героев» поименно и громко.
Вот у роскомнадзора и спросите, а не изобретайте способы борьбы с клиентами, которые вам платят деньги.
>и вы такой умный — предложите свое решение.
Ничего нового: волокитить, саботировать, называть «героев» поименно и громко.
Вот у роскомнадзора и спросите, а не изобретайте способы борьбы с клиентами, которые вам платят деньги.
Во млин пипец, договорились, то есть это я всемирное зло???!!! :)))
то есть это я всемирное зло?Конечно нет, вы «просто выполняли приказ».
Может быть вы готовы вместо вашего оператора выплачивать штрафы за каждый незаблокированный URL? А может быть вы готовы помочь зарегистрировать новую лицензию и заново пересдать всю проектную документацию, если у него отберут лицензию? Блокируешь по IP — плохо, лезешь в https — тоже плохо. Остаётся только закрываться. А кто тогда останется? Ростелеком? Так они тоже блокируют и лезут в трафик.
Если вам интересно, в реестре примерно 15 ссылок на отдельные ролики YouTube. Если блокировать доступ по HTTPS без залезания в трафик, то блокируется весь YouTube и еще часть других сервисов Google. До свидания, встраиваемое видео, я буду по тебе скучать.
Если вам интересно, в реестре примерно 15 ссылок на отдельные ролики YouTube. Если блокировать доступ по HTTPS без залезания в трафик, то блокируется весь YouTube и еще часть других сервисов Google. До свидания, встраиваемое видео, я буду по тебе скучать.
Они там по http
Фильтрация обычно работает таким образом: если в реестре указан URL или домен, определяются все его IP и весь трафик по этим IP направляется на фильтр (с помощью фаервола или статических маршрутов). У всех фильтры сделаны по разному, в моем случае это squid. HTTP фильтруется без проблем, поскольку получить URL из запроса и отфильтровать по нему не составляет труда. HTTPS приходится или блокировать полностью, или подменять сертификат, чтобы расшифровать соединение и выяснить URL.
Конечно можно разделить фильтры и направлять http-ссылки на один фильтр, а https-на другой. Тогда домены, на которые в реестре нет https:// url не будут страдать.
Конечно можно разделить фильтры и направлять http-ссылки на один фильтр, а https-на другой. Тогда домены, на которые в реестре нет https:// url не будут страдать.
Я так понимаю вы тоже админом трудитесь у провайдера? Видно сразу что пониаете о чем идет речь. Хоть один человек который зраво смотрит на проблемму.
На самом деле РКН лучше не злить, если попадете в немилость то будте уверены вас закроют и новую лицензию вы замучаетесь получать. Мы даже штраф за неполучении выгрузки платили, хотя прекрасно знали что могли его оспорить в суде и 99% процентов бы выиграли дело. А позже еще оказалось что выгрузка не приходила не по нашей вине.
Здесь самое страшное потерять клиентов и следовательно их доверие, так как на период приостановления лицензии вам деятельность вести не дадут.
А теперь у меня вопрос к остальной части диспута. Может я чего то недопонимаю, но что вас так беспокоит этот присловутый https. Мне например глубоко плевать, пусть те кому это надо смотрят и видят куда я ходил и что качал.
Сормы нас всех все равно в скором времени заставят ставить, а многие их уже поставили. И уж будте спокойны там вас мониторить буду по полной, без всяких разрешений.
И уж если вам так нужна анонимность есть такие вещи как Тор,vpn,i2p-сеть.
На самом деле РКН лучше не злить, если попадете в немилость то будте уверены вас закроют и новую лицензию вы замучаетесь получать. Мы даже штраф за неполучении выгрузки платили, хотя прекрасно знали что могли его оспорить в суде и 99% процентов бы выиграли дело. А позже еще оказалось что выгрузка не приходила не по нашей вине.
Здесь самое страшное потерять клиентов и следовательно их доверие, так как на период приостановления лицензии вам деятельность вести не дадут.
А теперь у меня вопрос к остальной части диспута. Может я чего то недопонимаю, но что вас так беспокоит этот присловутый https. Мне например глубоко плевать, пусть те кому это надо смотрят и видят куда я ходил и что качал.
Сормы нас всех все равно в скором времени заставят ставить, а многие их уже поставили. И уж будте спокойны там вас мониторить буду по полной, без всяких разрешений.
И уж если вам так нужна анонимность есть такие вещи как Тор,vpn,i2p-сеть.
Люди недовольны тем что вы лезете в их «приватный» трафик, и я с ними полностью согласен. Но они расчитывают что HTTPS обеспечит им приватность и безопасность, а получается что это не так. Законно это или нет, но когда кто-то может получить доступ к твоему трафику — это очень неприятно.
И, друзья, не надо делать из провайдеров злодеев. Провайдеры выкручиваются как могут. Кто-то до сих пор тупо режет по IP, кто-то фильтрует HTTP, но блокирует HTTPS, кто-то вот сертификаты подменяет. Но еще раз повторю: провайдеры не могут не исполнять требования роскомнадзора, а роскомнадзор не может не исполнять своих обязанностей предписанных законом.
И, друзья, не надо делать из провайдеров злодеев. Провайдеры выкручиваются как могут. Кто-то до сих пор тупо режет по IP, кто-то фильтрует HTTP, но блокирует HTTPS, кто-то вот сертификаты подменяет. Но еще раз повторю: провайдеры не могут не исполнять требования роскомнадзора, а роскомнадзор не может не исполнять своих обязанностей предписанных законом.
k0ldbl00dВы всё верно пишет, в т. ч. и про приватность и именно по этой причине не блокировка HTTPS или блокировка по IP или блокировка с помощью DNS являются приемлемыми способами, а подмена сертификатов — нет.
Вот и всё, при этом никто никого злодеем не делает, просто одно дело исполнять закон, а другое дело создавать огромнейшую дыру в безопасности. Ибо даже если распространять сертификаты на юзеров, а не приучать его к постоянно невалидным сертификатам, то всё равно получается единая точка отказа, овладев которой можно прослушивать ВЕСЬ защищённый трафик ВСЕХ пользователей провайдера.
В общем суть в том, что просто не надо так делать.
P.S. да и вообще такие решения пригодны для мелких сетей, даже на предприятиях это уже не очень этично, а вот у себя в домашней локалке так в HTTPS трафик можно лазить, особенно если дома виндовый домен и проблем с доставкой сертификата никаких.
Вот и всё, при этом никто никого злодеем не делает, просто одно дело исполнять закон, а другое дело создавать огромнейшую дыру в безопасности. Ибо даже если распространять сертификаты на юзеров, а не приучать его к постоянно невалидным сертификатам, то всё равно получается единая точка отказа, овладев которой можно прослушивать ВЕСЬ защищённый трафик ВСЕХ пользователей провайдера.
В общем суть в том, что просто не надо так делать.
P.S. да и вообще такие решения пригодны для мелких сетей, даже на предприятиях это уже не очень этично, а вот у себя в домашней локалке так в HTTPS трафик можно лазить, особенно если дома виндовый домен и проблем с доставкой сертификата никаких.
Например можно выдавать заглушку на которой описать нелегитимные действия роскомнадзора и выдать инструкцию по покупке VPN, можно даже сделать скидку на тариф при этом. На той же заглушке описать все последствия MITM и дать ссылочку «я понимаю что все мои данные, включая пароли, номера кредитных карт и прочая информация будет передаваться в открытом виде и может быть перехвачена злоумышленником, пустите меня на ресурс». Вполне хорошее решение, конечно лучше было бы просто собраться и прочистить мозги роскомнадзору и прочим причастным, но как решение для бедных такое сойдет.
Боюсь это приведет к ускорению принятия новых законов, запрещающих средства обхода блокировок. Кроме того, ни один оператор в здравом уме не станет описывать на заглушке пути обхода. Ссориться с надзорной организацией — всё равно что подписать документы о ликвидации собственной организации.
Действия Роскомнадзора легитимны — они действуют в рамках существующих законов и, по сути, только контролируют исполнение этих законов операторами. Dura lex. Так что прочищать мозги надо не им, а тем кто такие законы принимает.
Действия Роскомнадзора легитимны — они действуют в рамках существующих законов и, по сути, только контролируют исполнение этих законов операторами. Dura lex. Так что прочищать мозги надо не им, а тем кто такие законы принимает.
Нет, вы не всемирное зло, просто вы по собственной инициативе занялись вещами на грани уголовщины. Сертификаты ведь предназначены не для того, чтобы их подменяли.
Я уверяю вас что к разработке сквида и ссл бамбингу я не имею ни какого отношения. :) Уголовщины здесь абсолютно ни какой нету. Максимум попираются ваши конституционные права, есть такая забавная книжонка. :) Вот если я воспользуюсь перехваченными данными в корыстных целях, вот здесь начнется все с 272 УК РФ.
Ну это зависит от юрисдикции, кое где само по себе ваша попытка выдать себя за другого путем подмены сертификата классифицируется как «мошенничество».
Да и «роскомнадзоры» они не вечны.
Да и «роскомнадзоры» они не вечны.
Да и «роскомнадзоры» они не вечны.Ой как я бы этого хотел, но вот только они с каждым годом, все удавку затягивают и плодятся. А на петиции (которую я кстати подписал тоже) они плевать хотели. Скоро я думаю весь интернет буде состоять их соцсетей а остальное будет блокировано :). Вот тогда я точно уволюсь и отключюсь от ру-паутины. :))).
Что касается здесь 159-ой статьи вы абсолютно не правы. Это я вам как юрист говорю, у меня одно из высших юридическое. Нет здесь состава преступления.
Что касается здесь 159-ой статьи вы абсолютно не правы. Это я вам как юрист говорю, у меня одно из высших юридическое. Нет здесь состава преступления.
Ну вот представьте себе гипотетическую ситуацию, что у вас наступило прозрение и вы решили покинуть «страну роскомнадзоров». Приходите вы в приличное место место за визой, а вам там отказ в ней по причине того чем вы сейчас занимаетесь на основании хотя бы вот этой самой статьи. Вы им даже сможете сказать, что вы юрист, и что 159-ую статью вы не нарушали, но у них будет свое понимание.
Вы помоему совсем не о том, но тем не менее. Мысли покинуть эту страну меня не покидают и по сей день. Прочитайте PS под статьей. Я не могу этого не делать, поскольку я живу пока в России и следовательно обязан подчиняться ее законам.
Никакой закон не заставляет подменять сертификаты — это ваша собственная инициатива. Лучше честная страница «Для доступа к данному ресурсу включите VPN», чем подлая подмена сертификата.
Гипотетичность ситуации заключается не в том, что у вас появятся мысли покинуть эту страну, а в том, что получите отказ по этой причине.
Законы России вам предписывают подменять сертификаты? Нет
У вас есть на этот счет распоряжение роскомнадзора? Тоже нет
Потому это ваша и только ваша инициатива, и далеко не бесспорно, что ее целью является исключительно выполнение закона. Со точки зрения стороннего наблюдателя ваши оправдания выглядят в духе «господь велел делиться».
Законы России вам предписывают подменять сертификаты? Нет
У вас есть на этот счет распоряжение роскомнадзора? Тоже нет
Потому это ваша и только ваша инициатива, и далеко не бесспорно, что ее целью является исключительно выполнение закона. Со точки зрения стороннего наблюдателя ваши оправдания выглядят в духе «господь велел делиться».
Не, просто частное воплощение этого зла. Я бы лучше уволился, чем так зашквариться.
У роскомнадзора на этот счёт довольно простые рекомендации: как хотите так и блокируйте. В их задачи не входит организация блокировок, только ведение реестра и контроль за выполнением операторами требований ФЗ.
> вы такой умный — предложите свое решение. Я весь во внимании.
Решение уже предложили в одном из первых комментариев. Оно связано со сжиганием на костре. Я бы предложил более гуманный современный вариант — изоляцию от общества.
Решение уже предложили в одном из первых комментариев. Оно связано со сжиганием на костре. Я бы предложил более гуманный современный вариант — изоляцию от общества.
Если откровенно, для меня неприемлема ситуация, когда, пусть даже только в памяти одного отдельно взятого Squid'а, будет мой предположительно зашифрованный трафик.
Так вот и приходится начинать пользоваться всяческими VPN-ами и прочими способами сохранить трафик в неприкосновенности, раз такая чудная экспозиция всех моих данных, которые, как я понимаю, не предполагались для всеобщего доступа.
Вам не приходили жалобы от клиентов насчёт официально внедрённого MITM?
Так вот и приходится начинать пользоваться всяческими VPN-ами и прочими способами сохранить трафик в неприкосновенности, раз такая чудная экспозиция всех моих данных, которые, как я понимаю, не предполагались для всеобщего доступа.
Вам не приходили жалобы от клиентов насчёт официально внедрённого MITM?
Атака посредника, атака «человек посередине», MITM-атака (англ. Man in the middle) — термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.
А вы видите сообщение о левом сертификате. Неподходит под определение. Я дописал статью PS кому интересно прочитайте конец.
А вы видите сообщение о левом сертификате. Неподходит под определение. Я дописал статью PS кому интересно прочитайте конец.
> Все жалобы пожалуйста сюда rkn.gov.ru, а из меня не надо делать зло вселенского масштаба.
Кто говорит о вселенском масштабе? И где в rkn.gov.ru прямые указания нарушать конституционное право граждан РФ? Это сугубо ваша инициатива, верно?
Ради исполнения закона, вы нарушаете конституционное право и приводите подробную инструкцию для других желающих его нарушить. Это вполне обыденное зло, для которого есть сооотв. статья в соотв. кодексе.
(в любом случае вы не в состоянии помешать человеку с головой на плечах посетить какой угодно ресурс в сети; лучше уж блокируйте по IP, так хоть не придётся быть меньшим злом).
«Я всего лишь выполняю приказы», как вам уже сказали, не аргумент. Ничего личного.
Кто говорит о вселенском масштабе? И где в rkn.gov.ru прямые указания нарушать конституционное право граждан РФ? Это сугубо ваша инициатива, верно?
Ради исполнения закона, вы нарушаете конституционное право и приводите подробную инструкцию для других желающих его нарушить. Это вполне обыденное зло, для которого есть сооотв. статья в соотв. кодексе.
(в любом случае вы не в состоянии помешать человеку с головой на плечах посетить какой угодно ресурс в сети; лучше уж блокируйте по IP, так хоть не придётся быть меньшим злом).
«Я всего лишь выполняю приказы», как вам уже сказали, не аргумент. Ничего личного.
Прекратите лицимерить, вы прекрасно знаете что всем плевать на ваши права в этой стране. Я это понял давно с тех пор как развалили СССР, хотя за всенародное голосование было за его сохранение.
Чем вам не нравиться мой метод блокировки? Видите левый сертификат не ходите и считайте для себя что он блокирован по IP.
в любом случае вы не в состоянии помешать человеку с головой на плечах посетить какой угодно ресурс в сети
Да где вы видите что я собираюсь кому то что то помешать, я уже высказывался, что этот закон абсолютно не результативен и его могут обойти даже школьники.
Чем вам не нравиться мой метод блокировки? Видите левый сертификат не ходите и считайте для себя что он блокирован по IP.
в любом случае вы не в состоянии помешать человеку с головой на плечах посетить какой угодно ресурс в сети
Да где вы видите что я собираюсь кому то что то помешать, я уже высказывался, что этот закон абсолютно не результативен и его могут обойти даже школьники.
О лицемерии можно было бы говорить, если бы я выступал со стороны властей.
А в данном случае вы усугубляете — для пользователя — то, что и так мешает ему нормально использовать Интернет. При этом — обратите внимание — вполне осознанно нарушаете конституционные права пользователей. Что вовсе не смешно.
Присоединяюсь к вопросу, для какого именно провайдера вы сделали подобный фильтр? Спасибо.
Да, точности ради: я использовал выражение MITM, а не «MITM attack». Слово «атака» добавили вы сами, что существенно меняет смысл цитаты.
А в данном случае вы усугубляете — для пользователя — то, что и так мешает ему нормально использовать Интернет. При этом — обратите внимание — вполне осознанно нарушаете конституционные права пользователей. Что вовсе не смешно.
Присоединяюсь к вопросу, для какого именно провайдера вы сделали подобный фильтр? Спасибо.
Да, точности ради: я использовал выражение MITM, а не «MITM attack». Слово «атака» добавили вы сами, что существенно меняет смысл цитаты.
Если вы так уж беспокоитесь об абонентах — то почему же не блокируете сайты по днс, не отключая возможность указать 8.8.8.8?
Этот способ в вашей статье — он не лезет ни в какие ворота, бан по ip и то лучше.
Этот способ в вашей статье — он не лезет ни в какие ворота, бан по ip и то лучше.
Скажите, пожалуйста, у какого провайдера вы работаете. Страна должна знать своих героев!
У «рога и копыта» на свиноферме, не переживайте раз вам так нравиться блокировки по IP РКН уже ввел теги, скоро действительно надобность блокировать по url-пропадет, я думаю вы только тогда будете счастливы. Сделали из мухи слона, можете больше не коментровать я не буду отвечать на весь этот неадекват.
А как бороться с провайдером который занимается такой хернёй? У меня например не работает ни где авторизация live id и ещё пара сайтов из-за подмены сертификатов. А они пишут отписки в стиле «а вы live.com пишите с www.»
Вы не из ТТК, случаем?
А что говорить о DPI системах?
Почитав выводы в комментариях можно сказать только одно, что надо делать новую революцию, разрешить всем и вся, а там куда вывезет.
Смешно.
Вы все взрослые люди и должны понимать что если государство не будет контролировать основные средства предоставления информации то это государство перестанет существовать.
Касаемо статьи то статья очень полезная.
Есть вопрос. Каков объем трафика выдерживает это решение?
Почитав выводы в комментариях можно сказать только одно, что надо делать новую революцию, разрешить всем и вся, а там куда вывезет.
Смешно.
Вы все взрослые люди и должны понимать что если государство не будет контролировать основные средства предоставления информации то это государство перестанет существовать.
Касаемо статьи то статья очень полезная.
Есть вопрос. Каков объем трафика выдерживает это решение?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Блокировка запрещенных ресурсов РКН по url в том числе и https